Verbindungsfehler /rpc

[Bereich]

Hallo zusammen,
ich bin gerade dabei das WAN-Modul zu testen.
So langsam steige ich wohl dahinter aber leider scheitert es gerade an der Verbindung zum Server, bzw. an der Anfrage, was gemacht werden soll.
Ich habe den Port 443 auf 4447 in der FW umgeleitet, damit man sich das tippen des Ports sparen kann.
Somit ist der Server über z.B. "https://mein.opsi.server" erreichbar.
Leider laufen alle Clients bei der Verbindung zum Server in einen Timeout, da der Aufruf https://mein.opsi.server/rpc folgende Fehlermeldung liefert:

Code: Alles auswählen

{"id":null,"result":null,"error":{"message":"EOF while parsing a value at line 1 column 0: line 1 column 1 (char 0)","class":"JSONDecodeError","details":"Traceback (most recent call last):\n  File \"opsiconfd/application/jsonrpc.py\", line 249, in process_jsonrpc\n  File \"starlette/concurrency.py\", line 34, in run_in_threadpool\n  File \"concurrent/futures/thread.py\", line 58, in run\norjson.JSONDecodeError: EOF while parsing a value at line 1 column 0: line 1 column 1 (char 0)\n"}}

Der lokale Test mittels:
opsi-admin -a https://mein.opsi.server/rpc

Code: Alles auswählen

Error during execution: HTTPSConnectionPool(host='mein.opsi.server', port=4447): Max retries exceeded with url: /rpc (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7f3566789370>: Failed to establish a new connection: [Errno 110] Connection timed out'))   (opsiadmin.py:1753)
Traceback (most recent call last):
  File "urllib3/connection.py", line 170, in _new_conn
  File "urllib3/util/connection.py", line 79, in create_connection
  File "urllib3/util/connection.py", line 69, in create_connection
TimeoutError: [Errno 110] Connection timed out

Wenn ich das ganze mit der lokalen IP-Adresse mache erhalte ich folgende Meldung:

Code: Alles auswählen

Error during execution: Not running in interactive mode and no commandline arguments given.   (opsiadmin.py:1753)
Traceback (most recent call last):
  File "opsiutils/opsiadmin.py", line 1746, in main
  File "opsiutils/opsiadmin.py", line 390, in shell_main
RuntimeError: Not running in interactive mode and no commandline arguments given.

Ich kann mir da keinen Reim draus machen und habe auch im Forum nichts gefunden.
Vielleicht wisst ihr mehr...

[Jan.Schmidt]

Hi,

ich hab keine Ahnung, warum du in (und in welcher) Firewall irgendwas umgedröselt hast, wenn du "nur" das WAN Modul zu laufen bringen mußt.

Du musst nix anderes machen, als
Das mitgelieferte Howto zum Wan Modul lesen

JEDEN der dort aufgeführten Befehle einzeln laufen lassen und schauen, ob das "fehlerfrei" durch läuft.

Dann bei einem Client, der in deinem Netz hängt und nicht über vpn - entweder den Kasten WAN Modul anklicken und den Kasten neustarten oder sowas wie ich es hier beschrieben habe zimmern:
viewtopic.php?t=11777

Und bitte immer daran denken, das allerletzte was du bei einem neu ausgesetzen Rechner machst, ist das aktivieren des Wan Moduls - sonst dauert das mit dem installieren der Grundsoftware viel zu lange - weil der Rechner mit WAN Modul nicht mehr beim hochfahren den OPSI Server direkt sucht und die Aktionen durchführt, sondern wartet bis ein NIC angeschlossen wird und dann erstmal den ganzen driet auf den Client kopiert.

[Bereich]

Hi,
danke Jan für die Info.
Leider habe ich das HowTo zum WAN Modul nicht, ich habe lediglich eine Testlizenz für alle Module erhalten ohne Erläuterungen oder sonstwas.
Wäre super, wenn du mir die zukommen lassen könntest.

[SisterOfMercy]

Leider habe ich das HowTo zum WAN Modul nicht, ich habe lediglich eine Testlizenz für alle Module erhalten ohne Erläuterungen oder sonstwas.
Wäre super, wenn du mir die zukommen lassen könntest.

http://download.uib.de/4.2/documentatio ... wansupport

[Jan.Schmidt]

Hi,
danke Jan für die Info.
Leider habe ich das HowTo zum WAN Modul nicht, ich habe lediglich eine Testlizenz für alle Module erhalten ohne Erläuterungen oder sonstwas.
Wäre super, wenn du mir die zukommen lassen könntest.

Salve,

läuft der opsi bei euch als vm?
Oder hast du einen Server, den du als 2. /3. oder 4. OPSI Server aufsetzen kannst?

Vorab - ich bin extrem glücklich mit dem WAN Modul, aber ....
Du mußt ziemlich viel an dem OPSI umbauen.
U.a das umstellen von "Clients werden in txt Dateien verwaltet" zu "clients werden in einer sql DB verwaltet".

Wenn - und nur wenn - was ich aber anhand meiner Zufriedenheit nicht bei euch annehme - da auch nur der kleinste "vielleicht doch nicht" Zweifel vorhanden ist - mach ein Backup oder nehm einen separaten OPSI Testserver.
So ganz sicher, ob man den ganzen Umbau und mit welchen Folgen - wieder zurückgestellt kriegt bin ich mir nicht so wirklich.

Wenn du aber viele (+100) Clients hast und dir der opsi-configed immer schon etwas viel zu lahm&träge war - allein die Umstellung auf sql wird dich begeistern.

[Bereich]

Hi,
nochmals Danke für die schnelle Antwort.
Aktuell ist es eine reine Testumgebung die komplett auf den Kopf gestellt werden kann.
Es sollen aber zukünftig mehrere hundert Clients werden, wenn die A´WAN Anbindung überzeugt.
Leider tut sie das aktuell noch nicht.
Der Client selbst hat die richtige Config, er blocket nicht die Anmeldung und versucht auch den Server zu erreichen.
Aber beim Verbindungsversuch zum Server, um Pakete zu cachen läuft er leider in den Fehler, dass er den Server nicht erreichen kann.
Über die URL kann ich ihn aber erreichen, mich anmelden und habe die Weboberfläche verfügbar.
Wenn ich die URL/rpc aufrufe kommt die oben genannte Fehlermeldung, genauso, wie bei der lokalen ip/rpc.
Daher vermute ich, dass ein opsi/config-Fehler vorliegt, den ich nicht ausfindig machen kann...

Ich hätte zum Modul noch eine Verständnisfrage.
Kann ich das Modul überhaupt ohne VPN rein über https nutzen?

[Jan.Schmidt]

Kann ich das Modul überhaupt ohne VPN rein über https nutzen?

NEIN !
Die Benamsung WAN für das Modul ist da leicht irreführend....

Das funktioniert so:

Rechner fährt hoch
Wenn eine neue Netzwerkkarte (oder auch ein Wechsel des Netzwerks von LAN zu WLAN) aktiv wird - versucht der OPSI CLient, pb er über die neue Netzwerkkarte den opsi Server erreichen kann.
Wenn er das kann, trägt er sich u.a im "configed" mit seiner ip und dem Zeitstempel ein.
Naja er machts natürlich woanders, aber da kannst du das sehen - erkennen.

Hat der OPSI für den Rechner irgendwelche Jobs - dann saugt der die über vpn in c:\opsi.org\cache\depot (oder so ähnlich) und wenn das dann komplett auf dem Client angekommen ist, gibts irgendwann eine Meldung Software steht da und wenn du dann den Rechner neustartest, fragt er dich - willst du jett installieren und macht das dann lokal aus dem "OPSI Depot Server" der in Wahrheit aber der eigene Client ist.

[Bereich]

NEIN !
Die Benamsung WAN für das Modul ist da leicht irreführend....

Danke für die erlösende Antwort.
Dann ist das System leider nicht für mich geeignet.
Trotzdem vielen Dank für deinen ausführlichen Support, hat mir sehr weitergeholfen!

[j.schneider]

Man kann das WAN/VPN-Modul auch ohne VPN nutzen.
Dafür muss dann aber der opsi-Configserver (Port 4447) öffentlich zugänglich sein.
In diesem Fall sind einige Dinge dringend zu empfehlen:

• Aktivierung der Server-Zertifikatsprüfung (opsiclientd.global.verify_server_cert = true)
• Verwendung von WebDAV statt CIFS (clientconfig.depot.protocol)
• Administrativen Server-Zugriff nach Möglichkeit einschränken (opsiconfd admin-networks)
• Das Security-Kapitel im Handbuch lesen: https://download.uib.de/4.2/stable/docu ... l-security