VPN GUI BUG ? core136 & 137 - Max User Setting ohne Auswirkung@ Config?

Das schwierige Thema VPN!
Post Reply
56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

VPN GUI BUG ? core136 & 137 - Max User Setting ohne Auswirkung@ Config?

Post by 56kbit » November 4th, 2019, 2:15 pm

Edit - nur zur Info: Der Bug ist im Release "core 137" noch enthalten - wird wohl demnächst gepatcht. Bis dahin sollten die Änderungen von UE hier im Thread helfen:
Post #2 Lösung von UE
Post #4, Übersetzung für Einsteiger


Habe glaub ich einen eher unwichtigen GUI-Bug gefunden,dies @core 136. Viele stimmen vermutlich zu: Wenn die Kiste denn vernünftig eingerichtet ist ist die Max-Client-Zahl aus Sicherheitssicht meiner Meinung nach eher unkritisch. .

Für einzelne Fälle mag es jedoch interessant sein eine harte Grenze setzen zu können.
Das GUI des VPN erlaubt unter "erweiterte Optionen" dazu die Einstellung einer Max-Clientanzahl:
  • Default ist bei 100
  • Das deckt sich auch mit der entstehenden Config z.B. bei Einrichtung des VPN-Services

Code: Select all

[root@ipfire136test ~]# cat /var/ipfire/ovpn/server.conf | grep max
max-clients 100
Jedoch ... wenn ich den Wert verändere, z. B auf 32 ... dann tut sich in der Config der IPFIRE nix ...
MaxClients33.png
Bis zur Datei "Settings" - welche vermutlich für Austausch & Update zwischen GUI und Config genutzt wird - kommt die Änderung jedoch sofort nach dem Speichern per Button:

Code: Select all

[root@ipfire136test ~]# cat /var/ipfire/ovpn/settings | grep -i max
MAX_CLIENTS=32
Muss das so oder ist das Kunst? :D
Getestet bei mir auf 2 VM-Systemen, da kriegt er den Change nicht durch
Service wurde neu gestartet, rebootet wurde ebenso ...

Warum komm ich drauf:
Zum Test suchte ich die Checkbox "erweiterte Optionen" - weil ich nicht wusste wofür die war und ich erweiterte Konfig machen will. Also im Zweifel einfach mal drauf klicken :-) -> er setzt dann im Settingsfile "ADDITIONAL_CONFIGS=on")
Mein Ziel ist herauszufinden wo ich gefahrlos nach Plan der Entwickler meine eigene Konfig-Änderung als Vorlage dazu packen kann ...

Andere Optionen der GUI-Seite nimmt er sofort in die Config, z,B, bei Setting "Keepalive (ping/ping-restart)" auf sagen wir mal 44 Sekunden:

Code: Select all


[root@ipfire136test ~]# cat /var/ipfire/ovpn/server.conf | grep 44
keepalive 10 44
Attachments
Max-Clients_xx.png
Last edited by 56kbit on November 17th, 2019, 8:46 pm, edited 2 times in total.

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by ummeegge » November 4th, 2019, 2:41 pm

Huch...

Geht der event.:

Code: Select all

--- /srv/web/ipfire/cgi-bin/ovpnmain.cgi_core137	2019-11-04 15:31:46.884933754 +0100
+++ /srv/web/ipfire/cgi-bin/ovpnmain.cgi	2019-11-04 15:38:19.618248176 +0100
@@ -355,10 +355,10 @@
         print CONF "push \"dhcp-option WINS $sovpnsettings{DHCP_WINS}\"\n";
     }
     
-    if ($sovpnsettings{DHCP_WINS} eq '') {
+    if ($sovpnsettings{MAX_CLIENTS} eq '') {
 	print CONF "max-clients 100\n";
     }
-    if ($sovpnsettings{DHCP_WINS} ne '') {
+    if ($sovpnsettings{MAX_CLIENTS} ne '') {
 	print CONF "max-clients $sovpnsettings{MAX_CLIENTS}\n";
     }	
     print CONF "tls-verify /usr/lib/openvpn/verify\n";

? Wenn ja, würde ich den dann auch gleich mal git sendEmailen .

Best Grüße,

UE
Image
Image

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by ummeegge » November 4th, 2019, 2:59 pm

Ach die zweiten Teile immer die sogerne zu beantworten vergessen werden :D .
56kbit wrote:
November 4th, 2019, 2:15 pm
Warum komm ich drauf:
Zum Test suchte ich die Checkbox "erweiterte Optionen" - weil ich nicht wusste wofür die war und ich erweiterte Konfig machen will. Also im Zweifel einfach mal drauf klicken :-) -> er setzt dann im Settingsfile "ADDITIONAL_CONFIGS=on")
Mein Ziel ist herauszufinden wo ich gefahrlos nach Plan der Entwickler meine eigene Konfig-Änderung als Vorlage dazu packen kann ..
Du findest unter /var/ipfire/ovpn/scripts 'server.conf.local' und 'client.conf.local', hier kannst du beide configs um deine Direktiven erweitern welche dann an die server.conf respektive die client.ovpn angehängt werden. Du musst hierfür aber den Server stoppen, nach den Änderungen den 'Speichern' Button Klicken und den Server wieder starten damit die Änderungen auch übernommen werden. Dann sollte sowas in der Art:

Code: Select all

#---------------------------
# Start of custom directives
# from server.conf.local
#---------------------------

# Client-connect up script
client-connect /var/ipfire/ovpn/scripts/openvpn_up.sh
client-disconnect /var/ipfire/ovpn/scripts/openvpn_down.sh

#-----------------------------
# End of custom directives
#-----------------------------

am Ende der server.conf bzw. dann in der Art auch in der client.ovpn gefunden werden.

Beste Grüße,

UE
Image
Image

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by 56kbit » November 4th, 2019, 4:53 pm

Holla Herr UE.

Ja, bringt korrekte Funktion beim Client-Limit. Allerdings hab ich die 2 Zeilen manuell korrigiert ^-^ Für alle - Was uns UE sagen will :-)
Die Max-Clients wurden in den 2 Abfragen "not equal <hat ne GUI-Eingabe>" und "equal < leeres Feld>" aus der Variablen vom DHCP_WINS Eintrag geholt ...

Mit den korrigierten Einträgen landet die Variable der MAX_Clients auch wieder an der richtigen Stelle und geht bis zum Server-Konfigfile durch.
Mehr hab ich aber auch noch nicht kontrolliert...
Da ich grad nicht mehr wusste wie man auf der Konsole 2 Dateien mergt ... schon so lang her ... hab ich um Zeile 355 folgendes gemacht:
A)
Ersetze: if ($sovpnsettings{DHCP_WINS} eq '') {
Durch: if ($sovpnsettings{MAX_CLIENTS} eq '') {

B)
Ersetze: if ($sovpnsettings{DHCP_WINS} ne '') {
Durch: if ($sovpnsettings{MAX_CLIENTS} ne '') {
(natürlich kann man die Änderungen auch NUR auf der IPFIRE ohne komplette Schritt 2 und 3 machen - jedoch speichere ich mir gern die Änderungen lokal zu den Installationsmedien...

1. Auf IPFIRE per SSH ein Backup des betroffenen CGI-Scripts machen:

Code: Select all

cd /srv/web/ipfire/cgi-bin/
cp ovpnmain.cgi ovpnmain.cgi.backup
2. Auf einem Client - Achtung, bei SSH auf Port 22 ...

Code: Select all

cd <In ein Arbeitsverzeichnis>
scp root@<IP-AdresseIPFire>:/srv/web/ipfire/cgi-bin/ovpnmain.cgi  ./ 
3. Dann Datei editieren und zurück auf die FIRE:

Code: Select all

nano ovpnmain.cgi
scp ./ovpnmain.cgi root@<IP-AdresseIPFire>:/srv/web/ipfire/cgi-bin/ovpnmain.cgi

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by ummeegge » November 4th, 2019, 5:42 pm

Lieben Danke für das Gegenchecken (und die Übersetzung ;) ).
Patch ist oben --> https://patchwork.ipfire.org/patch/2567/ .

Beste Grüße,

UE
Image
Image

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by 56kbit » November 4th, 2019, 9:02 pm

UE, Bitte Bitte ...

Danke dafür nicht ... , ich Danke. Wenn man den richtigen Ton im Forum trifft scheint Ihr schneller zu sein als der SUN Microsystems "Goldservice" den ich vor längerem mal verkauft habe (Reaktionszeit 2 Stunden, Fix 8h)...

... irgendwie hab ich in letzter Zeit das Talent - obwohl ich aus der Branche bin - das fast jedes System (ob im Audit, im Management oder auf der Console) irgendwie erst mal nicht DAS macht was ich eigentlich will ...

Dabei schaue ich mir im Vorfeld auch IPFIRE eher penibel genau an falls das seit 2 Tagen auffällt ::) - Hintergedanke ist eigentlich ob ich die Lösung auf eine auditierfähiges Level mit Supportebene z.B. durch https://www.lightningwirelabs.com/produ ... re/support für Kunden bekomme - dies mit Anforderungen aus BSI, ISO 27001, amerikanischer Standards wie ISAE3402 oder einfacheren Dingen wie DSGVO oder GoBS.
In dem Bereich macht Lightning übrigens auf der Webseite recht wenig - was ich für die Lösung ipFIRE recht schade finde...

Vorsichtig am Rande zu nächster Baustelle - bei den Patches, Commits und Changelogs auf patchwork.ipfire.org hab ich begeistert geschaut.
Hier nur ganz kurz - wird ggf ein anderer Thread weil ich auf patchwork nur schlecht suchen kann - ihr lasst da sicher nicht jeden rein:
Gibt es ggf irgendwo schon einen Plan für einen Patch
"Update lm-sensors auf 3.6.0 von October 18th, 2019: 3.6.0" ? ?? :-)

Den - wie ich seit 2 Stunden sagen kann - bei zwei meiner Test-HW-Boxen ist 3.4.0 - welch Überraschung - teilweise ... buggy :-( (was natürlich eher nicht an Euch liegt!)


Cheer´s mit Modempower,
56k

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by ummeegge » November 5th, 2019, 2:36 pm

Grüss Gott 56k,
jo gerne, gut das du den Bug gefunden hast.
56kbit wrote:
November 4th, 2019, 9:02 pm
Danke dafür nicht ... , ich Danke. Wenn man den richtigen Ton im Forum trifft scheint Ihr schneller zu sein als der SUN Microsystems "Goldservice" den ich vor längerem mal verkauft habe (Reaktionszeit 2 Stunden, Fix 8h)...
der richtige Ton ist dabei nicht so wichtig (wobei ein "ey digger fix ma" auch nicht sooo gut kommt ;) das liegt eher an Manpower und auch am falschen Platz wo Bugs reportet werden. Das Forum ist Dev mässig nicht soo stark frequentiert, Bugzilla --> https://bugzilla.ipfire.org/ ist da eher die Adresse. Wenn es schon einen Fix gibt event. auch für einen Report ist die Dev Mailingliste --> https://wiki.ipfire.org/devel/mailing-lists auch eine bessere Adresse, ist hier nun gerade eben besser gelaufen weil zufällig da...
56kbit wrote:
November 4th, 2019, 9:02 pm
Dabei schaue ich mir im Vorfeld auch IPFIRE eher penibel genau an falls das seit 2 Tagen auffällt ::) - Hintergedanke ist eigentlich ob ich die Lösung auf eine auditierfähiges Level mit Supportebene z.B. durch https://www.lightningwirelabs.com/produ ... re/support für Kunden bekomme - dies mit Anforderungen aus BSI, ISO 27001, amerikanischer Standards wie ISAE3402 oder einfacheren Dingen wie DSGVO oder GoBS.
In dem Bereich macht Lightning übrigens auf der Webseite recht wenig - was ich für die Lösung ipFIRE recht schade finde...
Muss gerade an den Digitalgipfel denken :-[ . Hast du mal Kontakt aufgenommen ?
56kbit wrote:
November 4th, 2019, 9:02 pm
Gibt es ggf irgendwo schon einen Plan für einen Patch
"Update lm-sensors auf 3.6.0 von October 18th, 2019: 3.6.0" ? ?? :-)
Bau den hier --> https://github.com/lm-sensors/lm-sensor ... tag/V3-6-0 gerade mal, dauert einwenig da ich die gesamte Distri bauen muss. Magst du mal testen wenn der durchgebaut hat ? Ansonsten, ja gerne neuer Topic aber vielleicht hast du schon gesehen --> viewtopic.php?f=27&t=23552 . Hier geht leider nicht mehr lang ::) .

Beste Grüße,

UE
Image
Image

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by 56kbit » November 5th, 2019, 3:27 pm

Hey, super, neues Spielzeug! Danke !
Bau den hier --> https://github.com/lm-sensors/lm-sensor ... tag/V3-6-0 gerade mal,
- Gerne teste ich auch die lm-sensors mit durch ...
Muss gerade an den Digitalgipfel denken :-[ . Hast du mal Kontakt aufgenommen ?
- Digitalgipfel, Politik & auditierbare Lösungen sind leider oft verschiedene Schuhe... Allein die Bekundigung eine Compliance-konforme IT zu haben löst man z.B. nicht allein durch eine Cloud in DE. Internet, Wunsch und Realität.
- Interessant sind dann z.B. einige auditierte Lösungen der Telekom (definitiv nicht voll ISO-konform, war in Presse, z.B. @ Heise)
- oder selbst einige Big Player - die z.B. aus Marketingsicht das Emailsystem der Company auditieren und absichern - den ganzen Rest bis zum Server jedoch übersehen (Kann leider keine namen nennen, die Auswirkungen und Zwischenfälle sind in meinem Umfeld derzeit eher massiv & ansteigend)

Ja, gesehen - Forumende ... seufz.
Naja, wenns'schö macht ... Ich mag diverse Dinge nicht soo gern ;) zum Scrollen neigende Webseiten, Smartphones mit Datenabfluss oder oder oder ;)

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by ummeegge » November 5th, 2019, 4:00 pm

Jo gerne,
56kbit wrote:
November 5th, 2019, 3:27 pm
Bau den hier --> https://github.com/lm-sensors/lm-sensor ... tag/V3-6-0 gerade mal,
- Gerne teste ich auch die lm-sensors mit durch ...
Läuft bei dir 64bit ?
56kbit wrote:
November 5th, 2019, 3:27 pm
Muss gerade an den Digitalgipfel denken :-[ . Hast du mal Kontakt aufgenommen ?
- Digitalgipfel, Politik & auditierbare Lösungen sind leider oft verschiedene Schuhe... Allein die Bekundigung eine Compliance-konforme IT zu haben löst man z.B. nicht allein durch eine Cloud in DE. Internet, Wunsch und Realität.
- Interessant sind dann z.B. einige auditierte Lösungen der Telekom (definitiv nicht voll ISO-konform, war in Presse, z.B. @ Heise)
- oder selbst einige Big Player - die z.B. aus Marketingsicht das Emailsystem der Company auditieren und absichern - den ganzen Rest bis zum Server jedoch übersehen (Kann leider keine namen nennen, die Auswirkungen und Zwischenfälle sind in meinem Umfeld derzeit eher massiv & ansteigend)
Ich musste da gerade an den Abgang unserers Wirtschaftsministers denken (hoffe es geht im besser ::) ) was doch auch eine gewisse Charaktaristik für alle Bereiche in sich trägt, aber man soll ja auch nicht soo schwarz sehen...
56kbit wrote:
November 5th, 2019, 3:27 pm
Ja, gesehen - Forumende ... seufz.
Naja, wenns'schö macht ... Ich mag diverse Dinge nicht soo gern ;) zum Scrollen neigende Webseiten, Smartphones mit Datenabfluss oder oder oder ;)
Bin damit ooch noch nich soo grüne aber wie man in Hamburch sagt "Wat mutt, dat mutt" ;) .

Machst du noch einen Topic auf für lm-sensors ?

Beste Grüße,

UE
Image
Image

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Re: VPN GUI BUG ? core136 - Max User Setting ohne Auswirkung@ Config?

Post by 56kbit » November 5th, 2019, 5:11 pm

Danke, Ja, 64bit first ...

Here u go , new thread : viewtopic.php?f=6&t=23553

Post Reply