Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Problem mit Bird und OpenVPN - Socket error SO PRIORITY Operation not permitted

Mitglied: JonasEberhard

JonasEberhard (Level 1) - Jetzt verbinden

13.03.2018 um 14:44 Uhr, 329 Aufrufe, 5 Kommentare

Hallo liebe Community,

da ich neu bin, hoffe ich dass der Beitrag in diese Kategorie passt.

Ich bin derzeit dabei zwei Bird Routern, die mit OpenVPN verbunden sind, OSPF beizubringen. An sich ist die ospf Konfiguration von bird absolut nichts kompliziertes und läuft, so weit ich das beurteilen kann, auch.
Auf meinem ersten Route alles kein Problem, auf dem zweiten allerdings schon.

Auf den Routern läuft folgende Software:
Router 1:
Ubuntu 17.10
bird 1.6.3
Openvpn 2.4.3

Router 2:
Ubuntu 16.04 LTS
bird 1.6.3
Openvpn 2.4.5

Auf beiden Routern existriert eine annähernd gleiche bird Konfiguration. Diese unterscheiden sich nur durch Router ID, IPs und Interface Namen. Ospf läuft auf dem ersten Router ohne Probleme, mit tcpdump sehe ich auch an beiden Enden des VPN tunnels die ospf Pakete von Router 1.

Auf dem zweiten Router bekomme ich allerdings nach dem $ birdc configure im log folgende Fehlermeldung:
01.
MyOSPF: Socket error: SO_PRIORITY: Operation not permitted 
02.
MyOSPF: Cannot open socket for <interfacename>, declaring as stub
Ich habe schon an Rechteprobleme gedacht. Bird läuft im User bird, openvpn ist ein daemon und wird in der Config nach nobody und nogroup verschoben. Wenn ich beide Programme als root laufen lasse ändert sich leider nichts an dem Problem.

Wenn ich ospf auf dem zweiten Router auf das lookback oder mein public Interface verlege, bekomme ich keine Fehlermeldung, das ist ja aber nun keine Lösung.

Hat dieses Problem hier schon mal jemand gehabt? Oder weiß wie ich es beheben kann?
Mitglied: aqui
13.03.2018, aktualisiert um 15:15 Uhr
hoffe ich dass der Beitrag in diese Kategorie passt.
Das passt schon
Ich habe das bis dato nur auf physischen Interfaces bzw. VLAN Interfaces konfiguriert aber noch nie auf virtuellen wie sie ja OpenVPN hat.
Hätte jetzt erstmal vermutet das es am Multicasting liegt was OSPF für die Neigbor Discovery nutzt aber wenn du die OSPF Frames mit tcpdump dort sehen kannst, dann kann es das ja nicht sein. Eine Seite sendet dann ja richtig. Eine Adjacency wird aber niemals zustandekommen wenn nur eine Seite was sendet...klar.
Auch die Tatsache das es auf der einen Maschine rennt auf der anderen aber nicht, zeigt ja das es generell vermutlich geht.
Möglich das es an der VPN Struktur liegt, denn das ist ja ein Point to Point Netzwerk. Dagegen spricht aber das eine Seite ja fehlerlos damit umgehen kann. Hast du das Interface als P2P Interface konfiguriert ?
Ein Loopback Interface zu benutzen ist in OSPF immer best Practise, denn dort kannst du /32 Hostrouten nutzen, hast eine eindeutige Router ID und der Prozess stirbt nicht solange das Loopback nicht stirbt. Es ist also nicht abhängig von irgendwelchen Link Status einzelner physischer Interfaces.
Die Fehlermeldung deutet aber eher darauf hin das irgendwas mit der OSPF Interface Konfig nicht stimmt.
So müsste es m.E. aussehen bei P2P:
area 0 { 
                interface "tun0" { 
                        cost 20; 
                        type ptmp; 
                        hello 5; retransmit 2; wait 10; dead 60; 
                        authentication none; 
                        neighbors { 10.6.0.4; }; 
                }; 
Dann sollte Bird sowas zeigen:
[server]# birdc show interfaces 
eth0 up (index=2) 
	MultiAccess Broadcast Multicast AdminUp LinkUp MTU=1500 
	192.168.3.1/24 (Primary, scope univ) 
tun0 up (index=19) 
	PtP Multicast AdminUp LinkUp MTU=1500 
	10.6.0.1/32 (Primary, opposite 10.6.0.4, scope site) 
Bitte warten ..
Mitglied: JonasEberhard
13.03.2018 um 18:11 Uhr
Hallo aqui,

danke für deine Antwort.
Ein Kollege hat mich vorhin (vielleicht) schon ein wenig weiter gebracht. Ich hab vergessen zu erwähnen dass es sich bei den beiden Routern um vServer handelt.
Mein Kollege meinte dass es bei OpenVZ immer wieder Probleme mit virtuellen Interfaces von VPNs gibt. Und siehe da, der zweite Router auf dem es nicht geht, ist auf Virtuozzo gehostet, also OpenVZ. Das könnte zumindest mal eine Erklärung sein. Der erste Router auf dem es geht ist LXC.

Nun ist die Frage ob es mit anderen VPN Typen geht? Hat hier jemand Erfahrung?
Ich habe vorhin mal auf die Schnelle PeerVPN getestet, da es so schön einfach ist, allerdings wollte sich mein Client einfach nicht mit dem Server verbinden. Vielleicht noch tinc oder pptp ausprobieren.

Hier meine Config für ospf:
01.
interface "link_sd1" { 
02.
        cost 5; 
03.
        type pointopoint; 
04.
        hello 5; retransmit 2; wait 10; dead 20; 
05.
        authentication cryptographic; password "xxxx"; 
06.
};
01.
$ birdc show interfaces 
02.
link_sd1 up (index=49) 
03.
        PtP Multicast AdminUp LinkUp MTU=1500 
04.
        10.20.30.1/32 (Primary, opposite 10.20.30.2, scope site)
Bitte warten ..
Mitglied: aqui
13.03.2018 um 18:37 Uhr
Ich hab vergessen zu erwähnen dass es sich bei den beiden Routern um vServer handelt.
Das spielt (vermutlich) keine Rolle denn den Anwendungen an sich ist es egal ob sie auf realem Blech laufen oder virtuell. Merken sie ja nicht Aber wie gesagt...an sich. Wenn die Basis nicht stimmt dann scheitert das da, keine Frage.
bei OpenVZ immer wieder Probleme mit virtuellen Interfaces von VPNs gibt
Das wäre natürlich eine Erklärung. Also wenn da nicht wirklich alles "virtuell" ist. Ggf. hilft es den emulierten Adapter zu wechseln, das ist bei VirtualBox und Co. manchmal auch der Schlüssel zum Erfolg.
Nun ist die Frage ob es mit anderen VPN Typen geht?
Im Bird Umfeld auf virtuellen Hosts mit Punkt zu Punkt Links wird sehr häufig tinc benutzt weil das sehr viel weniger Overhead hat als OVPN.
Vielleicht ist das mal einen Versuch wert ?!
https://www.tinc-vpn.org
https://www.heise.de/ct/artikel/Dezentrales-VPN-mit-Tinc-785436.html
https://openvz.org/VPN_via_the_TUN/TAP_device
Bitte warten ..
Mitglied: JonasEberhard
13.03.2018 um 22:26 Uhr
tinc ist jetzt aufgesetzt und funktioniert.
Allerdings bekomme ich immernoch den gleichen Fehler.

01.
MyOSPF: Socket error: SO_PRIORITY: Operation not permitted 
02.
MyOSPF: Cannot open socket for link_sd1, declaring as stub
Es scheint wohl demnach nicht explizit an OpenVPN zu liegen.

Hast du zufällig auch ein Beispiel wie ich ospf über das loopback Interface laufen lasse? Wie route ich dann den ospf Traffic auf mein entsprechendes vpn Interface?
Bitte warten ..
Mitglied: aqui
14.03.2018 um 18:35 Uhr
Interessant ist das hier:
http://www.blissfulidiot.com/2013/10/using-bird-to-route-over-openvpn-t ...
Speziell die Aussage: "but the remote tunnel address would be unreachable. I solved this by adding a stubnet x.x.x.x/31 directive to the OSPF configuration at one of the endpoints. At the time this worked fine."
Das geht so ein bischen einher mit deiner Fehlermeldung das Bird da ja auch irgendwie von einem Stub Interface ausgeht.
Ggf. solltest du das auch mal in deinem Setup explizit definieren entsprechend mit deiner Maske.
Ansonsten mal nach bird ospf vpn googeln es gibt ne Menge Beispielkonfigs dazu speziell auch von den Freifunkern.
https://wiki.freifunk-stuttgart.net/technik:gateways:routing
usw.
Bitte warten ..
Ähnliche Inhalte
Sicherheit
PfSense: OpenVPN Error
Frage von thomasreischerSicherheit5 Kommentare

Hallo zusammen, versuche nun schon seit einer Ewigkeit eine VPN Verbindung zur PfSense herzustellen Vorgegangen bin ich nach dieser ...

Ubuntu
OpenVPN Network eof error
gelöst Frage von D46505PlUbuntu9 Kommentare

Hallo Zusammen, da viele Hotels VPN von Fritzbox & Co in der Regel blocken, hatte ich mir vor ein ...

Debian
OPENVPN Start Error
gelöst Frage von jacco245Debian2 Kommentare

Hallo, ich habe heute meinen VServer neu installieren lassen, da dort einige Fehler aufgetreten sind. Wenn ich jetzt OPENVPN ...

LAN, WAN, Wireless

OpenVPN - Ethernet-Tunnel - VERIFY ERROR...

gelöst Frage von temucoLAN, WAN, Wireless21 Kommentare

Ethernet-Tunnel – VERIFY ERROR: depth=0, error=unsupported certificate purpose: C= Hallo! Ich möchte einen Ethernet-Tunnel zwischen mobilen Rechnern (Notebooks) und ...

Neue Wissensbeiträge
Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 2 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 9 StundenWindows 101 Kommentar

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 1 TagE-Mail14 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Viren und Trojaner
Neues ct-desinfect 2018 erschienen
Information von Lochkartenstanzer vor 1 TagViren und Trojaner

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless22 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Firewall
Blocken illegaler Film-Streams
gelöst Frage von CoreknabeFirewall20 Kommentare

Moin Wissende, unsere kleine Hochschule möchte gern das illegale Streaming von Kinofilmen und Serien unterbinden. Wir sperren bisher alle ...

Windows Server
2012 R2 Server Keine Anmeldung möglich Meldung: Laut den Sicherheitsrichtlinien auf diesem PC sollen informationen zur letzten interaktiven Anmeldung angezeigt werden
Frage von Speedy18A4Windows Server19 Kommentare

Hallo, ich habe vor einigen Wochen einen zweiten Domain Controller zu meiner Domain hinzugefügt. Funktionierte alles wunderbar. Auch die ...

iOS
Virus auf iphone
Frage von jensgebkeniOS17 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...