Bug vpn-client : problème de résolution dns?

tomdereub · September 14, 2017, 9:22am

Bonjour,

Je n’avais plus accès à mon serveur ce matin, ni par le vpn ni par l’IP de la box, le seul accès possible était en local. C’est reparti en relançant le client VPN. Je l’ai relancé via l’application, donc en bidouillant mon fichier hosts pour y avoir accès en local.
Cette fois-ci ça a été rapide parce que j’étais à la maison, mais je voudrais comprendre le problème, car si ça arrive quand je suis en vacances et qu’il n’y a personne à la maison ça serait moins drôle.

Voici ce que j’ai dans les logs au moment où ça a dû planter :

Wed Sep 13 23:09:45 2017 WARNING: 'tun-ipv6' is present in remote config but missing in local config, remote='tun-ipv6'
Wed Sep 13 23:09:45 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 13 23:09:45 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 13 23:09:45 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 13 23:09:45 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 13 23:09:45 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA
Thu Sep 14 00:09:45 2017 NOTE: --mute triggered...
Thu Sep 14 00:09:45 2017 9 variation(s) on previous 5 message(s) suppressed by --mute
Thu Sep 14 00:09:45 2017 WARNING: 'tun-ipv6' is present in remote config but missing in local config, remote='tun-ipv6'
Thu Sep 14 00:09:45 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Sep 14 00:09:45 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Sep 14 00:09:45 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Sep 14 00:09:45 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Sep 14 00:09:45 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA
Thu Sep 14 00:48:59 2017 [server] Inactivity timeout (--ping-restart), restarting
Thu Sep 14 00:48:59 2017 SIGUSR1[soft,ping-restart] received, process restarting
Thu Sep 14 00:48:59 2017 Restart pause, 2 second(s)
Thu Sep 14 00:49:01 2017 Socket Buffers: R=[212992->131072] S=[212992->131072]
Thu Sep 14 00:49:46 2017 RESOLVE: Cannot resolve host address: vpn.illyse.net: Temporary failure in name resolution
Thu Sep 14 00:50:26 2017 RESOLVE: Cannot resolve host address: vpn.illyse.net: Temporary failure in name resolution
Thu Sep 14 00:51:11 2017 RESOLVE: Cannot resolve host address: vpn.illyse.net: Temporary failure in name resolution
Thu Sep 14 00:51:56 2017 RESOLVE: Cannot resolve host address: vpn.illyse.net: Temporary failure in name resolution
Thu Sep 14 00:52:41 2017 RESOLVE: Cannot resolve host address: vpn.illyse.net: Temporary failure in name resolution
Thu Sep 14 00:53:26 2017 NOTE: --mute triggered...

Le “warning: ‘tun-ipv6’” etc je l’ai toutes les heures, ça a l’air normal, après il a l’air de vouloir faire un restart, et là ça plante.
Une idée comme ça : le premier DNS de ma box c’est le serveur. S’il perd l’accès internet parce que le vpn tombe, il n’arrive plus à résoudre le domaine du vpn, et ça plante ? Est-ce que ça vous parait plausible ? Et comment faire pour éviter ça ?

Merci !

ljf · September 14, 2017, 11:31am

Moi j’essaierais de couper le VPN et de regarder si la résolution DNS fonctionne (histoire de voir si l’hypothèse proposée à la fin de ton post est bonne). Pour tester la résolution DNS ça peut se faire comme ça

ping wikipedia.fr

Si ça se confirme, je ferais en sorte de désigner des DNS ouverts (genre ceux d’ARN, LDN ou FDN) dans l’appli vpnclient, voir même je vérifierais mon fichier /etc/resolv.conf avant de relancer le vpn.

tomdereub · September 14, 2017, 11:22pm

Si je coupe le vpn, la résolution DNS se fait. Mais j’ai l’impression que le bug que j’avais ne correspondait pas juste à couper le VPN… Il faudra que je fasse quelque tests si le problème se représente.
En fait mon hypothèse ne tient pas car les autres ordis de la maison avait un accès normal à internet…

tomdereub · October 12, 2017, 2:39pm

J’ai eu de nouveau un bug similaire 2 fois cette semaine. Le log au moment où ça plante est toujours le même :

Thu Oct 12 13:54:14 2017 RESOLVE: Cannot resolve host address: vpn.illyse.net: Temporary failure in name resolution

À ce moment là, je peux accéder au serveur en local mais il n’a pas d’accès vers l’extérieur (ping ne marche pas).
J’ai essayé de couper le vnp à partir de l’interface web de vpn-client (en bidouillant mon fichier host), toujours pas d’accès extérieur.
Finalement ça s’est résolu avec un “systemctl stop openvpn@client”, puis en relançant via l’interface web.

Si quelqu’un a une piste…

tomdereub · October 18, 2017, 2:15pm

Alors, c’est peut-être du bricolage, mais ça a marché, une idée de @ljf :
J’ai ajouté l’IP de vpn.illyse.net dans mon fichier host, et ça a l’air d’avoir réglé le problème.

Merci !