Nedaří se spustit OpenVPN server na portu 53/UDP

painpeelz

Nedaří se spustit OpenVPN server na portu 53/UDP
« kdy: 16. 01. 2017, 18:00:36 »
Zdravím,
rád bych na svém routeru s Tomato by Shibby firmware spustil OpenVPN server na portu 53/UDP z důvodu maximální dostupnosti. Spuštění OpenVPN serveru se ale nezdaří. Log:
Kód: [Vybrat]
Jan 16 (...) daemon.err openvpn[5419]: TCP/UDP: Socket bind failed on local address [undef]: Address already in use
Jan 16 (...) daemon.notice openvpn[5419]: Exiting due to fatal error

Nechal jsem si proto pomocí netstat -an vypsat sockety a bohužel jsem zřejmě našel důvod, proč server nelze spustit.
Kód: [Vybrat]
Proto  Local Address  Foreign Address  State
udp    0.0.0.0:53      0.0.0.0:*
udp    :::53              :::*
Tuší někdo, jak tenhle problém rozumně vyřešit? Jestli nemám něco provést s DNS v routeru nebo tak? Konfiguraci OpenVPN mám jinak zvládnutou už pár měsíců a na jiných portech, třeba i 22/TCP, server běží bez problému.


Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #1 kdy: 16. 01. 2017, 18:06:05 »
Nemáš tam zapnutý systemd-resolved nebo nějakou jinou DNS utilitu? Proč na portu 53?

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #2 kdy: 16. 01. 2017, 18:25:46 »
Tak si radi pustte netstat -nap|grep 53 jako root, at vidite, co tam visi.

Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #3 kdy: 16. 01. 2017, 18:37:31 »
Port 53 slouží pro službu DNS, kterou asi chceš na routeru používat. Když už tam poslouchá resolver, není možné tam pustit něco dalšího.

Asi nejrozumnější bude nechat resolver poslouchat na vnitřní adrese (192.168.1.1?) a OpenVPN na vnější. Otevřený resolver do internetu stejně není dobrý nápad a VPN z vnitřní sítě asi nepotřebuješ nebo ti poběží i na dalších portech. Vyřeší se to tak, že oběma těm démonům kromě portů nastavíš i ty konkrétní adresy rozhraní, kde mají poslouchat.

Jinak ale kvůli dobré dostupnosti ze zafirewallovaných sítí doporučuji spíš porty 80 a 443. Porty jako 22 a 53 v divných sítích otevřené nebývají.

painpeelz

Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #4 kdy: 16. 01. 2017, 18:40:26 »
Darkhunter: protože tenhle port bývá nejméně blokován. Jak jsem psal, je to z důvodu maximální dostupnosti. Běží tam Dnsmasq, ale nepoužívám ho. Je možné, že ho potřebuje nějaká jiná služba. To však nejsem schopen říct ani zjistit.

JardaP: bohužel, přepínač -p to neumí a žádný podobný tam není.


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #5 kdy: 16. 01. 2017, 18:47:11 »
@painpeelz: Rekl bych, ze jste si sam odpovedel. Bezi tam DNSmasq. Ted je otazka, co dela a jestli jste si jisty, ze ho nepouzivate. Jestli se pamatuju, tak dela caching DNS a DHCP server. Tusim, ze obe casti se daji nezavisle deaktivovat.

citanus006

Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #6 kdy: 16. 01. 2017, 18:47:52 »
DNAT z verejne ip?

M.

Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #7 kdy: 16. 01. 2017, 18:50:57 »
Já se obávám, že dneska právě UDP 53 bývá blokován na koncových přípojkách v příchozím směru velmi často ze strany ISP. Takže než ho tam začneš cpát, prvně bych si ověřil, zda to tvůj ISP nechává otevřené z Internetu mimo jeho síť na tvůj router. A pokud bude blokovat, tak probrat, zda ti to odblokuje.
Stejně tak v nejedné koncové sítí provádí násilím únos portu 53 na jejich lokální DNS resolvery, protože to velmi snadno jde a funguje (pokud tam běží DNS), ale tomu OpenVPN by to nemuselo dělat dobře. Také bych zvážil spíše to 443.

Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #8 kdy: 16. 01. 2017, 18:57:13 »
Pokud tam běží DNSmasq, potřebuješ ho na routeru (předpokládám OpenWRT) kvůli DHCP. Ale ta DNS funkčnost se dá v konfiguraci přesunout třeba na port 5353 a tím se původní port uvolní.

painpeelz

Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #9 kdy: 16. 01. 2017, 19:02:11 »
Nějaká jména ale vlastně v tom routeru používám. Minimálně Hostname routeru a s ním zas pracuje SMB.

Petr Krčmář: nápad zní rozumně, ale nevím, jak nechat resolver poslouchat pouze na vnitřní adrese. Můžu ale i ve webovém rozhraní vložit custom konfiguraci pro dnsmasq a samozřejmě i upravit přes SSH. A přesunout funkci na port 5353 zkusím. Jen musím jistit, jak se to dělá...

M.: nevím, jestli ho provider blokuje. Zkusím to pak ověřit.

citranus006: ano, je to NAT z veřejky.

JardaP: ano, Dnsmasq je zároveň DHCP serverem a ten určitě potřebuju.

Lol Phirae

Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #10 kdy: 16. 01. 2017, 19:09:30 »
Petr Krčmář: nápad zní rozumně, ale nevím, jak nechat resolver poslouchat pouze na vnitřní adrese. Můžu ale i ve webovém rozhraní vložit custom konfiguraci pro dnsmasq a samozřejmě i upravit přes SSH. A přesunout funkci na port 5353 zkusím. Jen musím jistit, jak se to dělá...

Nevím jak u tebe, ale LEDE to má v GUI.


painpeelz

Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #11 kdy: 16. 01. 2017, 19:59:10 »
Vyřešeno. Stačilo podle https://wiki.archlinux.org/index.php/dnsmasq vložit do configu port=0 a tím se DNS vyplo. Díky všem za nasměrování.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Nedaří se spustit OpenVPN server na portu 53/UDP
« Odpověď #12 kdy: 16. 01. 2017, 20:52:21 »
@painpeelz: Delame si vsichni zarez na pazbu za dalsiho nasmerovaneho.