Стартавать Bind после OpenVPN

1

2

Здравствуйте.
Имеется сервер Debian 7 x64
На нем работают
Bind 9.8.4
OpenVPN 2.3.2

Проблема:
При перезагрузке сервера оба указанных демона запускаются и работают, но Bind не слушает на интерфейсе OpenVPN, походу потому, что OpenVPN стартуют немного позже чем Bind и соответственно в момент старта Bind интерфейс OpenVPN еще не существует.
Если после запуска OpenVPN, перезапустить Bind, то все работает.

Как бы мне по-элегантнее решить данную проблему?

Ссылка

←	Настрока SVN

Не работает раздача TOR в локальную сеть

→

Можно, например, весьма элегантно забить на нее болт.
Или мешает что-то?

thesis ★★★★★
(16.06.15 22:03:33 MSK)

Ответ на: комментарий от thesis 16.06.15 22:03:33 MSK

Шутки шутками конечно. Но хочется решение.
Пока вижу только решение в том, чтобы перезапускать Bind после OpenVPN, но это как-то не очень красиво.
В Debian 8 можно вроде средствами systemd расставить зависимости данных демонов друг от друга(в данном случае Bind от OpenVPN).
Но что в Debian 7 делать?

rumgot ★★★★★
(16.06.15 22:08:03 MSK) автор топика

Ответ на: комментарий от rumgot 16.06.15 22:08:03 MSK

upstart, или даже openrc, или как там его... - Вполне должны справиться с этой тривиальщиной.

DALDON ★★★★★
(16.06.15 22:14:57 MSK)

Ссылка

Ответ на: комментарий от rumgot 16.06.15 22:08:03 MSK

опенвпн умеет запускать скрипт при коннекте. Дернуть «rndc reload» не сложно.

named умеет искать новые интерфейсы, но не чаще раз в минуту (interface-interval 1).

vel ★★★★★
(16.06.15 22:15:51 MSK)

Ответ на: комментарий от rumgot 16.06.15 22:08:03 MSK

А никаких шуток. Нет никаких причин вешать сервер слушать именно адрес туннельного интерфейса.

thesis ★★★★★
(16.06.15 22:28:53 MSK)
Последнее исправление: thesis 16.06.15 22:29:02 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 16.06.15 22:15:51 MSK

Попробовал, работает, вполне удобно.

rumgot ★★★★★
(16.06.15 22:32:51 MSK) автор топика

Ссылка

Ответ на: комментарий от thesis 16.06.15 22:28:53 MSK

Есть - адрес публичный, а ты владелец домена.

vel ★★★★★
(16.06.15 22:40:11 MSK)
Последнее исправление: vel 16.06.15 22:40:39 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 16.06.15 22:40:11 MSK

А как одно вытекает из другого?

thesis ★★★★★
(16.06.15 23:46:38 MSK)

Ответ на: комментарий от thesis 16.06.15 22:28:53 MSK

Есть причины.
Например если нужно пустить dns-запросы через OpenVPN-сервер, а за клиентом сеть, то логично иметь на OpenVPN сервере кэширующий dns-сервер, чтобы немного уменьшить траффик с публичного адреса сервера.
Также удобно в созданной виртуальной сети обращаться к хостам по именам, а не по ip-адресам.
Да вообще много можно схем придумать.
Вопрос «зачем» пожалуй более риторический, чем linux-специфичный.

rumgot ★★★★★
(17.06.15 00:02:49 MSK) автор топика

Неплохая теория по поводу процесса запуска изложена в статье на Habrahabr.ru: link

Предположение о том, что NAMED стартует раньше OpenVPN - верно, решение проблемы заключается в изменении приоритета запуска.

В Debian путь скорее всего немного другой: /etc/rc3.d/ Общая концепция заключаться в переименовании S02bind9, например, в S99bind9

aseco
(17.06.15 00:03:25 MSK)

Ответ на: комментарий от thesis 16.06.15 23:46:38 MSK

dns-сервер (master или slave) должен быть доступен через публичный адрес, который можно получить через openvpn.

vel ★★★★★
(17.06.15 00:08:42 MSK)

Ответ на: комментарий от aseco 17.06.15 00:03:25 MSK

Общая концепция заключаться в переименовании S02bind9, например, в S99bind9

А если VPN отключить? И предположить, что интерфейсы tap/tun могут исчезнуть.

petav ★★★★★
(17.06.15 00:10:11 MSK)

Ссылка

Ответ на: комментарий от vel 17.06.15 00:08:42 MSK

Т.е. ты предполагаешь, что сам сервер опенвпн с биндом не имеет белого адреса?
Как-то это экзотично.

thesis ★★★★★
(17.06.15 00:25:20 MSK)

Ссылка

Ответ на: комментарий от rumgot 17.06.15 00:02:49 MSK

Вопрос действительно более риторический, чем линукс-специфичный. Перед тем, как искать решение задачи, следует убедиться в существовании проблемы, ввиду которой эта задача возникла.
И мне все интереснее и интереснее, почему впн-клиентам нельзя ходить к бинду на тот же адрес, на который они идут к впн-серверу.
Кстати, у тебя в конфиге listen-on { any; };, или именно айпишник туннельного интерфейса? Если any, то такое поведение само собой странно, кмк.

thesis ★★★★★
(17.06.15 00:32:54 MSK)
Последнее исправление: thesis 17.06.15 00:33:22 MSK (всего исправлений: 1)