[Comm] openvpn падает из-за недостатка прав

Stas stas.grumbler на gmail.com
Чт Апр 12 10:18:39 MSK 2018 

Сервер обновлён с P7 до P8 в прошлом году.

На сервере работает два экземпляра openvpn: один - сервер, в конфиге
задан интерфейс tun0, второй - клиент к другому серверу, он привязан к tun1.

openvpn работает в chroot /var/lib/openvpn


Openvpn-клиент работает постоянно и несколько месяцев назад стал время
от времени падать с диагностикой "недостаточно прав". Падение происходит
после обрява соединения с сервером, при попытке восстановить туннель.

Первое, что было не так - отсутствовал /var/lib/openvpn/dev/net/tun , не
было даже /var/lib/openvpn/dev/net (при установлении соединения была
ошибка"ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or
directory (errno=2)"

Я создал этот каталог и создал /var/lib/openvpn/dev/net/tun с нужными
major и minor , правами 0666 и владельцем openvpn:openvpn

Теперь падает с другой ошибкой: "ERROR: Cannot ioctl TUNSETIFF tun1:
Operation not permitted (errno=1)"

На другом сервере , где до сих пор работает P7, таких ошибок нет -
соединение восстанавливется без проблем.

Прошу помощи в устранении неполадки.

Процесс openvpn:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
openvpn  21675  0.0  0.0  42636  4820 ?        Ss   11:37   0:00
/usr/sbin/openvpn --config /etc/openvpn/client.conf --daemon --writepid
/var/run/openvpn-client.pid --user openvpn --group openvpn --persist-tun
--persist-key --chroot /var/lib/openvpn

Протокол (адрес сервера подменён , чтобы не публиковать реальные цифры):

Apr 12 01:37:59 serv openvpn[4477]: 255 variation(s) on previous 10
message(s) suppressed by --mute
Apr 12 01:37:59 serv openvpn[4477]: [xxx.xxx.xx] Inactivity timeout
(--ping-restart), restarting
Apr 12 01:37:59 serv openvpn[4477]: Restart pause, 2 second(s)
Apr 12 01:37:59 serv openvpn[4477]: SIGUSR1[soft,ping-restart] received,
process restarting
Apr 12 01:38:01 serv openvpn[4477]: Control Channel: TLSv1, cipher
TLSv1/SSLv3 ECDHE-RSA-AES256-SHA, 2048 bit RSA
Apr 12 01:38:01 serv openvpn[4477]: Data Channel Decrypt: Cipher
'BF-CBC' initialized with 448 bit key
Apr 12 01:38:01 serv openvpn[4477]: Data Channel Decrypt: Using 160 bit
message hash 'SHA1' for HMAC authentication
Apr 12 01:38:01 serv openvpn[4477]: Data Channel Encrypt: Cipher
'BF-CBC' initialized with 448 bit key
Apr 12 01:38:01 serv openvpn[4477]: Data Channel Encrypt: Using 160 bit
message hash 'SHA1' for HMAC authentication
Apr 12 01:38:01 serv openvpn[4477]: [xxx.xxx.xx] Peer Connection
Initiated with [AF_INET]192.0.2.218
Apr 12 01:38:01 serv openvpn[4477]: Socket Buffers: R=[212992->131072]
S=[212992->131072]
Apr 12 01:38:01 serv openvpn[4477]: TLS: Initial packet from
[AF_INET]192.0.2.218, sid=7987d025 f3c66009
Apr 12 01:38:01 serv openvpn[4477]: UDPv4 link local: [undef]
Apr 12 01:38:01 serv openvpn[4477]: UDPv4 link remote: [AF_INET]192.0.2.218
Apr 12 01:38:01 serv openvpn[4477]: VERIFY OK: depth=0, C=RU, ST=Ural,
L=Yekaterinburg, O=InPAD, CN=xxx.xxx.xx, emailAddress=stas на vashadmin.su
Apr 12 01:38:01 serv openvpn[4477]: VERIFY OK: depth=1, C=RU,
L=Yekaterinburg, O=Vash Admin, CN=Vash Admin CA,
emailAddress=g_nospam на grumbler.org
Apr 12 01:38:01 serv openvpn[4477]: VERIFY OK: nsCertType=SERVER
Apr 12 01:38:01 serv openvpn[4477]: VERIFY X509NAME OK: C=RU, ST=Ural,
L=Yekaterinburg, O=InPAD, CN=xxx.xxx.xx, emailAddress=stas на vashadmin.su
Apr 12 01:38:03 serv last message repeated 2 times
Apr 12 01:38:03 serv openvpn[4477]: Closing TUN/TAP interface
Apr 12 01:38:03 serv openvpn[4477]: ERROR: Linux route delete command
failed: could not execute external program
Apr 12 01:38:03 serv openvpn[4477]: Linux ip addr del failed: could not
execute external program
Apr 12 01:38:03 serv openvpn[4477]: NOTE: Pulled options changed on
restart, will need to close and reopen TUN/TAP device.
Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: --ifconfig/up
options modified
Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: peer-id set
Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: route options modified
Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: timers and/or
timeouts modified
Apr 12 01:38:03 serv openvpn[4477]: Preserving previous TUN/TAP
instance: tun1
Apr 12 01:38:03 serv openvpn[4477]: PUSH: Received control message:
'PUSH_REPLY,route 192.168.8.0 255.255.255.0,route 192.168.9.0
255.255.255.0,route 192.168.249.1,topology net30,ping 5,ping-restart
20,ifconfig 192.168.249.22 192.168.249.21,peer-id 1'
Apr 12 01:38:03 serv openvpn[4477]: SENT CONTROL [xxx.xxx.xx]:
'PUSH_REQUEST' (status=1)
Apr 12 01:38:03 serv openvpn[4477]: /usr/bin/ip addr del dev tun1 local
192.168.249.22 peer 192.168.249.21
Apr 12 01:38:03 serv openvpn[4477]: /usr/bin/ip route del 192.168.249.1/32
Apr 12 01:38:03 serv openvpn[4477]: /usr/bin/ip route del 192.168.8.0/24
Apr 12 01:38:03 serv openvpn[4477]: /usr/bin/ip route del 192.168.9.0/24
Apr 12 01:38:04 serv openvpn[4477]: ERROR: Cannot ioctl TUNSETIFF tun1:
Operation not permitted (errno=1)
Apr 12 01:38:04 serv openvpn[4477]: Exiting due to fatal error
Apr 12 01:38:04 serv openvpn[4477]: ROUTE: default_gateway=UNDEF


-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - jabber: grumbler на grumbler.org
 - email: stas.grumbler на gmail.com и stas на vashadmin.su
 - телефоны в Е-бурге +79045430461, +79222112259, +79505571146

Подробная информация о списке рассылки community