[Comm] openvpn падает из-за недостатка прав

Nikolay A. Fetisov naf на naf.net.ru
Чт Апр 12 11:45:15 MSK 2018 

Здравствуйте!

В Чт, 12/04/2018 в 12:18 +0500, Stas пишет:
> Сервер обновлён с P7 до P8 в прошлом году.
> 
....
> Openvpn-клиент работает постоянно и несколько месяцев назад стал
> время от времени падать с диагностикой "недостаточно прав". Падение
> происходит после обрява соединения с сервером, при попытке
> восстановить туннель.

На сервере меняется конфигурация туннеля. Или есть несколько серверов
с разной конфигурацией, и при переподключении выбирается другой.

> 
> Первое, что было не так - отсутствовал /var/lib/openvpn/dev/net/tun ,
> не было даже /var/lib/openvpn/dev/net (при установлении соединения
> была ошибка"ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file
> or directory (errno=2)"

Это не требуется. При наличии persist-tun интерфейс открывается при
запуске openvpn и при переподключении соединение не закрывается.
С другой стороны, внутри chroot OpenVPN работает от обычного
пользователя - создать и настроить заново интерфейс он всё равно не
сможет.


> 
> На другом сервере , где до сих пор работает P7, таких ошибок нет -
> соединение восстанавливется без проблем.

С тем же сервером? С той же конфигурацией?

> 
> Прошу помощи в устранении неполадки.
> 
> Процесс openvpn:
> 

....
> Apr 12 01:38:03 serv openvpn[4477]: Closing TUN/TAP interface
....
> Apr 12 01:38:03 serv openvpn[4477]: NOTE: Pulled options changed on
> restart, will need to close and reopen TUN/TAP device.

^^^ На сервере поменялась конфигурация. Просто переустановление
соединения невозможно.

> Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: --ifconfig/up
> options modified
> Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: peer-id set
> Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: route options
> modified
> Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: timers and/or
> timeouts modified
> Apr 12 01:38:03 serv openvpn[4477]: Preserving previous TUN/TAP
> instance: tun1
....
> Apr 12 01:38:04 serv openvpn[4477]: ERROR: Cannot ioctl TUNSETIFF
> tun1: Operation not permitted (errno=1)

... т.к. в chroot клиент OpenVPN работает от непривилегированного
пользователя.



Т.е., или разбираться с сервером (серверами), к которым идёт
подключение, или (наверное, самое простое и правильное) отслеживать 
состояние канала и при его падении перезапускать, или вытаскивать
клиента из chroot и запускать от root.


-- 
С уважением,
Николай Фетисов

Подробная информация о списке рассылки community