[Comm] openvpn падает из-за недостатка прав
Stas
stas.grumbler на gmail.com
Чт Апр 12 14:50:00 MSK 2018
Приветствую!
On 12.04.2018 13:45, Nikolay A. Fetisov wrote:
> Здравствуйте!
>
> В Чт, 12/04/2018 в 12:18 +0500, Stas пишет:
>> Сервер обновлён с P7 до P8 в прошлом году.
>>
> ....
>> Openvpn-клиент работает постоянно и несколько месяцев назад стал
>> время от времени падать с диагностикой "недостаточно прав". Падение
>> происходит после обрява соединения с сервером, при попытке
>> восстановить туннель.
> На сервере меняется конфигурация туннеля. Или есть несколько серверов
> с разной конфигурацией, и при переподключении выбирается другой.
Сервер один, на нём конфиг неизменен. Более того, процесс openvpn на
сервере работает непрерывно много дней.
Просто упал канал между сервером и клиентом, клиент по таймауту
переподключается.
>> Первое, что было не так - отсутствовал /var/lib/openvpn/dev/net/tun ,
>> не было даже /var/lib/openvpn/dev/net (при установлении соединения
>> была ошибка"ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file
>> or directory (errno=2)"
> Это не требуется. При наличии persist-tun интерфейс открывается при
> запуске openvpn и при переподключении соединение не закрывается.
Я тоже так думал. :)
Конфиг клиента (я убрал только строку remote), persist-tun стоит:
===============
client
ns-cert-type server
nobind
dev tun1
comp-lzo
proto udp
tls-client
keysize 448
pkcs12 /etc/openvpn/keys/client.p12
verb 3
mute 10
pull
keepalive 5 45
persist-key
*persist-tun*
auth-nocache
===============
> С другой стороны, внутри chroot OpenVPN работает от обычного
> пользователя - создать и настроить заново интерфейс он всё равно не
> сможет.
>
>
>> На другом сервере , где до сих пор работает P7, таких ошибок нет -
>> соединение восстанавливется без проблем.
> С тем же сервером? С той же конфигурацией?
Да. На тот сервер с P8 постоянно подняты два тоннеля, один с P8,
проблемный, второй с Debian, он стабилен (там openvpn старой версии в
режиме клиента).
У меня таких серверов, различающихся только сертификатами, шесть штук,
из них на трёх работает как openvpn-сервер, так и openvpn-клиент(ы). И
только один тоннель не восстанавливается при обрыве - между серверами с
P8, апгрейженными с P7.
Если не удастся разобраться, придётся убирать openvpn-клиент из chroot?
>> Apr 12 01:38:03 serv openvpn[4477]: NOTE: Pulled options changed on
>> restart, will need to close and reopen TUN/TAP device.
> ^^^ На сервере поменялась конфигурация. Просто переустановление
> соединения невозможно.
>
>> Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: --ifconfig/up
>> options modified
>> Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: peer-id set
>> Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: route options
>> modified
>> Apr 12 01:38:03 serv openvpn[4477]: OPTIONS IMPORT: timers and/or
>> timeouts modified
>> Apr 12 01:38:03 serv openvpn[4477]: Preserving previous TUN/TAP
>> instance: tun1
> ....
>> Apr 12 01:38:04 serv openvpn[4477]: ERROR: Cannot ioctl TUNSETIFF
>> tun1: Operation not permitted (errno=1)
> ... т.к. в chroot клиент OpenVPN работает от непривилегированного
> пользователя.
>
> Т.е., или разбираться с сервером (серверами), к которым идёт
> подключение, или (наверное, самое простое и правильное) отслеживать
> состояние канала и при его падении перезапускать, или вытаскивать
> клиента из chroot и запускать от root.
--
Станислав Дёгтев
Служба "Ваш админ"
Мои контакты:
- jabber: grumbler на grumbler.org
- email: stas.grumbler на gmail.com и stas на vashadmin.su
- телефоны в Е-бурге +79045430461, +79222112259, +79505571146
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/community/attachments/20180412/cbd01a4d/attachment.html>
Подробная информация о списке рассылки community