[Comm] Openvpn

Nikolay A. Fetisov naf на naf.net.ru
Чт Янв 31 00:04:02 MSK 2013 

В Ср, 30/01/2013 в 19:59 +0400, Vladimir Karpinsky пишет:
> 30.01.2013 19:39, Nikolay A. Fetisov пишет:
> > ...
> > - каналов OpenVPN сколько поднимается?
> 
> 1

Не-а. Два.
Один средствами etcnet, второй - через init-скрипт OpenVPN.

> 
> > - в /etc/net/ifaces/ случаем ничего связанного с OpenVPN не
> >    настраивается?
....
> # cat /etc/net/ifaces/tun0/ovpnoptions

Это - первый канал. Поднимается при поднятии сетевых интерфейсов.

> # Generated by alterator-openvpn-server, do not edit manually
> port 1194
> proto udp
> dev  tun0

Рискну предположить, что в /etc/openvpn/server.conf указан тот же порт 
и тот же интерфейс.

> ca   /var/lib/ssl/certs/openvpn-server-CA.crt
> cert /var/lib/ssl/certs/openvpn-server.cert
> key  /var/lib/ssl/private/openvpn-server.key
> dh   /var/lib/ssl/private/openvpn-server.dh

А вот сертификаты в /etc/openvpn/service.conf указаны, скорее всего,
другие.

> ...
> > # ls -l /etc/openvpn/*.conf
> -rw-r--r-- 1 root root 13596 Ноя 14 18:06 /etc/openvpn/server.conf
> 

А это - второй канал. Поднимается при запуске сервиса, после networks.
Соответственно, упирается в занятый запустившимся из etcnet экземпляром
порт и аварийно завершается.

> > # ls -l /var/run/openvpn-*
> -rw-r--r-- 1 root root 6 Янв  7 15:31 /var/run/openvpn-server.pid
> 

Это - уже запущенный руками.

> > # ps -eo command | grep openvpn
> /usr/sbin/openvpn --config /etc/openvpn/server.conf --daemon --writepid 
> /var/run

Offtopic: chroot и работу от псевдо-пользователя _действительно_ надо
было отключать в /etc/sysconfig/openvpn ?


> 
> > Ошибка _точно_ "can't find(open) config file" ?
> > Куда она выводится - в syslog, на консоль?
> 
> На консоль после service openvpn restart

... но кем она выводится - вопрос отдельный. Поскольку OpenVPN это
вывести не может - в его коде такое сообщение отсутствует.


> Я ждал подключения клиентов пару минут пытался перезапускать OpenVPN, м.б. 
> надо было подождать подольше?

Не думаю. Разве что указанные в /etc/net/ifaces/tun0/ovpnoptions
сертификаты те же, что у клиентов.



Итого:
- есть две конфигурации, в /etc/net и в /etc/openvpn/ ;
- при загрузке системы сначала запускается конфигурация из /etc/net, с 
  (по-видимому) неправильными ключами. И запускается успешно;
- за ней пытается запустится конфигурация из /etc/openvpn/ - что у неё
  не получается, порт уже занят;
- клиенты, соответственно, к серверу с неправильными ключами
  подсоединиться не могут;
- при service openvpn restart  init-скрипт пытается перезапустить все
  каналы - но запущенный из /etc/net экземпляр openvpn он может только
  остановить, а конфигурация из /etc/openvpn/ не работает - т.е.
  перезапущена быть не может;
- service openvpn stop/service openvpn start при этом отрабатывают
  вполне нормально - останавливается одна конфигурация, запускается
  другая;
- то, что запустилось из /etc/openvpn/ - по-видимому, работает.

Т.е.: или удалить каталог /etc/net/ifaces/tun0/ и работать с сервисом,
или отключать сервис и приводить в рабочее состояние конфигурацию в 
/etc/net/ifaces/tun0/ . Сейчас имеется полурабочая каша.


-- 
С уважением,
Николай Фетисов

Подробная информация о списке рассылки community