From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <naf@naf.net.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,RCVD_IN_SORBS_WEB,
	SPF_PASS autolearn=no version=3.2.5
X-Virus-Scanned: amavisd-new at localhost
Message-ID: <1359576242.32585.69.camel@v3405.naf.net.ru>
From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: community@lists.altlinux.org
Date: Thu, 31 Jan 2013 00:04:02 +0400
In-Reply-To: <51094375.6080002@mail.ru>
References: <50A3B9B9.8070803@mail.ru>
	<1352923274.6502.6.camel@v3405.naf.net.ru> <50A3FE60.4040104@mail.ru>
	<51081951.3070300@mail.ru> <1359560342.32585.46.camel@v3405.naf.net.ru>
	<51094375.6080002@mail.ru>
Content-Type: text/plain; charset="KOI8-R"
X-Mailer: Evolution 3.6.3 (3.6.3-alt1) 
Mime-Version: 1.0
Content-Transfer-Encoding: 8bit
Subject: Re: [Comm] Openvpn
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: naf@naf.net.ru, ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 30 Jan 2013 20:03:56 -0000
Archived-At: <http://lore.altlinux.org/community/1359576242.32585.69.camel@v3405.naf.net.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

В Ср, 30/01/2013 в 19:59 +0400, Vladimir Karpinsky пишет:
> 30.01.2013 19:39, Nikolay A. Fetisov пишет:
> > ...
> > - каналов OpenVPN сколько поднимается?
> 
> 1

Не-а. Два.
Один средствами etcnet, второй - через init-скрипт OpenVPN.

> 
> > - в /etc/net/ifaces/ случаем ничего связанного с OpenVPN не
> >    настраивается?
....
> # cat /etc/net/ifaces/tun0/ovpnoptions

Это - первый канал. Поднимается при поднятии сетевых интерфейсов.

> # Generated by alterator-openvpn-server, do not edit manually
> port 1194
> proto udp
> dev  tun0

Рискну предположить, что в /etc/openvpn/server.conf указан тот же порт 
и тот же интерфейс.

> ca   /var/lib/ssl/certs/openvpn-server-CA.crt
> cert /var/lib/ssl/certs/openvpn-server.cert
> key  /var/lib/ssl/private/openvpn-server.key
> dh   /var/lib/ssl/private/openvpn-server.dh

А вот сертификаты в /etc/openvpn/service.conf указаны, скорее всего,
другие.

> ...
> > # ls -l /etc/openvpn/*.conf
> -rw-r--r-- 1 root root 13596 Ноя 14 18:06 /etc/openvpn/server.conf
> 

А это - второй канал. Поднимается при запуске сервиса, после networks.
Соответственно, упирается в занятый запустившимся из etcnet экземпляром
порт и аварийно завершается.

> > # ls -l /var/run/openvpn-*
> -rw-r--r-- 1 root root 6 Янв  7 15:31 /var/run/openvpn-server.pid
> 

Это - уже запущенный руками.

> > # ps -eo command | grep openvpn
> /usr/sbin/openvpn --config /etc/openvpn/server.conf --daemon --writepid 
> /var/run

Offtopic: chroot и работу от псевдо-пользователя _действительно_ надо
было отключать в /etc/sysconfig/openvpn ?


> 
> > Ошибка _точно_ "can't find(open) config file" ?
> > Куда она выводится - в syslog, на консоль?
> 
> На консоль после service openvpn restart

... но кем она выводится - вопрос отдельный. Поскольку OpenVPN это
вывести не может - в его коде такое сообщение отсутствует.


> Я ждал подключения клиентов пару минут пытался перезапускать OpenVPN, м.б. 
> надо было подождать подольше?

Не думаю. Разве что указанные в /etc/net/ifaces/tun0/ovpnoptions
сертификаты те же, что у клиентов.



Итого:
- есть две конфигурации, в /etc/net и в /etc/openvpn/ ;
- при загрузке системы сначала запускается конфигурация из /etc/net, с 
  (по-видимому) неправильными ключами. И запускается успешно;
- за ней пытается запустится конфигурация из /etc/openvpn/ - что у неё
  не получается, порт уже занят;
- клиенты, соответственно, к серверу с неправильными ключами
  подсоединиться не могут;
- при service openvpn restart  init-скрипт пытается перезапустить все
  каналы - но запущенный из /etc/net экземпляр openvpn он может только
  остановить, а конфигурация из /etc/openvpn/ не работает - т.е.
  перезапущена быть не может;
- service openvpn stop/service openvpn start при этом отрабатывают
  вполне нормально - останавливается одна конфигурация, запускается
  другая;
- то, что запустилось из /etc/openvpn/ - по-видимому, работает.

Т.е.: или удалить каталог /etc/net/ifaces/tun0/ и работать с сервисом,
или отключать сервис и приводить в рабочее состояние конфигурацию в 
/etc/net/ifaces/tun0/ . Сейчас имеется полурабочая каша.


-- 
С уважением,
Николай Фетисов