ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Openvpn
@ 2012-11-14 15:33 Vladimir Karpinsky
  2012-11-14 19:58 ` Michael A. Kangin
  2012-11-14 20:01 ` Nikolay A. Fetisov
  0 siblings, 2 replies; 31+ messages in thread
From: Vladimir Karpinsky @ 2012-11-14 15:33 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Здравствуйте!

После обновления ядра и рестарта компьютера, странно себя повёл openvpn:

1. при загрузке openvpn на проверку окружения сказал OK, а на start --- FILED

2. По окончании загрузки service openvpn status ответил, что running, но 
подключения не проходили. В логах ругань на сертификаты:

Nov 14 17:22:41 plkv openvpn[6764]: 111.222.333.444:28042 VERIFY ERROR: 
depth=1, error=self signed certificate in certificate chain: 
/C=RU/O=GS_RAS/OU=GS_RAS_Certification_Authority/CN=GS_RAS_Root_Certification_Authority
Nov 14 17:22:41 plkv openvpn[6764]: 111.222.333.444:28042 TLS_ERROR: BIO 
read tls_read_plaintext error: error:140890B2:SSL 
routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Nov 14 17:22:41 plkv openvpn[6764]: 111.222.333.444:28042 TLS Error: TLS 
object -> incoming plaintext read error
Nov 14 17:22:41 plkv openvpn[6764]: 111.222.333.444:28042 TLS Error: TLS 
handshake failed
Nov 14 17:22:41 plkv openvpn[6764]: 111.222.333.444:28042 
SIGUSR1[soft,tls-error] received, client-instance restarting
Nov 14 17:22:42 plkv openvpn[6764]: MULTI: multi_create_instance called

3. Попытался рестартовать сервис. Получил ругань, что не найден config file.

4. Тут же сделал старт и всё заработало.

5. Пришлось ещё раз перезагрузить комп --- вся процедура повторилась.

Как бы это исправить?

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2012-11-14 15:33 [Comm] Openvpn Vladimir Karpinsky
@ 2012-11-14 19:58 ` Michael A. Kangin
  2012-11-14 20:13   ` Vladimir Karpinsky
  2012-11-14 20:01 ` Nikolay A. Fetisov
  1 sibling, 1 reply; 31+ messages in thread
From: Michael A. Kangin @ 2012-11-14 19:58 UTC (permalink / raw)
  To: ALT Linux Community general discussions

On 11/14/2012 07:33 PM, Vladimir Karpinsky wrote:

Я конечно прощенья прошу, а диск у вас не дохнет случаем?

> После обновления ядра и рестарта компьютера, странно себя повёл openvpn:
> 
> 1. при загрузке openvpn на проверку окружения сказал OK, а на start --- FILED
> 
> 2. По окончании загрузки service openvpn status ответил, что running, но 
> подключения не проходили. В логах ругань на сертификаты:

В процессах висит, порт-адрес слушает?
проблем с сетью нету, в dmesg чисто?
netstat -s никаких дропов не рисует?

> 3. Попытался рестартовать сервис. Получил ругань, что не найден config file.

Как ругань выглядит? физически файл есть, читается нормально, права
адекватные?

> 4. Тут же сделал старт и всё заработало.
> 5. Пришлось ещё раз перезагрузить комп --- вся процедура повторилась.
> Как бы это исправить?

Глюк какой-то!!1


-- 
wbr, Michael A. Kangin


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2012-11-14 15:33 [Comm] Openvpn Vladimir Karpinsky
  2012-11-14 19:58 ` Michael A. Kangin
@ 2012-11-14 20:01 ` Nikolay A. Fetisov
  2012-11-14 20:26   ` Vladimir Karpinsky
  1 sibling, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2012-11-14 20:01 UTC (permalink / raw)
  To: community

Здравствуйте,

В Ср, 14/11/2012 в 19:33 +0400, Vladimir Karpinsky пишет:

> После обновления ядра и рестарта компьютера, странно себя повёл openvpn:
> 
> 1. при загрузке openvpn на проверку окружения сказал OK, а на start --- FILED

Обновление ядра на какое? Система - на базе t6/p6, или чего-то ещё?

OpenVPN запускается через service openvpn start, или средствами etcnet?

Речь идёт о клиенте, или сервере?

> 2. По окончании загрузки service openvpn status ответил, что running, но 
> подключения не проходили. В логах ругань на сертификаты:
> ....
> 
> 3. Попытался рестартовать сервис. Получил ругань, что не найден config file.

Какую именно?

> 4. Тут же сделал старт и всё заработало.
> 
> 5. Пришлось ещё раз перезагрузить комп --- вся процедура повторилась.

Со временем на машине всё нормально? В качестве гипотезы - при
перезагрузке берётся неправильное время (типа прошлого года), и
сертификаты не проходят проверку времени действия. Далее часы
подводятся NTP до правильного времени - всё начинает само собой
работать. При следующей перезагрузке - повторение ситуации.


-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2012-11-14 19:58 ` Michael A. Kangin
@ 2012-11-14 20:13   ` Vladimir Karpinsky
  0 siblings, 0 replies; 31+ messages in thread
From: Vladimir Karpinsky @ 2012-11-14 20:13 UTC (permalink / raw)
  To: community

14.11.2012 23:58, Michael A. Kangin пишет:
> On 11/14/2012 07:33 PM, Vladimir Karpinsky wrote:
>
> Я конечно прощенья прошу, а диск у вас не дохнет случаем?

Там зеркальный RAID, mdstat в порядке.

>> После обновления ядра и рестарта компьютера, странно себя повёл openvpn:
>>
>> 1. при загрузке openvpn на проверку окружения сказал OK, а на start --- FILED
>>
>> 2. По окончании загрузки service openvpn status ответил, что running, но
>> подключения не проходили. В логах ругань на сертификаты:
>
> В процессах висит, порт-адрес слушает?
> проблем с сетью нету, в dmesg чисто?

Интерфейс tun0 был поднят. Проблемы с сетью были, никто не иог подключиться 
к серверу. Обычная сеть работала нормально.

 > netstat -s никаких дропов не рисует?

Пока больше перегружать не хочу --- следующий раз посмотрю

>> 3. Попытался рестартовать сервис. Получил ругань, что не найден config file.
>
> Как ругань выглядит? физически файл есть, читается нормально, права
> адекватные?

Файл есть. Ругань именно так и выглядит --- can't find config file, ну или 
что-то очень близкое к этому тексту

>> 4. Тут же сделал старт и всё заработало.

Пауза между 3 и 4 была 30 секунд, я опешил, поскольку только что смотрел на 
этот файл несколько секунд назад. Больше ничего не делал, только написал 
service openvpn start.

>> 5. Пришлось ещё раз перезагрузить комп --- вся процедура повторилась.
>> Как бы это исправить?
>
> Глюк какой-то!!1

И я про то же, но 2 раза подряд!...

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2012-11-14 20:01 ` Nikolay A. Fetisov
@ 2012-11-14 20:26   ` Vladimir Karpinsky
  2013-01-29 18:47     ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2012-11-14 20:26 UTC (permalink / raw)
  To: community

15.11.2012 0:01, Nikolay A. Fetisov пишет:
> Здравствуйте,
>
> В Ср, 14/11/2012 в 19:33 +0400, Vladimir Karpinsky пишет:
>
>> После обновления ядра и рестарта компьютера, странно себя повёл openvpn:
>>
>> 1. при загрузке openvpn на проверку окружения сказал OK, а на start --- FILED
>
> Обновление ядра на какое? Система - на базе t6/p6, или чего-то ещё?

P6

> OpenVPN запускается через service openvpn start, или средствами etcnet?

По всей видимости через service

> Речь идёт о клиенте, или сервере?

О сервере

>> 2. По окончании загрузки service openvpn status ответил, что running, но
>> подключения не проходили. В логах ругань на сертификаты:
>> ....
>>
>> 3. Попытался рестартовать сервис. Получил ругань, что не найден config file.
>
> Какую именно?

can't find(open) config file

>> 4. Тут же сделал старт и всё заработало.
>>
>> 5. Пришлось ещё раз перезагрузить комп --- вся процедура повторилась.
>
> Со временем на машине всё нормально? В качестве гипотезы - при
> перезагрузке берётся неправильное время (типа прошлого года), и
> сертификаты не проходят проверку времени действия. Далее часы
> подводятся NTP до правильного времени - всё начинает само собой
> работать. При следующей перезагрузке - повторение ситуации.

По симптомам действительно похоже. При следующем выключении посмотрю.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2012-11-14 20:26   ` Vladimir Karpinsky
@ 2013-01-29 18:47     ` Vladimir Karpinsky
  2013-01-30 15:39       ` Nikolay A. Fetisov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-01-29 18:47 UTC (permalink / raw)
  To: community

Сделал ещё один подход к поиску проблемы запуска openvpn. Ситуация такая:

1. При загрузке компьютера проверка окружения openvpn проходит успешно, но 
запуск openvpn заканчивается неудачей. При этом после загрузки на запрос 
статуса, отвечает, что running, но не работает.

2. Еси сделать стоп-старт, то запускается нормально.

3. Если сделать рестарт, то останавливается, дальше ругается на отсутствие 
конфиг файла. Последующий старт проходит нормально.

4. В логах до и после рестарта всё аналогично, за исключением одной строки: 
после рестарта, когда всё начинает работать, после подключения клиента 
проходит строка
Jan  7 15:30:46 plkv openvpn[6791]: MULTI: multi_create_instance called

Со временем проблем нет. Есть некоторое подозрение, что к моменту загрузки 
ещё что-то нужное не запустилось.


15.11.2012 0:26, Vladimir Karpinsky пишет:
>>> 3. Попытался рестартовать сервис. Получил ругань, что не найден config
>>> file.
>>
>> Какую именно?
>
> can't find(open) config file
>
>>> 4. Тут же сделал старт и всё заработало.
>>>
>>> 5. Пришлось ещё раз перезагрузить комп --- вся процедура повторилась.
>>
>> Со временем на машине всё нормально? В качестве гипотезы - при
>> перезагрузке берётся неправильное время (типа прошлого года), и
>> сертификаты не проходят проверку времени действия. Далее часы
>> подводятся NTP до правильного времени - всё начинает само собой
>> работать. При следующей перезагрузке - повторение ситуации.
>
> По симптомам действительно похоже. При следующем выключении посмотрю.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-01-29 18:47     ` Vladimir Karpinsky
@ 2013-01-30 15:39       ` Nikolay A. Fetisov
  2013-01-30 15:59         ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-01-30 15:39 UTC (permalink / raw)
  To: community

В Вт, 29/01/2013 в 22:47 +0400, Vladimir Karpinsky пишет:
> Сделал ещё один подход к поиску проблемы запуска openvpn. Ситуация такая:

Восстанавливая то, что писалось два с половиной месяца назад:

- речь идёт о _сервере_ OpenVPN?
- каналов OpenVPN сколько поднимается?
- в /etc/net/ifaces/ случаем ничего связанного с OpenVPN не
  настраивается?

> 1. При загрузке компьютера проверка окружения openvpn проходит успешно, но 
> запуск openvpn заканчивается неудачей. 
> При этом после загрузки на запрос 
> статуса, отвечает, что running, но не работает.

Не работает - это нет процесса openvpn? Не могут подключиться клиенты?
Что в логах клиентов?

> 2. Еси сделать стоп-старт, то запускается нормально.
> 
> 3. Если сделать рестарт, то останавливается, дальше ругается на отсутствие 
> конфиг файла. Последующий старт проходит нормально.

Вывод:
# rpm -q openvpn
# rpm --verify  openvpn
# ls -l /etc/openvpn/*.conf
# ls -l /var/run/openvpn-*       
# ps -eo command | grep openvpn

Ошибка _точно_ "can't find(open) config file" ?
Куда она выводится - в syslog, на консоль?

> 4. В логах до и после рестарта всё аналогично, за исключением одной строки: 
> после рестарта, когда всё начинает работать, после подключения клиента 
> проходит строка
> Jan  7 15:30:46 plkv openvpn[6791]: MULTI: multi_create_instance called
> 

В прошлый раз эта строка приводилась в примере, когда сервер соединения
_не принимал_, кстати.


-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-01-30 15:39       ` Nikolay A. Fetisov
@ 2013-01-30 15:59         ` Vladimir Karpinsky
  2013-01-30 20:04           ` Nikolay A. Fetisov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-01-30 15:59 UTC (permalink / raw)
  To: community

30.01.2013 19:39, Nikolay A. Fetisov пишет:
> В Вт, 29/01/2013 в 22:47 +0400, Vladimir Karpinsky пишет:
>> Сделал ещё один подход к поиску проблемы запуска openvpn. Ситуация такая:
>
> Восстанавливая то, что писалось два с половиной месяца назад:

Мне не хочется только ради этих экспериментов перенружать работающий сервер.

> - речь идёт о _сервере_ OpenVPN?

Сервер

> - каналов OpenVPN сколько поднимается?

1

> - в /etc/net/ifaces/ случаем ничего связанного с OpenVPN не
>    настраивается?

# ls /etc/net/ifaces/tun0/
options  ovpnoptions
# ls /etc/net/ifaces/tun0/options
/etc/net/ifaces/tun0/options
# cat /etc/net/ifaces/tun0/options
ONBOOT=yes
TYPE=ovpn
BOOTPROTO=static
# cat /etc/net/ifaces/tun0/ovpnoptions
# Generated by alterator-openvpn-server, do not edit manually
port 1194
proto udp
dev  tun0
ca   /var/lib/ssl/certs/openvpn-server-CA.crt
cert /var/lib/ssl/certs/openvpn-server.cert
key  /var/lib/ssl/private/openvpn-server.key
dh   /var/lib/ssl/private/openvpn-server.dh
server 10.8.0.0 255.255.255.0
user openvpn
group openvpn
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-config-dir /etc/openvpn/ccd
persist-key
persist-tun
client-to-client
script-security 2
status openvpn-status.log
verb 3
comp-lzo
# Server networks start
push "route 195.19.205.72 255.255.255.248"
# Server networks end

>> 1. При загрузке компьютера проверка окружения openvpn проходит успешно, но
>> запуск openvpn заканчивается неудачей.
>> При этом после загрузки на запрос
>> статуса, отвечает, что running, но не работает.
>
> Не работает - это нет процесса openvpn? Не могут подключиться клиенты?
> Что в логах клиентов?

Не могут подключиться клиенты. Ошибка сертификата.

>> 2. Еси сделать стоп-старт, то запускается нормально.
>>
>> 3. Если сделать рестарт, то останавливается, дальше ругается на отсутствие
>> конфиг файла. Последующий старт проходит нормально.
>
> Вывод:
> # rpm -q openvpn
openvpn-2.1.4-alt1

> # rpm --verify  openvpn
.M....G.   /etc/openvpn/keys

> # ls -l /etc/openvpn/*.conf
-rw-r--r-- 1 root root 13596 Ноя 14 18:06 /etc/openvpn/server.conf

> # ls -l /var/run/openvpn-*
-rw-r--r-- 1 root root 6 Янв  7 15:31 /var/run/openvpn-server.pid

> # ps -eo command | grep openvpn
/usr/sbin/openvpn --config /etc/openvpn/server.conf --daemon --writepid 
/var/run

> Ошибка _точно_ "can't find(open) config file" ?
> Куда она выводится - в syslog, на консоль?

На консоль после service openvpn restart

>> 4. В логах до и после рестарта всё аналогично, за исключением одной строки:
>> после рестарта, когда всё начинает работать, после подключения клиента
>> проходит строка
>> Jan  7 15:30:46 plkv openvpn[6791]: MULTI: multi_create_instance called
>>
>
> В прошлый раз эта строка приводилась в примере, когда сервер соединения
> _не принимал_, кстати.

Да, вот, я их пытаюсь сравнить и большой разницы не вижу.

Я ждал подключения клиентов пару минут пытался перезапускать OpenVPN, м.б. 
надо было подождать подольше?

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-01-30 15:59         ` Vladimir Karpinsky
@ 2013-01-30 20:04           ` Nikolay A. Fetisov
  2013-02-02  4:52             ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-01-30 20:04 UTC (permalink / raw)
  To: community

В Ср, 30/01/2013 в 19:59 +0400, Vladimir Karpinsky пишет:
> 30.01.2013 19:39, Nikolay A. Fetisov пишет:
> > ...
> > - каналов OpenVPN сколько поднимается?
> 
> 1

Не-а. Два.
Один средствами etcnet, второй - через init-скрипт OpenVPN.

> 
> > - в /etc/net/ifaces/ случаем ничего связанного с OpenVPN не
> >    настраивается?
....
> # cat /etc/net/ifaces/tun0/ovpnoptions

Это - первый канал. Поднимается при поднятии сетевых интерфейсов.

> # Generated by alterator-openvpn-server, do not edit manually
> port 1194
> proto udp
> dev  tun0

Рискну предположить, что в /etc/openvpn/server.conf указан тот же порт 
и тот же интерфейс.

> ca   /var/lib/ssl/certs/openvpn-server-CA.crt
> cert /var/lib/ssl/certs/openvpn-server.cert
> key  /var/lib/ssl/private/openvpn-server.key
> dh   /var/lib/ssl/private/openvpn-server.dh

А вот сертификаты в /etc/openvpn/service.conf указаны, скорее всего,
другие.

> ...
> > # ls -l /etc/openvpn/*.conf
> -rw-r--r-- 1 root root 13596 Ноя 14 18:06 /etc/openvpn/server.conf
> 

А это - второй канал. Поднимается при запуске сервиса, после networks.
Соответственно, упирается в занятый запустившимся из etcnet экземпляром
порт и аварийно завершается.

> > # ls -l /var/run/openvpn-*
> -rw-r--r-- 1 root root 6 Янв  7 15:31 /var/run/openvpn-server.pid
> 

Это - уже запущенный руками.

> > # ps -eo command | grep openvpn
> /usr/sbin/openvpn --config /etc/openvpn/server.conf --daemon --writepid 
> /var/run

Offtopic: chroot и работу от псевдо-пользователя _действительно_ надо
было отключать в /etc/sysconfig/openvpn ?


> 
> > Ошибка _точно_ "can't find(open) config file" ?
> > Куда она выводится - в syslog, на консоль?
> 
> На консоль после service openvpn restart

... но кем она выводится - вопрос отдельный. Поскольку OpenVPN это
вывести не может - в его коде такое сообщение отсутствует.


> Я ждал подключения клиентов пару минут пытался перезапускать OpenVPN, м.б. 
> надо было подождать подольше?

Не думаю. Разве что указанные в /etc/net/ifaces/tun0/ovpnoptions
сертификаты те же, что у клиентов.



Итого:
- есть две конфигурации, в /etc/net и в /etc/openvpn/ ;
- при загрузке системы сначала запускается конфигурация из /etc/net, с 
  (по-видимому) неправильными ключами. И запускается успешно;
- за ней пытается запустится конфигурация из /etc/openvpn/ - что у неё
  не получается, порт уже занят;
- клиенты, соответственно, к серверу с неправильными ключами
  подсоединиться не могут;
- при service openvpn restart  init-скрипт пытается перезапустить все
  каналы - но запущенный из /etc/net экземпляр openvpn он может только
  остановить, а конфигурация из /etc/openvpn/ не работает - т.е.
  перезапущена быть не может;
- service openvpn stop/service openvpn start при этом отрабатывают
  вполне нормально - останавливается одна конфигурация, запускается
  другая;
- то, что запустилось из /etc/openvpn/ - по-видимому, работает.

Т.е.: или удалить каталог /etc/net/ifaces/tun0/ и работать с сервисом,
или отключать сервис и приводить в рабочее состояние конфигурацию в 
/etc/net/ifaces/tun0/ . Сейчас имеется полурабочая каша.


-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-01-30 20:04           ` Nikolay A. Fetisov
@ 2013-02-02  4:52             ` Vladimir Karpinsky
  2013-02-02  6:45               ` Vladimir Karpinsky
  2013-02-02 12:37               ` Nikolay A. Fetisov
  0 siblings, 2 replies; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-02  4:52 UTC (permalink / raw)
  To: community

Здравствуйте!
31.01.2013 0:04, Nikolay A. Fetisov пишет:

> Offtopic: chroot и работу от псевдо-пользователя _действительно_ надо
> было отключать в /etc/sysconfig/openvpn ?

А оно отключено? Конфигурации клиентов лежат в 
/var/lib/openvpn/etc/openvpn/ccd, и вроде, как используются --- адреса 
берутся оттуда. Специально я не отключал, но вполне мог сделать это по 
незнанию.

> Итого:
> - есть две конфигурации, в /etc/net и в /etc/openvpn/ ;

Спасибо за подробный разбор. Теперь ситуация более-менее понятна. По всей 
видимости одна конфигурация создана через альтератор, а вторая --- руками 
по какому-то описанию, найденному в сети. Есть ли преимущества у 
какого-нибудь способа запуска?

> Т.е.: или удалить каталог /etc/net/ifaces/tun0/ и работать с сервисом,
> или отключать сервис и приводить в рабочее состояние конфигурацию в
> /etc/net/ifaces/tun0/ . Сейчас имеется полурабочая каша.
>
>
Правильно ли я понимаю, что отключив, "OpenVPN сервер" в альтераторе, уберу 
и запуск через etcnet.

Пытаюсь для начала свести конфигурации к единообразности по сертификатам.

Сертификаты (/etc/net)
cert /var/lib/ssl/certs/openvpn-server.cert
key  /var/lib/ssl/private/openvpn-server.key
dh   /var/lib/ssl/private/openvpn-server.dh
и (/etc/openvpn)
cert /etc/openvpn/keys/openvpn-server.cert
key  /etc/openvpn/keys/openvpn-server.key
dh /etc/openvpn/keys/dh1024.pem
совпадают. Путь в обеих конфигурациях для client-config-dir совпадает.

Проблема в
ca   /var/lib/ssl/certs/openvpn-server-CA.crt
и
ca   /etc/openvpn/keys/ca-root.pem
На клиентах лежит второй. Смущает то, что они на внешвид совсем разные. 
Первый начинается сразу с ---BEGIN CERTIFICATE-----, а у второго идёт ещё 
сначала текстовая часть, да и сертификаты разные. Заменить какой-либо 
другим рука не поднимается. Клиентов немного, могу у них заменить без 
особых проблем.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02  4:52             ` Vladimir Karpinsky
@ 2013-02-02  6:45               ` Vladimir Karpinsky
  2013-02-02 12:37               ` Nikolay A. Fetisov
  1 sibling, 0 replies; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-02  6:45 UTC (permalink / raw)
  To: community

02.02.2013 8:52, Vladimir Karpinsky пишет:
>> Т.е.: или удалить каталог /etc/net/ifaces/tun0/ и работать с сервисом,

> Правильно ли я понимаю, что отключив, "OpenVPN сервер" в альтераторе, уберу
> и запуск через etcnet.

Результат отрицательный, пришлось физически отодвинуть каталог. Отодвинуть 
на тот случай, если всё же выяснится, что через etcnet это делать 
лучше/правильнее/...

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02  4:52             ` Vladimir Karpinsky
  2013-02-02  6:45               ` Vladimir Karpinsky
@ 2013-02-02 12:37               ` Nikolay A. Fetisov
  2013-02-02 13:04                 ` Vladimir Karpinsky
  1 sibling, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-02 12:37 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Здравствуйте!

В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет:
> 31.01.2013 0:04, Nikolay A. Fetisov пишет:
> 
> > Offtopic: chroot и работу от псевдо-пользователя _действительно_ надо
> > было отключать в /etc/sysconfig/openvpn ?
> 
> А оно отключено? ...

В /etc/sysconfig/openvpn из пакета присутствуют строки
CHROOT=yes
OPENVPNUSER=openvpn
OPENVPNGROUP=openvpn

При их наличии init-скрипт запускает OpenVPN с ключами командной строки
"--user openvpn --group openvpn --persist-tun --persist-key
--chroot /var/lib/openvpn"

У Вас этого не наблюдается - соответственно, в /etc/sysconfig/openvpn
они отключены.
А есть ли соответствующие параметры в файле конфигурации - надо смотреть
отдельно.

...
> > Итого:
> > - есть две конфигурации, в /etc/net и в /etc/openvpn/ ;
> 
> Спасибо за подробный разбор. Теперь ситуация более-менее понятна. 

Было бы.

> По всей видимости одна конфигурация создана через альтератор, а вторая --- руками 
> по какому-то описанию, найденному в сети. 

Вообще-то, есть /usr/share/doc/openvpn-*/README* .

> Есть ли преимущества у какого-нибудь способа запуска?

Не скажу - я не пользуюсь ни конфигураций через etcnet, ни альтератором
в целом.

Запуск через init-скрипт - исторически первый появившийся и де-факто
стандартный. Зато конфигурация через etcnet поддерживается альтератором.

Через init-скрипт по-умолчанию OpenVPN запускается в chroot, через
etcnet, _судя по приведённому Вами файлу конфигурации_ - нет.

Как я понимаю, при наличии нескольких каналов OpenVPN в etcnet под
каждый надо создавать отдельный интерфейс - вне зависимости от того,
запускаются они все вместе, или выборочно. Через init-скрипт можно 
иметь конфигурации, не привязанные к именам интерфейсов (т.е. иметь в 
файле конфигурации просто 'dev tun', а не 'dev tunN') - что для
эпизодически используемых вручную запускаемых подключений может
упростить конфигурацию iptables.

При обновлении пакета сервис автоматически перезапустится - каналы,
поднятые etcnet, перезапускаться не будут и продолжат работать на
исполняемом коде старой версии пакета.

Так что, выбирать Вам.

Кстати, как минимум для клиентов есть и ещё один способ - Network
Manager. Со своим собственным способом хранения конфигурации и запуска
openvpn.

> ...
> Пытаюсь для начала свести конфигурации к единообразности по сертификатам.
> ...

На самом деле, зависит от того, как (чем) создаются сертификаты.
В целом:
- должен быть центр сертификации (Certification Authority) - его
  сертификат (или цепочка для SubCA) указывается в параметре ca;
- для сервера должен быть ключ и серверный сертификат, подписанный CA - 
  в key и cert в файле конфигурации сервера соответственно;
- для клиента должен быть ключ и клиентский сертификат, подписанный CA -
  в key и cert в файле конфигурации клиента соответственно;
- сертификаты CA, сервера и клиента должны быть действующими.

Т.е., сертификат CA на сервере должен быть тот же, что и на клиентах,
сертификат сервера должен быть подписан этим CA, и сертификаты клиентов
также должны быть подписаны тем же самым CA.

Опционально, на сервере в каталоге, указанном в ccd, _может_ быть файл
с именем, совпадающим с CN сертификата клиента - тогда клиенту будет
дополнительно при подключении передана конфигурация из такого файла.

Опционально, при задании на сервере параметра ccd-exclusive, файл в ccd
_обязан_ быть - иначе соединение с клиентом не будет установлено даже в
том случае, если сертификат у клиента правильный.


Вариант, когда в двух разных конфигурациях key и cert одинаковые, а
ca разный - какой-то очень подозрительный. Т.е., такое может и работать
(например, сертификат CA помещён внутрь cert, и отдельно указанный ca не
используется; или cert самоподписанный, и им же подписаны сертификаты
клиентов), но выглядит оно как-то странно.

-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02 12:37               ` Nikolay A. Fetisov
@ 2013-02-02 13:04                 ` Vladimir Karpinsky
  2013-02-02 14:51                   ` Nikolay A. Fetisov
  2013-02-02 15:22                   ` Vladimir Karpinsky
  0 siblings, 2 replies; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-02 13:04 UTC (permalink / raw)
  To: community

02.02.2013 16:37, Nikolay A. Fetisov пишет:
> В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет:
>> 31.01.2013 0:04, Nikolay A. Fetisov пишет:
>>
>>> Offtopic: chroot и работу от псевдо-пользователя _действительно_ надо
>>> было отключать в /etc/sysconfig/openvpn ?
>>
>> А оно отключено? ...
>
> В /etc/sysconfig/openvpn из пакета присутствуют строки
> CHROOT=yes
> OPENVPNUSER=openvpn
> OPENVPNGROUP=openvpn
>
> При их наличии init-скрипт запускает OpenVPN с ключами командной строки
> "--user openvpn --group openvpn --persist-tun --persist-key
> --chroot /var/lib/openvpn"
>
> У Вас этого не наблюдается - соответственно, в /etc/sysconfig/openvpn
> они отключены.
> А есть ли соответствующие параметры в файле конфигурации - надо смотреть
> отдельно.

Строк нет, вероятно, уход в чрут полезен, да и вставить 3 строки недолго, 
пользователь и группа имеются. Чем может грозить сам переход?

>> Есть ли преимущества у какого-нибудь способа запуска?
>
> Не скажу - я не пользуюсь ни конфигураций через etcnet, ни альтератором
> в целом.

> Так что, выбирать Вам.

Пока убрал etcnet, т.к. рабочий (по сертификатам) init-скрипт, дальше подумаю.

>> ...
>> Пытаюсь для начала свести конфигурации к единообразности по сертификатам.
>> ...
>
> На самом деле, зависит от того, как (чем) создаются сертификаты.
> В целом:
> - должен быть центр сертификации (Certification Authority) - его
>    сертификат (или цепочка для SubCA) указывается в параметре ca;
> - для сервера должен быть ключ и серверный сертификат, подписанный CA -
>    в key и cert в файле конфигурации сервера соответственно;
> - для клиента должен быть ключ и клиентский сертификат, подписанный CA -
>    в key и cert в файле конфигурации клиента соответственно;
> - сертификаты CA, сервера и клиента должны быть действующими.
>
> Т.е., сертификат CA на сервере должен быть тот же, что и на клиентах,
> сертификат сервера должен быть подписан этим CA, и сертификаты клиентов
> также должны быть подписаны тем же самым CA.
>
> Опционально, на сервере в каталоге, указанном в ccd, _может_ быть файл
> с именем, совпадающим с CN сертификата клиента - тогда клиенту будет
> дополнительно при подключении передана конфигурация из такого файла.
>
Это всё есть и работает. На клиентах прописан ca, тот который прописан в 
/etc/openvpn, тот, что в etcnet --- другой, из-за этого, скорее всего, 
клиенты подцепиться не могли, когда он запускался при загрузке, и писали 
ошибку сертификата. Я в какой-то момент, когда запускал, совсем в 
сертификатах запутался и вероятно создал CA не один раз --- один попал в 
конфиг альтератора, а второй, когда создавал /etc/openvpn. Вопрос в том, 
почему файлы так значительно отличаются по структуре. Почему у них 
оказались разные расширения, есть ли в этом какой-то физический смысл?

> Вариант, когда в двух разных конфигурациях key и cert одинаковые, а
> ca разный - какой-то очень подозрительный. Т.е., такое может и работать
> (например, сертификат CA помещён внутрь cert, и отдельно указанный ca не
> используется; или cert самоподписанный, и им же подписаны сертификаты
> клиентов), но выглядит оно как-то странно.

Плохо то, что сделал давно, заниматься этим приходится урывками, да и 
сервер лишний раз перегружать не хочу. В результате работает, но как...

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02 13:04                 ` Vladimir Karpinsky
@ 2013-02-02 14:51                   ` Nikolay A. Fetisov
  2013-02-02 15:17                     ` Vladimir Karpinsky
  2013-02-02 15:22                   ` Vladimir Karpinsky
  1 sibling, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-02 14:51 UTC (permalink / raw)
  To: community

В Сб, 02/02/2013 в 17:04 +0400, Vladimir Karpinsky пишет:
> 02.02.2013 16:37, Nikolay A. Fetisov пишет:
> > В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет:
> >> 31.01.2013 0:04, Nikolay A. Fetisov пишет:
> ...
> вероятно, уход в чрут полезен, да и вставить 3 строки недолго, 
> пользователь и группа имеются. Чем может грозить сам переход?

В простых случаях - ничем. При сложной конфигурации - невозможностью 
подключения клиентов. В целом, оно расписано в README.ALT.utf-8 .

> >> ...
> >> Пытаюсь для начала свести конфигурации к единообразности по сертификатам.
> >> ...
> >
> > На самом деле, зависит от того, как (чем) создаются сертификаты.
> ...
> почему файлы так значительно отличаются по структуре. Почему у них 
> оказались разные расширения, есть ли в этом какой-то физический смысл?
> 

В формате PEM сертификат размещается в файле между строками 
"-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----", 
вне них может быть произвольный текст - то, чем
генерируются/подписываются сертификаты, может вставить туда
свои комментарии, свою служебную информацию и т.д.

Формат файлов сертификатов, на самом деле, форматом PEM не ограничен -
OpenVPN сам их не разбирает, годится всё, что понимает OpenSSL .

Расширения - чистая условность, они не важны. На самом деле,
и файлы сертификатов тоже могут отсутствовать - возможно вставить
сертификаты и ключ непосредственно в файл конфигурации OpenVPN.
Для этого вместо параметров ca, cert и key с именами файлов 
в конфигурацию OpenVPN вставляется содержимое этих файлов, в окружении
тегов <ca>...</ca>, <cert>...</cert>, <key>...</key> .


> ...
> Плохо то, что сделал давно, заниматься этим приходится урывками, да и 
> сервер лишний раз перегружать не хочу. В результате работает, но как...
> 

Перезагрузка физического сервера не нужна - вполне достаточно
перезапускать сервер OpenVPN. При небольшом числе клиентов это вполне
безболезненно, отвалившиеся клиенты или перезапускаются руками,
или переподключаюся автоматически.



-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02 14:51                   ` Nikolay A. Fetisov
@ 2013-02-02 15:17                     ` Vladimir Karpinsky
  2013-02-02 15:30                       ` Nikolay A. Fetisov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-02 15:17 UTC (permalink / raw)
  To: community

02.02.2013 18:51, Nikolay A. Fetisov пишет:
> В Сб, 02/02/2013 в 17:04 +0400, Vladimir Karpinsky пишет:
>> 02.02.2013 16:37, Nikolay A. Fetisov пишет:
>>> В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет:
>>>> 31.01.2013 0:04, Nikolay A. Fetisov пишет:
>> ...
>> вероятно, уход в чрут полезен, да и вставить 3 строки недолго,
>> пользователь и группа имеются. Чем может грозить сам переход?
>
> В простых случаях - ничем. При сложной конфигурации - невозможностью
> подключения клиентов. В целом, оно расписано в README.ALT.utf-8 .

Конфиг остаётся на прежнем месте? А сертификаты (etc/openvpn/keys) надо 
перекладывать относительно /var/lib/openvpn?

Проверил /usr/share/doc/openvpn-2.1.4/server.conf --- там нет ничего про 
CHROOT. Я не уверен, но судя по сохранившимся у меня начальным 
комментариям, я его и брал зв основу.

>> Плохо то, что сделал давно, заниматься этим приходится урывками, да и
>> сервер лишний раз перегружать не хочу. В результате работает, но как...
>>
>
> Перезагрузка физического сервера не нужна - вполне достаточно
> перезапускать сервер OpenVPN. При небольшом числе клиентов это вполне
> безболезненно, отвалившиеся клиенты или перезапускаются руками,
> или переподключаюся автоматически.

Проблема моя вылезала только при загрузке и при перезапуске проблем не было.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02 13:04                 ` Vladimir Karpinsky
  2013-02-02 14:51                   ` Nikolay A. Fetisov
@ 2013-02-02 15:22                   ` Vladimir Karpinsky
  2013-02-02 15:33                     ` Nikolay A. Fetisov
  1 sibling, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-02 15:22 UTC (permalink / raw)
  To: community

02.02.2013 17:04, Vladimir Karpinsky пишет:
> В /etc/sysconfig/openvpn из пакета присутствуют строки
> CHROOT=yes
> OPENVPNUSER=openvpn
> OPENVPNGROUP=openvpn

Что-то не так. Добавил строки, получил:
# service openvpn restart
Stopping openvpn service:                                          [ DONE ]
Adjusting environment for openvpn:                                 [ DONE ]
Starting openvpn service: Options error: Unrecognized option or missing 
parameter(s) in /etc/openvpn/server.conf:35: CHROOT=yes (2.1.4)
Use --help for more information.				   [FAILED]

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02 15:17                     ` Vladimir Karpinsky
@ 2013-02-02 15:30                       ` Nikolay A. Fetisov
  2013-02-02 19:28                         ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-02 15:30 UTC (permalink / raw)
  To: community

В Сб, 02/02/2013 в 19:17 +0400, Vladimir Karpinsky пишет:
> 02.02.2013 18:51, Nikolay A. Fetisov пишет:
> > В Сб, 02/02/2013 в 17:04 +0400, Vladimir Karpinsky пишет:
> >> 02.02.2013 16:37, Nikolay A. Fetisov пишет:
> >>> В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет:
> >>>> 31.01.2013 0:04, Nikolay A. Fetisov пишет:
> >> ...
> >> вероятно, уход в чрут полезен, да и вставить 3 строки недолго,
> >> пользователь и группа имеются. Чем может грозить сам переход?
> >
> > В простых случаях - ничем. При сложной конфигурации - невозможностью
> > подключения клиентов. В целом, оно расписано в README.ALT.utf-8 .
> 
> Конфиг остаётся на прежнем месте? А сертификаты (etc/openvpn/keys) надо 
> перекладывать относительно /var/lib/openvpn?

Файл конфигурации, сертификаты и ключ читаются один раз - при запуске
openvpn. Трогать их не надо, переключение в chroot происходит после 
их чтения.

Вопрос только в ccd - этот каталог смотрится в процессе работы, и должен
быть внутри chroot. Путь к нему указывается относительно chroot. 
Соответственно, при включённом chroot сам каталог
- /var/lib/openvpn/etc/openvpn/ccd/ , а в файле конфигурации должно быть
"client-config-dir /etc/openvpn/ccd" .


> Проверил /usr/share/doc/openvpn-2.1.4/server.conf --- там нет ничего про 
> CHROOT. 

Там нет параметра chroot - он по-умолчанию включается
в /etc/sysconfig/openvpn. А вот про CHROOT там в комментариях как раз
есть.



-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02 15:22                   ` Vladimir Karpinsky
@ 2013-02-02 15:33                     ` Nikolay A. Fetisov
  0 siblings, 0 replies; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-02 15:33 UTC (permalink / raw)
  To: community

В Сб, 02/02/2013 в 19:22 +0400, Vladimir Karpinsky пишет:
> 02.02.2013 17:04, Vladimir Karpinsky пишет:
> > В /etc/sysconfig/openvpn из пакета присутствуют строки
     ^^^^^^^^^^^^^^^^^^^^^^^

> > CHROOT=yes
> > OPENVPNUSER=openvpn
> > OPENVPNGROUP=openvpn
> 
> Что-то не так. Добавил строки, получил:
> # service openvpn restart
> Stopping openvpn service:                                          [ DONE ]
> Adjusting environment for openvpn:                                 [ DONE ]
> Starting openvpn service: Options error: Unrecognized option or missing 
> parameter(s) in /etc/openvpn/server.conf:35: CHROOT=yes (2.1.4)
                  ^^^^^^^^^^^^^^^^^^^^^^^^

/etc/sysconfig/openvpn != /etc/openvpn/server.conf


-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02 15:30                       ` Nikolay A. Fetisov
@ 2013-02-02 19:28                         ` Vladimir Karpinsky
  2013-02-03  7:24                           ` Nikolay A. Fetisov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-02 19:28 UTC (permalink / raw)
  To: community


02.02.2013 19:30, Nikolay A. Fetisov пишет:
> В Сб, 02/02/2013 в 19:17 +0400, Vladimir Karpinsky пишет:
>> 02.02.2013 18:51, Nikolay A. Fetisov пишет:
>>> В Сб, 02/02/2013 в 17:04 +0400, Vladimir Karpinsky пишет:
>>>> 02.02.2013 16:37, Nikolay A. Fetisov пишет:
>>>>> В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет:
>>>>>> 31.01.2013 0:04, Nikolay A. Fetisov пишет:
> Файл конфигурации, сертификаты и ключ читаются один раз - при запуске
> openvpn. Трогать их не надо, переключение в chroot происходит после
> их чтения.
>
> Вопрос только в ccd - этот каталог смотрится в процессе работы, и должен
> быть внутри chroot. Путь к нему указывается относительно chroot.
> Соответственно, при включённом chroot сам каталог
> - /var/lib/openvpn/etc/openvpn/ccd/ , а в файле конфигурации должно быть
> "client-config-dir /etc/openvpn/ccd" .

Так всё так и есть: конфиги клиентов у меня в чруте (я писал об этом), и 
они используются для раздачи фиксированных адресов.

>> Проверил /usr/share/doc/openvpn-2.1.4/server.conf --- там нет ничего про
>> CHROOT.
>
> Там нет параметра chroot - он по-умолчанию включается
> в /etc/sysconfig/openvpn. А вот про CHROOT там в комментариях как раз
> есть.

А здесь всё прописано.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-02 19:28                         ` Vladimir Karpinsky
@ 2013-02-03  7:24                           ` Nikolay A. Fetisov
  2013-02-03  7:34                             ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-03  7:24 UTC (permalink / raw)
  To: community

В Сб, 02/02/2013 в 23:28 +0400, Vladimir Karpinsky пишет:
> 02.02.2013 19:30, Nikolay A. Fetisov пишет:
> > В Сб, 02/02/2013 в 19:17 +0400, Vladimir Karpinsky пишет:
> ...
> >> Проверил /usr/share/doc/openvpn-2.1.4/server.conf --- там нет ничего про
> >> CHROOT.
> >
> > Там нет параметра chroot - он по-умолчанию включается
> > в /etc/sysconfig/openvpn. А вот про CHROOT там в комментариях как раз
> > есть.
> 
> А здесь всё прописано.
> 

Или не прописано, или в среду был обрезан на середине вывод команды

В Ср, 30/01/2013 в 19:59 +0400, Vladimir Karpinsky пишет:
> # ps -eo command | grep openvpn
> /usr/sbin/openvpn --config /etc/openvpn/server.conf --daemon
--writepid /var/run


При наличии "CHROOT=yes" в /etc/sysconfig/openvpn в строке запуска
openvpn _должен_ присутствовать ключ "--chroot /var/lib/openvpn"


-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03  7:24                           ` Nikolay A. Fetisov
@ 2013-02-03  7:34                             ` Vladimir Karpinsky
  2013-02-03  7:53                               ` Nikolay A. Fetisov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-03  7:34 UTC (permalink / raw)
  To: community

03.02.2013 11:24, Nikolay A. Fetisov пишет:
> В Сб, 02/02/2013 в 23:28 +0400, Vladimir Karpinsky пишет:
>> 02.02.2013 19:30, Nikolay A. Fetisov пишет:
>>> В Сб, 02/02/2013 в 19:17 +0400, Vladimir Karpinsky пишет:
>> ...
> Или не прописано, или в среду был обрезан на середине вывод команды
>
> В Ср, 30/01/2013 в 19:59 +0400, Vladimir Karpinsky пишет:
>> # ps -eo command | grep openvpn
>> /usr/sbin/openvpn --config /etc/openvpn/server.conf --daemon
> --writepid /var/run

Да, обрезал(ось):

/usr/sbin/openvpn --config /etc/openvpn/server.conf --daemon --writepid 
/var/run/openvpn-server.pid --user openvpn --group openvpn
grep --color=auto openvpn

> При наличии "CHROOT=yes" в /etc/sysconfig/openvpn в строке запуска
> openvpn _должен_ присутствовать ключ "--chroot /var/lib/openvpn"

А, вот, этого не вижу, на всякий случай сделал
# ps -eo command | grep chroot
Но openvpn в выводе не обнаружился.

При этом ccd находится в чруте и используется, насколько я могу судить.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03  7:34                             ` Vladimir Karpinsky
@ 2013-02-03  7:53                               ` Nikolay A. Fetisov
  2013-02-03 11:28                                 ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-03  7:53 UTC (permalink / raw)
  To: community

В Вс, 03/02/2013 в 11:34 +0400, Vladimir Karpinsky пишет:
> 03.02.2013 11:24, Nikolay A. Fetisov пишет:
> ...
> > При наличии "CHROOT=yes" в /etc/sysconfig/openvpn в строке запуска
> > openvpn _должен_ присутствовать ключ "--chroot /var/lib/openvpn"
> 
> А, вот, этого не вижу, на всякий случай сделал
> # ps -eo command | grep chroot
> Но openvpn в выводе не обнаружился.
> 
> При этом ccd находится в чруте и используется, насколько я могу судить.
> 

Тогда вывод
# grep -i ^chroot /etc/sysconfig/openvpn /etc/openvpn/server.conf
# egrep '^(client-config-dir|ccd)' /etc/openvpn/server.conf
# ls -ld /etc/openvpn/ccd


-- 
С уважением,
Николай Фетисов




^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03  7:53                               ` Nikolay A. Fetisov
@ 2013-02-03 11:28                                 ` Vladimir Karpinsky
  2013-02-03 12:30                                   ` Nikolay A. Fetisov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-03 11:28 UTC (permalink / raw)
  To: community



03.02.2013 11:53, Nikolay A. Fetisov пишет:
> В Вс, 03/02/2013 в 11:34 +0400, Vladimir Karpinsky пишет:
>> 03.02.2013 11:24, Nikolay A. Fetisov пишет:
>> ...
>>> При наличии "CHROOT=yes" в /etc/sysconfig/openvpn в строке запуска
>>> openvpn _должен_ присутствовать ключ "--chroot /var/lib/openvpn"
>>
>> А, вот, этого не вижу, на всякий случай сделал
>> # ps -eo command | grep chroot
>> Но openvpn в выводе не обнаружился.
>>
>> При этом ccd находится в чруте и используется, насколько я могу судить.
>>
>
> Тогда вывод
> # grep -i ^chroot /etc/sysconfig/openvpn /etc/openvpn/server.conf
/etc/sysconfig/openvpn:CHROOT=yes
> # egrep '^(client-config-dir|ccd)' /etc/openvpn/server.conf
client-config-dir /etc/openvpn/ccd

> # ls -ld /etc/openvpn/ccd
ls: невозможно получить доступ к /etc/openvpn/ccd: Нет такого файла или 
каталога
Файлы клиентов лежат в /var/lib/openvpn/etc/openvpn/ccd

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03 11:28                                 ` Vladimir Karpinsky
@ 2013-02-03 12:30                                   ` Nikolay A. Fetisov
  2013-02-03 14:29                                     ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-03 12:30 UTC (permalink / raw)
  To: community

В Вс, 03/02/2013 в 15:28 +0400, Vladimir Karpinsky пишет:
> 
> 03.02.2013 11:53, Nikolay A. Fetisov пишет:
> > В Вс, 03/02/2013 в 11:34 +0400, Vladimir Karpinsky пишет:
> >> 03.02.2013 11:24, Nikolay A. Fetisov пишет:
> >> ...
> >>> При наличии "CHROOT=yes" в /etc/sysconfig/openvpn в строке запуска
> >>> openvpn _должен_ присутствовать ключ "--chroot /var/lib/openvpn"
> >>
> >> А, вот, этого не вижу, на всякий случай сделал
> >> # ps -eo command | grep chroot
> >> Но openvpn в выводе не обнаружился.
> >>
> >> При этом ccd находится в чруте и используется, насколько я могу судить.
> >>
> >
> > Тогда вывод
> > # grep -i ^chroot /etc/sysconfig/openvpn /etc/openvpn/server.conf
> /etc/sysconfig/openvpn:CHROOT=yes


В этом случае в строку запуска OpenVPN должен добавляться ключ
"--chroot /var/lib/openvpn". Что должно показываться в выводе 
ps -eo command

Если там такого нет - ну, как вариант, менялся init-скрипт.


И, если в выводе 'ps -eo command' для openvpn ключа --chroot не видно - 
то в chroot он _не переходит_. Поскольку в /etc/openvpn/server.conf
этого параметра тоже нет.

-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03 12:30                                   ` Nikolay A. Fetisov
@ 2013-02-03 14:29                                     ` Vladimir Karpinsky
  2013-02-03 14:47                                       ` Nikolay A. Fetisov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-03 14:29 UTC (permalink / raw)
  To: community

03.02.2013 16:30, Nikolay A. Fetisov пишет:
> Если там такого нет - ну, как вариант, менялся init-скрипт.

Когда менялся? Я для уверенности перегрузил openvpn --- ничего не изменилось.

> И, если в выводе 'ps -eo command' для openvpn ключа --chroot не видно -
> то в chroot он _не переходит_. Поскольку в /etc/openvpn/server.conf
> этого параметра тоже нет.

А можно как-то узнать, почему не переходит, несмотря на то, что в файле 
конфигурации ему это сделать велено? Более того в init скрипте про чрут 
явно написано:
CHROOTDIR="/var/lib/$BASE"
CHROOTCACHEDIR="$CHROOTDIR/cache"

CONFIGDIR="/etc/$BASE"
SYSCONFIGFILE="/etc/sysconfig/$BASE"


# Default parameters, could be overrided in /etc/sysconfig/openvpn
OPENVPNUSER=openvpn
OPENVPNGROUP=openvpn
CHROOT=yes
MANUAL=""
...
#===== adjust chroot environment ======
adjust()
{
     if is_yes "$CHROOT"; then
         action "Adjusting environment for openvpn:" 
/etc/chroot.d/openvpn.all || exit
     fi
}

Т.е. если CHROOT не yes, то строки выше быть не должно, а она при старте 
или рестарте сервиса проходит.

Может быть, и пёс с ним с чрутом, но хотелось бы разобраться, почему 
запускается не так, как велено.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03 14:29                                     ` Vladimir Karpinsky
@ 2013-02-03 14:47                                       ` Nikolay A. Fetisov
  2013-02-03 15:31                                         ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-03 14:47 UTC (permalink / raw)
  To: community

В Вс, 03/02/2013 в 18:29 +0400, Vladimir Karpinsky пишет:
> 03.02.2013 16:30, Nikolay A. Fetisov пишет:
> > Если там такого нет - ну, как вариант, менялся init-скрипт.
> 
> Когда менялся? Я для уверенности перегрузил openvpn --- ничего не изменилось.

Руками. Когда-то.

> 
> > И, если в выводе 'ps -eo command' для openvpn ключа --chroot не видно -
> > то в chroot он _не переходит_. Поскольку в /etc/openvpn/server.conf
> > этого параметра тоже нет.
> 
> А можно как-то узнать, почему не переходит, несмотря на то, что в файле 
> конфигурации ему это сделать велено?

Во-первых, это файл конфигурации для init-cкрипта, а не конкретного
канала openvpn.

>  Более того в init скрипте про чрут 
> явно написано:
....
> 
> # Default parameters, could be overrided in /etc/sysconfig/openvpn

... угу, _default_, и могут быть изменены из /etc/sysconfig/openvpn

> ...
> #===== adjust chroot environment ======
> adjust()

Это обновление окружения chroot, а не запуск канала.

> Т.е. если CHROOT не yes, то строки выше быть не должно, а она при старте 
> или рестарте сервиса проходит.

Угу. Только это - не то.

Там дальше, в районе строк 210-230, где выполняется непосредственно
запуск OpenVPN, есть

         if is_yes $CHROOT; then 
               RUN_CHROOT="--chroot \"$CHROOTDIR\""
....
         fi

         start_daemon    --pidfile "$PIDFILEBASE-$CHANNEL.pid" ... \
                           $RUN_CHROOT


OpenVPN переходит в chroot, если ему об этом говорится.
Сказать можно или в файле конфигурации канала - параметром 
chroot <dir> , в /etc/openvpn/server.conf у Вас этого нет;
или указанием ключа --chroot <dir> непосредственно в командной строке -
чем занимается init-скрипт.
Но во втором случае ключ должен быть виден в выводе 'ps -eo command' -
а у Вас его нет.

Почему - вопрос сложный. Или (опять) пропущена часть вывода ps, или,
например, руками _когда-то_ и _зачем-то_ правился init-скрипт.


-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03 14:47                                       ` Nikolay A. Fetisov
@ 2013-02-03 15:31                                         ` Vladimir Karpinsky
  2013-02-03 18:04                                           ` Nikolay A. Fetisov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-03 15:31 UTC (permalink / raw)
  To: community

03.02.2013 18:47, Nikolay A. Fetisov пишет:
> Почему - вопрос сложный. Или (опять) пропущена часть вывода ps

Очень похоже на обрезание. Не получается сделать окно терминала шире 135 
строк (PuTTY). Пытался отправить вывод в файл, но и там заканчивается 
"--group openvpn --pe", что явно показывает наличие продолжения. Никогда с 
такими длинными строками не сталкивался. А как её увидеть полностью?

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03 15:31                                         ` Vladimir Karpinsky
@ 2013-02-03 18:04                                           ` Nikolay A. Fetisov
  2013-02-03 18:52                                             ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Nikolay A. Fetisov @ 2013-02-03 18:04 UTC (permalink / raw)
  To: community

В Вс, 03/02/2013 в 19:31 +0400, Vladimir Karpinsky пишет:
> 03.02.2013 18:47, Nikolay A. Fetisov пишет:
> > Почему - вопрос сложный. Или (опять) пропущена часть вывода ps
> 
> Очень похоже на обрезание. Не получается сделать окно терминала шире 135 ...

Тогда ps -ewwo command | grep chroot
Ну и будем считать, что там всё нужное есть.

-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03 18:04                                           ` Nikolay A. Fetisov
@ 2013-02-03 18:52                                             ` Vladimir Karpinsky
  2013-02-15  8:28                                               ` Ivan A. Melnikov
  0 siblings, 1 reply; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-03 18:52 UTC (permalink / raw)
  To: community

03.02.2013 22:04, Nikolay A. Fetisov пишет:
> В Вс, 03/02/2013 в 19:31 +0400, Vladimir Karpinsky пишет:
>> 03.02.2013 18:47, Nikolay A. Fetisov пишет:
>>> Почему - вопрос сложный. Или (опять) пропущена часть вывода ps
>>
>> Очень похоже на обрезание. Не получается сделать окно терминала шире 135 ...
>
> Тогда ps -ewwo command | grep chroot
> Ну и будем считать, что там всё нужное есть.

Я уже нашёл --- сделал шрифт мелкий-мелкий, растянул окно, и чуть ли не 
через лупу, увидел продолжение:

--persist-tun --persist-key --chroot /var/lib/openvpn

Так что это вопрос закрыт.

Меня теперь занимает другое: как прочитать длинную строку, не уменьшая 
шрифта до полной нечитаемости. Почему, если я делаю вывод не на экран, а в 
файл, всё равно обрезается по размеру экрана. В данном случае, кто отвечает 
за обрезание: PuTTY, bash, ps? Ведь, если слово не помещается в экран, то 
его и grep не находит! Что-то мне это очень не нравится, вон сколько писем 
настрочили из-за этого! В общем, буду очень признателен, если кто-нибудь 
объяснит, как с этим бороться. На худой конец, надо хотя бы твёрдо знать, 
что произведено обрезание, тогда будет понятно, что хвост надо как-то искать.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-03 18:52                                             ` Vladimir Karpinsky
@ 2013-02-15  8:28                                               ` Ivan A. Melnikov
  2013-02-15  8:36                                                 ` Vladimir Karpinsky
  0 siblings, 1 reply; 31+ messages in thread
From: Ivan A. Melnikov @ 2013-02-15  8:28 UTC (permalink / raw)
  To: ALT Linux Community general discussions

2013/2/3 Vladimir Karpinsky <vkarpinsky@mail.ru>:
>
> Меня теперь занимает другое: как прочитать длинную строку, не уменьшая
> шрифта до полной нечитаемости. Почему, если я делаю вывод не на экран, а в
> файл, всё равно обрезается по размеру экрана. В данном случае, кто отвечает
> за обрезание: PuTTY, bash, ps? Ведь, если слово не помещается в экран, то
> его и grep не находит! Что-то мне это очень не нравится, вон сколько писем
> настрочили из-за этого! В общем, буду очень признателен, если кто-нибудь
> объяснит, как с этим бороться. На худой конец, надо хотя бы твёрдо знать,
> что произведено обрезание, тогда будет понятно, что хвост надо как-то
> искать.
>

Не знаю, что с ps у Вас, у меня ps aux ничего не обрезает при
перенаправлении вывода в файл или grep. Для вывод на экран можно
воспользоваться

$ ps -e ww

Обратите внимание на пробел, -w и w это разные опции.

-- 
WBR,
Ivan A. Melnikov

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Comm] Openvpn
  2013-02-15  8:28                                               ` Ivan A. Melnikov
@ 2013-02-15  8:36                                                 ` Vladimir Karpinsky
  0 siblings, 0 replies; 31+ messages in thread
From: Vladimir Karpinsky @ 2013-02-15  8:36 UTC (permalink / raw)
  To: community

15.02.2013 12:28, Ivan A. Melnikov пишет:
> Не знаю, что с ps у Вас, у меня ps aux ничего не обрезает при
> перенаправлении вывода в файл или grep. Для вывод на экран можно
> воспользоваться
>
> $ ps -e ww
>
> Обратите внимание на пробел, -w и w это разные опции.

Огромное спасибо! Приму на вооружение. Помогает вторая буква "w":

# ps -eo command| grep openvpn
/usr/sbin/openvpn --config /etc/openvpn/client.conf --daemon --writepid 
/var/run/openvpn-c
# ps -w -eo command| grep openvpn
/usr/sbin/openvpn --config /etc/openvpn/client.conf --daemon --writepid 
/var/run/openvpn-client.pid --user openvpn --group openvpn -
# ps -ww -eo command| grep openvpn
/usr/sbin/openvpn --config /etc/openvpn/client.conf --daemon --writepid 
/var/run/openvpn-client.pid --user openvpn --group openvpn --persist-tun 
--persist-key --chroot /var/lib/openvpn

При перенаправлении в файл, картина та же.

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 31+ messages in thread

end of thread, other threads:[~2013-02-15  8:36 UTC | newest]

Thread overview: 31+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2012-11-14 15:33 [Comm] Openvpn Vladimir Karpinsky
2012-11-14 19:58 ` Michael A. Kangin
2012-11-14 20:13   ` Vladimir Karpinsky
2012-11-14 20:01 ` Nikolay A. Fetisov
2012-11-14 20:26   ` Vladimir Karpinsky
2013-01-29 18:47     ` Vladimir Karpinsky
2013-01-30 15:39       ` Nikolay A. Fetisov
2013-01-30 15:59         ` Vladimir Karpinsky
2013-01-30 20:04           ` Nikolay A. Fetisov
2013-02-02  4:52             ` Vladimir Karpinsky
2013-02-02  6:45               ` Vladimir Karpinsky
2013-02-02 12:37               ` Nikolay A. Fetisov
2013-02-02 13:04                 ` Vladimir Karpinsky
2013-02-02 14:51                   ` Nikolay A. Fetisov
2013-02-02 15:17                     ` Vladimir Karpinsky
2013-02-02 15:30                       ` Nikolay A. Fetisov
2013-02-02 19:28                         ` Vladimir Karpinsky
2013-02-03  7:24                           ` Nikolay A. Fetisov
2013-02-03  7:34                             ` Vladimir Karpinsky
2013-02-03  7:53                               ` Nikolay A. Fetisov
2013-02-03 11:28                                 ` Vladimir Karpinsky
2013-02-03 12:30                                   ` Nikolay A. Fetisov
2013-02-03 14:29                                     ` Vladimir Karpinsky
2013-02-03 14:47                                       ` Nikolay A. Fetisov
2013-02-03 15:31                                         ` Vladimir Karpinsky
2013-02-03 18:04                                           ` Nikolay A. Fetisov
2013-02-03 18:52                                             ` Vladimir Karpinsky
2013-02-15  8:28                                               ` Ivan A. Melnikov
2013-02-15  8:36                                                 ` Vladimir Karpinsky
2013-02-02 15:22                   ` Vladimir Karpinsky
2013-02-02 15:33                     ` Nikolay A. Fetisov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git