[Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Serg Tselishev]

Доброго дня!
Настроил  openvpn-канал со своей школой: сервер там соединяется с моим
домашним роутером, получает от него адрес.
Используется простейшая конфигурация с одним статическим ключом.
DDWRT настроил по её вики, на Школьном Сервере 6.0 такой client.conf:

[root@sterver ~]# cat /etc/openvpn/client.conf
remote 81.xxx.xxx.60
dev tap
lladdr ee:05:99:1b:10:36
secret /etc/openvpn/keys/static.key
proto udp
comp-lzo

Мак-адрес сделал постоянным, чтобы привязать его в dhcp.
Получаю адрес так, чтобы этот интерфейс не попал в resolv.conf и из-за
него не перезапустился bind.
#dhcpcd -C resolv.conf tap0

После этого тоннель работает, службы сервера доступны мне из дома.
Теперь это все хочется автоматизировать, прописав в etcnet.
Сел читать вики и документацию из пакета - немного запутался:

Настраивать надо /etc/net/ifaces/tap0  - это понятно.
Файл options, по прочитанному мне видится таким:
ONBOOT=yes
TYPE=tuntap
TUNTAP_USER=openvpn
BOOTPROTO=dhcp
DHCP_CLIENT=/sbin/dhcpcd
DHCP_ARGS="-C resolv.conf"
Непонятно, как именно связать этот tap0 с openvpn - он ведь сам
создаёт tap при старте.

Или в этом файле options должно быть написано TYPE=ovpn и,
соответственно, нужны файлы ovpnkey и ovpnoptions,
заменяющие содержимое /etc/openvpn/client.conf?

Цель - чтобы этот интерфейс сам поднимался при загрузке сервера и
после падения-подъёма ethernet-соединения сервера,
через который школьный интернет идет.
Далее настрою на своём шлюзе перенаправление пакетов http, чтобы
школьный электронный дневник снаружи был
доступен, по адресу 81.xxx.xxx.60 :-)

--
С уважением,
Целищев Сергей

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Alexandr Kobets]

17.12.2012 19:52, Serg Tselishev пишет:
> Доброго дня!
> Настроил  openvpn-канал со своей школой: сервер там соединяется с моим
> домашним роутером, получает от него адрес.
> Используется простейшая конфигурация с одним статическим ключом.
> DDWRT настроил по её вики, на Школьном Сервере 6.0 такой client.conf:
>
> [root@sterver ~]# cat /etc/openvpn/client.conf
> remote 81.xxx.xxx.60
> dev tap
> lladdr ee:05:99:1b:10:36
> secret /etc/openvpn/keys/static.key
> proto udp
> comp-lzo
>
> Мак-адрес сделал постоянным, чтобы привязать его в dhcp.
> Получаю адрес так, чтобы этот интерфейс не попал в resolv.conf и из-за
> него не перезапустился bind.
> #dhcpcd -C resolv.conf tap0
>
> После этого тоннель работает, службы сервера доступны мне из дома.
> Теперь это все хочется автоматизировать, прописав в etcnet.
> Сел читать вики и документацию из пакета - немного запутался:
>
> Настраивать надо /etc/net/ifaces/tap0  - это понятно.
> Файл options, по прочитанному мне видится таким:
> ONBOOT=yes
> TYPE=tuntap
> TUNTAP_USER=openvpn
> BOOTPROTO=dhcp
> DHCP_CLIENT=/sbin/dhcpcd
> DHCP_ARGS="-C resolv.conf"
> Непонятно, как именно связать этот tap0 с openvpn - он ведь сам
> создаёт tap при старте.
>
> Или в этом файле options должно быть написано TYPE=ovpn и,
> соответственно, нужны файлы ovpnkey и ovpnoptions,
> заменяющие содержимое /etc/openvpn/client.conf?
>
> Цель - чтобы этот интерфейс сам поднимался при загрузке сервера и
> после падения-подъёма ethernet-соединения сервера,
> через который школьный интернет идет.
> Далее настрою на своём шлюзе перенаправление пакетов http, чтобы
> школьный электронный дневник снаружи был
> доступен, по адресу 81.xxx.xxx.60 :-)
Я когда-то сталкивался с подобной задачей и решил её путем добавления в 
конфиг openvpn путь к скрипту, который выполнялся после поднятия тунеля.

--
WBR, Alexandr Kobets

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Serg Tselishev]

17 декабря 2012 г., 22:33 пользователь Alexandr Kobets
<kobets.alexandr@gmail.com> написал:

> Я когда-то сталкивался с подобной задачей и решил её путем добавления в
> конфиг openvpn путь к скрипту, который выполнялся после поднятия тунеля.
>
> --
> WBR, Alexandr Kobets
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Это Вы про --script-security 2 --up(--down) /path/to/your/script из мана?
Это ведь в глобальный конфиг пишется /etc/sysconfig/openvpn?
Не в конкретный client.conf?
-- 
С уважением,
Целищев Сергей

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Alexandr Kobets]

17.12.2012 20:49, Serg Tselishev пишет:
> 17 декабря 2012 г., 22:33 пользователь Alexandr Kobets
> <kobets.alexandr@gmail.com> написал:
>
>> Я когда-то сталкивался с подобной задачей и решил её путем добавления в
>> конфиг openvpn путь к скрипту, который выполнялся после поднятия тунеля.
>>
>> --
>> WBR, Alexandr Kobets
>>
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
> Это Вы про --script-security 2 --up(--down) /path/to/your/script из мана?
> Это ведь в глобальный конфиг пишется /etc/sysconfig/openvpn?
> Не в конкретный client.conf?
Можно и в client.conf:
up /path/to/script

--
WBR, Alexandr Kobets

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Serg Tselishev]

17 декабря 2012 г., 23:04 пользователь Alexandr Kobets
<kobets.alexandr@gmail.com> написал:
> Можно и в client.conf:
> up /path/to/script
>
>
> --
> WBR, Alexandr Kobets

Не происходит соединения - отваливается по тайм-ауту :-(

Dec 17 23:34:14 sterver openvpn: Adjusting environment for openvpn: succeeded
Dec 17 23:34:15 sterver openvpn[30742]: OpenVPN 2.1.4
x86_64-alt-linux-gnu [SSL] [LZO2] [EPOLL] built on Nov 30 2010
Dec 17 23:34:15 sterver openvpn[30742]: IMPORTANT: OpenVPN's default
port number is now 1194, based on an official port number assignment
by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default
port.
Dec 17 23:34:15 sterver openvpn[30742]: NOTE: the current
--script-security setting may allow this configuration to call
user-defined scripts
Dec 17 23:34:15 sterver openvpn[30742]: LZO compression initialized
Dec 17 23:34:15 sterver openvpn[30742]: TUN/TAP device tap0 opened
Dec 17 23:34:15 sterver openvpn[30742]: /sbin/ip link set addr
ee:05:99:1b:10:36 dev tap0
Dec 17 23:34:15 sterver openvpn[30742]: TUN/TAP link layer address set
to ee:05:99:1b:10:36
Dec 17 23:34:15 sterver openvpn[30742]: /etc/openvpn/dhcp_tun0.sh tap0
1500 1577   init
Dec 17 23:34:45 sterver dhcpcd[30793]: tap0: dhcpcd 4.0.15 starting
Dec 17 23:34:45 sterver openvpn: tap0: dhcpcd 4.0.15 starting
Dec 17 23:34:45 sterver dhcpcd[30793]: tap0: broadcasting for a lease
Dec 17 23:34:45 sterver openvpn: tap0: broadcasting for a lease
Dec 17 23:35:15 sterver dhcpcd[30793]: tap0: timed out
Dec 17 23:35:15 sterver openvpn: tap0: timed out
Dec 17 23:35:15 sterver openvpn[30742]: script failed: external
program exited with error status: 1
Dec 17 23:35:15 sterver openvpn[30742]: Exiting
Dec 17 23:35:15 sterver openvpn: openvpn startup failed

То есть он начинает запускать скрипт сразу после установки мак-адреса
интерфейса, до чрута - тогда когда еще тоннеля еще не установлено.

Вот без скрипта:
Dec 17 23:36:13 sterver openvpn: Adjusting environment for openvpn: succeeded
Dec 17 23:36:14 sterver openvpn[30951]: OpenVPN 2.1.4
x86_64-alt-linux-gnu [SSL] [LZO2] [EPOLL] built on Nov 30 2010
Dec 17 23:36:14 sterver openvpn[30951]: IMPORTANT: OpenVPN's default
port number is now 1194, based on an official port number assignment
by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default
port.
Dec 17 23:36:14 sterver openvpn[30951]: NOTE: OpenVPN 2.1 requires
'--script-security 2' or higher to call user-defined scripts or
executables
Dec 17 23:36:14 sterver openvpn[30951]: LZO compression initialized
Dec 17 23:36:14 sterver openvpn[30951]: TUN/TAP device tap0 opened
Dec 17 23:36:14 sterver openvpn[30951]: /sbin/ip link set addr
ee:05:99:1b:10:36 dev tap0
Dec 17 23:36:14 sterver openvpn[30951]: TUN/TAP link layer address set
to ee:05:99:1b:10:36
Dec 17 23:36:14 sterver openvpn[30984]: chroot to '/var/lib/openvpn'
and cd to '/' succeeded
Dec 17 23:36:14 sterver openvpn[30984]: GID set to openvpn
Dec 17 23:36:14 sterver openvpn[30984]: UID set to openvpn
Dec 17 23:36:14 sterver openvpn[30984]: UDPv4 link local (bound): [undef]:1194
Dec 17 23:36:14 sterver openvpn[30984]: UDPv4 link remote: 81.ххх.ххх.60:1194
Dec 17 23:36:14 sterver openvpn: openvpn startup succeeded
Dec 17 23:36:14 sterver openvpn[30984]: Peer Connection Initiated with
81.ххх.ххх.60:1194
Dec 17 23:36:15 sterver openvpn[30984]: Initialization Sequence Completed

А теперь руками dhcpcd -C resolv.conf tap0:
Dec 17 23:38:05 sterver dhcpcd[31052]: tap0: dhcpcd 4.0.15 starting
Dec 17 23:38:05 sterver dhcpcd[31052]: tap0: broadcasting for a lease
Dec 17 23:38:05 sterver dhcpcd[31052]: tap0: offered 192.168.23.200
from 192.168.23.1
Dec 17 23:38:05 sterver dhcpcd[31052]: tap0: acknowledged
192.168.23.200 from 192.168.23.1
Dec 17 23:38:05 sterver dhcpcd[31052]: tap0: leased 192.168.23.200 for
22896000 seconds
-- 
С уважением,
Целищев Сергей

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Serg Tselishev]

Настроил-таки через etcnet:

[root@sterver ~]# cat /etc/net/ifaces/tap0/options
DISABLED=no
ONBOOT=yes
TYPE=ovpn
TUNTAP_USER=openvpn
BOOTPROTO=dhcp
DHCP_CLIENT=/sbin/dhcpcd
DHCP_ARGS="-C resolv.conf"
REQUIRES="eth1"

[root@sterver ~]# cat /etc/net/ifaces/tap0/ovpnoptions
remote 81.xxx.xxx.60
dev tap
lladdr ee:05:99:1b:10:36
secret /etc/openvpn/keys/static.key
proto udp
comp-lzo
script-security 2

Происходит следующее: dhcp-клиент запускается сразу после появления в
системе интерфейса, пытается получить адрес, отваливается по
тайм-ауту, и только после этого происходит соединение по openvpn.
Есть способ как-то указать иной порядок действий при поднятии
интерфейса - чтобы сначала openvpn, только потом dhcpcd?

17 декабря 2012 г., 21:52 пользователь Serg Tselishev
<rotkart@gmail.com> написал:
> Доброго дня!
> Настроил  openvpn-канал со своей школой: сервер там соединяется с моим
> домашним роутером, получает от него адрес.
> Используется простейшая конфигурация с одним статическим ключом.
> DDWRT настроил по её вики, на Школьном Сервере 6.0 такой client.conf:
>
> [root@sterver ~]# cat /etc/openvpn/client.conf
> remote 81.xxx.xxx.60
> dev tap
> lladdr ee:05:99:1b:10:36
> secret /etc/openvpn/keys/static.key
> proto udp
> comp-lzo
>
> Мак-адрес сделал постоянным, чтобы привязать его в dhcp.
> Получаю адрес так, чтобы этот интерфейс не попал в resolv.conf и из-за
> него не перезапустился bind.
> #dhcpcd -C resolv.conf tap0
>
> После этого тоннель работает, службы сервера доступны мне из дома.
> Теперь это все хочется автоматизировать, прописав в etcnet.
> Сел читать вики и документацию из пакета - немного запутался:
>
> Настраивать надо /etc/net/ifaces/tap0  - это понятно.
> Файл options, по прочитанному мне видится таким:
> ONBOOT=yes
> TYPE=tuntap
> TUNTAP_USER=openvpn
> BOOTPROTO=dhcp
> DHCP_CLIENT=/sbin/dhcpcd
> DHCP_ARGS="-C resolv.conf"
> Непонятно, как именно связать этот tap0 с openvpn - он ведь сам
> создаёт tap при старте.
>
> Или в этом файле options должно быть написано TYPE=ovpn и,
> соответственно, нужны файлы ovpnkey и ovpnoptions,
> заменяющие содержимое /etc/openvpn/client.conf?
>
> Цель - чтобы этот интерфейс сам поднимался при загрузке сервера и
> после падения-подъёма ethernet-соединения сервера,
> через который школьный интернет идет.
> Далее настрою на своём шлюзе перенаправление пакетов http, чтобы
> школьный электронный дневник снаружи был
> доступен, по адресу 81.xxx.xxx.60 :-)
>
> --
> С уважением,
> Целищев Сергей



-- 
С уважением,
Целищев Сергей

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Mikhail Efremov]

On Tue, 18 Dec 2012 08:44:53 +0300 Serg Tselishev wrote:
> Настроил-таки через etcnet:
> 
> [root@sterver ~]# cat /etc/net/ifaces/tap0/options
> DISABLED=no
> ONBOOT=yes
> TYPE=ovpn
> TUNTAP_USER=openvpn
> BOOTPROTO=dhcp
> DHCP_CLIENT=/sbin/dhcpcd
> DHCP_ARGS="-C resolv.conf"
> REQUIRES="eth1"
> 
> [root@sterver ~]# cat /etc/net/ifaces/tap0/ovpnoptions
> remote 81.xxx.xxx.60
> dev tap
> lladdr ee:05:99:1b:10:36
> secret /etc/openvpn/keys/static.key
> proto udp
> comp-lzo
> script-security 2
> 
> Происходит следующее: dhcp-клиент запускается сразу после появления в
> системе интерфейса, пытается получить адрес, отваливается по
> тайм-ауту, и только после этого происходит соединение по openvpn.
> Есть способ как-то указать иной порядок действий при поднятии
> интерфейса - чтобы сначала openvpn, только потом dhcpcd?

Можно попробовать увеличить DHCP_TIMEOUT, но я бы установил
BOOTPROTO=static и запускал/останавливал dhcpcd сам в
ifup-post/ifdown-post скриптах.
Но вообще хорошо бы чтобы etcnet такую ситуацию обрабатывал
правильно.
А вариант раздачи адресов самим openvpn-сервером не подходит?

-- 
WBR, Mikhail Efremov

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Serg Tselishev]

19 декабря 2012 г., 11:52 пользователь Mikhail Efremov
<sem@altlinux.ru> написал:
>
> Можно попробовать увеличить DHCP_TIMEOUT, но я бы установил
> BOOTPROTO=static и запускал/останавливал dhcpcd сам в
> ifup-post/ifdown-post скриптах.

В том и проблема, что все эти скрипты начинают отрабатывать как только
в системе появляется туннельный интерфейс, считая, что момент его
появления и есть UP :-(
А то, что с этого момента до запроса адреса надо сначала openvpn
соединение установить, не учитывается.

> Но вообще хорошо бы чтобы etcnet такую ситуацию обрабатывал
> правильно.
> А вариант раздачи адресов самим openvpn-сервером не подходит?

Он и раздаёт - через dhcp. Или я не понял вопроса?

> --
> WBR, Mikhail Efremov
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

У меня на принимающей стороне в качестве сервера - DD-WRT на linsys
e4200 - там все не так просто с openvpn, как в Альте.
Простая и задокументированная на wiki dd-wrt конфигурация поднялось
руками минут за 10-15 с паралельным чтением манов и примеров, без
особой возни с сертификатами и подписями, вот я и решил зафиксировать
на стороне АЛЬТ именно так, но через конфигурационные файлы.
Оказалось - шиш, причем с неожиданной стороны!
Главное кого винить: openvpn в Школьном Сервере или etcnet там же?
Баг это или нет?
Или вообще руки у меня кривые (хотя все конфигурации писал по
документации из пакетов дистрибутива)?

Думаю, что пока я проверну это через rc.local при старте и crontab
далее - пусть проверит, что openvpn поднят и попросит адрес в аренду.

А на каникулах буду пробовать другие варианты - с сертификатами,
подписями и статическими адресами.
Скачал даже прошивку для рутера поновее, правда preSP2, прошьюсь, буду
разбираться.
Спасибо!

-- 
С уважением,
Целищев Сергей

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Serg Tselishev]

20 декабря 2012 г., 11:40 пользователь Serg Tselishev
<rotkart@gmail.com> написал:
> Или вообще руки у меня кривые (хотя все конфигурации писал по
> документации из пакетов дистрибутива)?

Руки!!!

-- 
С уважением,
Целищев Сергей

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 383 bytes --]

On Thu, Dec 20, 2012 at 01:47:24PM +0300, Serg Tselishev wrote:

>> Или вообще руки у меня кривые (хотя все конфигурации писал по
>> документации из пакетов дистрибутива)?
ST> Руки!!!

Раз уж так, рецепт-то как решили проблему сразу опубликуйте :)

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] Нужна консультация по настройке openvpn в etcnet

[Serg Tselishev]

20 декабря 2012 г., 16:07 пользователь Денис Смирнов
<mithraen@freesource.info> написал:
> On Thu, Dec 20, 2012 at 01:47:24PM +0300, Serg Tselishev wrote:
>
>>> Или вообще руки у меня кривые (хотя все конфигурации писал по
>>> документации из пакетов дистрибутива)?
> ST> Руки!!!
>
> Раз уж так, рецепт-то как решили проблему сразу опубликуйте :)
>
> --
> С уважением, Денис
>
> http://mithraen.ru/
> ----------------------------------------------------------------------------
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>

Так я, вроде, на письмо Михаила отвечал, писал в чем дело.
Повторю:

Параметр DHCP_TIMEOUT в man etcnet_options отсутствует,
зато в man dhcpcd я нашёл решение проблемы:

Итоговая конфигурация:
[root@sterver ~]# cat /etc/net/ifaces/tap0/options
DISABLED=no
ONBOOT=yes
TYPE=ovpn
TUNTAP_USER=openvpn
BOOTPROTO=dhcp
DHCP_CLIENT=/sbin/dhcpcd
DHCP_ARGS="--background --timeout 60 -C resolv.conf"
REQUIRES="eth1"

[root@sterver ~]# cat /etc/net/ifaces/tap0/ovpnoptions
remote 81.ххх.ххх.60
dev tap
lladdr ee:05:99:1b:10:36
secret /etc/openvpn/keys/static.key
proto udp
comp-lzo
script-security 2

То есть всего-то надо указать dhcpcd просить аренду в фоновом режиме -
и, пока там идёт тайм-аут, успевает установиться openvpn-соединение!!!
Завтра перезапущу машину, чтобы посмотреть так это или нет, но service
network reload отрабатывает уже сейчас.

Еще раз спасибо!!!

-- 
С уважением,
Целищев Сергей