openvpn []: errore di opzioni: in [CMD-LINE]: 1: errore durante l'apertura del file di configurazione

14

quando ci provo service openvpn start

Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf

la corsa openvpn devnet-client-vm.conffunziona bene. Perché openvpn non si avvia? come posso ripararlo?

centos  selinux  openvpn 
xenoterracide
fonte
Ho fornito una risposta, ma incoraggio le risposte che non comportano la sterilizzazione di SELinux
xenoterracide,

Risposte:

12

Potresti voler correre

fixfiles -R openvpn restore

Un ls -alZ dovrebbe darti qualcosa del genere (mostrando che i tuoi file sono nel giusto contesto selinux ora):

[root@server openvpn]# ls -alZ /etc/openvpn/
drwxr-xr-x. root    root    system_u:object_r:openvpn_etc_t:s0 .
drwxr-xr-x. root    root    system_u:object_r:etc_t:s0       ..
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 certs
-rw-r--r--. root    root    unconfined_u:object_r:openvpn_etc_t:s0 dh2048.pem
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 easy-rsa
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 ipp.txt
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 ta.key
-rw-------. openvpn openvpn unconfined_u:object_r:openvpn_etc_t:s0 server.conf

Se hai una dichiarazione simile

status openvpn-status.log

nel tuo file di configurazione di openvpn, potresti notare che il server continua a non avviarsi. Una sbirciatina al /var/log/audit/audit.log rivelerà

type=AVC msg=audit(1413580155.710:1265): avc:  denied  { write } for  pid=19725 comm="openvpn" name="openvpn-status.log" dev="dm-1" ino=54153273 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:openvpn_etc_t:s0 tclass=file

Cambiare il contesto di questo file in rw fa il trucco:

chcon -t openvpn_etc_rw_t openvpn-status.log

e 

[root@server openvpn]# ls -alZ openvpn-status.log
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 openvpn-status.log

diventerà

-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 openvpn-status.log

Successivamente la chiamata

service openvpn@server start

ha funzionato perfettamente.

[root@server openvpn]# service openvpn@server status
Redirecting to /bin/systemctl status  openvpn@server.service
openvpn@server.service - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; disabled)
   Active: active (running) since Fri 2014-10-17 23:13:49 CEST; 9s ago
  Process: 20445 ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf (code=exited, status=0/SUCCESS)
 Main PID: 20449 (openvpn)
   CGroup: /system.slice/system-openvpn.slice/openvpn@server.service
           └─20449 /usr/sbin/openvpn --daemon --writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config server.conf

Oct 17 23:13:49 server openvpn[20445]: ROUTE_GATEWAY xx.xxx.xx.x/255.255.255.0 IFACE=eth0 HWADDR=XX:XX:XX:XX:XX:XX
Oct 17 23:13:49 server openvpn[20449]: GID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link local (bound): [undef]
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link remote: [undef]
Oct 17 23:13:49 server openvpn[20449]: MULTI: multi_init called, r=256 v=256
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Oct 17 23:13:49 server systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL LIST
Oct 17 23:13:49 server openvpn[20449]: Initialization Sequence Completed

PS: sono su Centos 7.

massimo2001
fonte
Questo dovrebbe essere contrassegnato come la risposta corretta.
ansi_lumen
4

Per chiunque abbia trovato questo thread, ho avuto il problema su Fedora 26. Risulta le istruzioni che stavo seguendo se avessi messo i file conf nella directory / etc / openvpn, ma devono andare in / etc / openvpn / server.

Geremia
fonte
1
GRAZIE. Per altri che devono andare così in profondità: devi copiare il tuo ca, crte key(quindi due .crtfile e un .key) file nella stessa directory
AlexWalterbos,
1
Questa è stata anche la soluzione per me su CentOS 8
oucil
1

Il problema è SELinux, la modifica /etc/sysconfig/selinuxe l'impostazione SELINUX=permissivee quindi il riavvio lo hanno risolto per me. Ricordo in fedora che c'era un comando che doveva essere eseguito per permettere alla directory cert di essere usata correttamente, ma ho dimenticato quale fosse quel comando. Impostazione su correzioni permissive completamente, ma un modo più preferito sarebbe quello di correggerlo in modo che possa usare correttamente la directory.

xenoterracide
fonte
0

Per la directory cert e il problema di SElinux, sembra piuttosto vecchio, segnalato qui: https://bugzilla.redhat.com/show_bug.cgi?id=555785 E sembra che sia un bug a monte, almeno quando si utilizza NetworkManager per controllare la tua connessione openvpn. Ma il bug a monte è ancora "non confermato" -.- https://bugzilla.gnome.org/show_bug.cgi?id=670198

Forse il problema di rietichettatura di SELinux durante il tentativo di eseguire OpenVPN aiuta in qualche modo con i bit di SElinux.

Oppure se si desidera utilizzare certificati per utente e non quelli a livello di sistema: /superuser/339391/making-selinux-play-nice-with-openvpn-in-networkmanager

doktor5000
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.