openvpn []: Помилка параметрів: В [CMD-LINE]: 1: Помилка відкриття конфігураційного файла

14

при спробі service openvpn start

Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf

працює openvpn devnet-client-vm.confпрацює чудово. Чому openvpn не запускається? як я можу це виправити?

centos  selinux  openvpn 
ксенотерацид
джерело
Я дав відповідь, але закликаю відповіді, які не стосуються
нітерації

Відповіді:

12

Можливо, ви захочете бігти

fixfiles -R openvpn restore

Ls -alZ повинен дати вам щось подібне (показ ваших файлів зараз у правильному контексті selinux):

[root@server openvpn]# ls -alZ /etc/openvpn/
drwxr-xr-x. root    root    system_u:object_r:openvpn_etc_t:s0 .
drwxr-xr-x. root    root    system_u:object_r:etc_t:s0       ..
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 certs
-rw-r--r--. root    root    unconfined_u:object_r:openvpn_etc_t:s0 dh2048.pem
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 easy-rsa
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 ipp.txt
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 ta.key
-rw-------. openvpn openvpn unconfined_u:object_r:openvpn_etc_t:s0 server.conf

Якщо у вас є таке твердження, як

status openvpn-status.log

у конфігураційному файлі openvpn ви можете помітити, що сервер все ще не запуститься. Заглянути в /var/log/audit/audit.log виявиться

type=AVC msg=audit(1413580155.710:1265): avc:  denied  { write } for  pid=19725 comm="openvpn" name="openvpn-status.log" dev="dm-1" ino=54153273 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:openvpn_etc_t:s0 tclass=file

Зміна контексту цього файлу на rw робить фокус:

chcon -t openvpn_etc_rw_t openvpn-status.log

і 

[root@server openvpn]# ls -alZ openvpn-status.log
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 openvpn-status.log

стане

-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 openvpn-status.log

Після цього дзвінок

service openvpn@server start

працювали бездоганно

[root@server openvpn]# service openvpn@server status
Redirecting to /bin/systemctl status  openvpn@server.service
openvpn@server.service - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; disabled)
   Active: active (running) since Fri 2014-10-17 23:13:49 CEST; 9s ago
  Process: 20445 ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf (code=exited, status=0/SUCCESS)
 Main PID: 20449 (openvpn)
   CGroup: /system.slice/system-openvpn.slice/openvpn@server.service
           └─20449 /usr/sbin/openvpn --daemon --writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config server.conf

Oct 17 23:13:49 server openvpn[20445]: ROUTE_GATEWAY xx.xxx.xx.x/255.255.255.0 IFACE=eth0 HWADDR=XX:XX:XX:XX:XX:XX
Oct 17 23:13:49 server openvpn[20449]: GID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link local (bound): [undef]
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link remote: [undef]
Oct 17 23:13:49 server openvpn[20449]: MULTI: multi_init called, r=256 v=256
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Oct 17 23:13:49 server systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL LIST
Oct 17 23:13:49 server openvpn[20449]: Initialization Sequence Completed

PS: Я на Centos 7.

massimo2001
джерело
Це слід позначити як правильну відповідь.
ansi_lumen
4

Для всіх, хто знайде цю тему, у мене виникла проблема на Fedora 26. Виявляється інструкція, яку я виконував, якщо ви помістили файли conf в каталог / etc / openvpn, але вони повинні зайти в / etc / openvpn / server.

Єремія
джерело
1
ДЯКУЮ ТОБІ. Для інших , які повинні йти цією глибокою: Ви повинні скопіювати ваш ca, crtі key(так два .crtфайлу і .keyфайл) в тому ж каталозі
AlexWalterbos
1
Це було також рішення для мене на CentOS 8
oucil
1

Проблема полягає в SELinux, редагуванні /etc/sysconfig/selinuxта налаштуванні, SELINUX=permissiveа потім перезавантаженні виправлено це для мене. У Fedora я пам’ятаю, що була команда, яку потрібно запустити, щоб дозволити правильне використання каталогу cert, але я забуваю, що це за команда. Налаштуйте дозвільні виправлення повністю, але більш бажаним способом було б виправити його, щоб він міг правильно використовувати каталог.

ксенотерацид
джерело
0

Про каталог cert та проблему SElinux, здається, це вже досить давно, спочатку повідомляється тут: https://bugzilla.redhat.com/show_bug.cgi?id=555785 І, здається, це помилка вгору за течією, принаймні, коли ви використовуєте NetworkManager для управління ваше openvpn з'єднання. Але помилка вище за течією все ще залишається "непідтвердженою" -.- https://bugzilla.gnome.org/show_bug.cgi?id=670198

Можливо, проблема повторного маркування SELinux при спробі запуску OpenVPN якось допомагає з бітами SElinux.

Або якщо ви хочете використовувати сертифікати для кожного користувача, а не загальносистемні сертифікати: /superuser/339391/making-selinux-play-nice-with-openvpn-in-networkmanager

doktor5000
джерело
0

Вищезгадану помилку я усунув, перемістивши файли конф (-ів) у  clientкаталог, наприклад,

/etc/openvpn/client/openvpn.conf
Anmol Jain
джерело
1
@ GAD3R: А? Мені здається , що це робить дати відповідь на питання; кожний шматочок стільки ж, скільки відповідь Єремії , яка схожа (але не тотожна).
G-Man каже: "Відновіть Моніку"
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.