LINUX.ORG.RU
решено ФорумAdmin

Centos 6 не создает tun интерфейс.

 , ,


0

1

Есть с нуля установленные Centos 6, на них установлены Openvpn. Один на сервер на vds вторая тестовая в virtualbox.
На обоих при простой конфигурации Openvpn не создается интерфейс tun.
Возможно кто то сталкивался с таким, можете подсказать где искать ошибку?

на vds может быть запрещено создовать tun интерфейсы на виртуалбоксе не должно быть таких ограничений

и еще проверь selinux

Nurmukh ★★★
()
Ответ на: комментарий от Nurmukh

VDS на kvm. Там не должно быть ограничений на создание tun. И selinux там отключен. Касательно virtualbox'а проверю сегодня.

UnderTaket
() автор топика
Ответ на: комментарий от Deleted 
port 5341
proto tcp
dev tun0
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
local 172.16.0.250
server 192.168.12.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
log-append  openvpn.log
verb 4
#push "redirect-gateway def1"
#push "dhcp-option DNS 8.8.8.8"
UnderTaket
() автор топика
Ответ на: комментарий от anonymous 
filename:       /lib/modules/2.6.32-642.4.2.el6.i686/kernel/drivers/net/tun.ko
alias:          char-major-10-200
license:        GPL
author:         (C) 1999-2004 Max Krasnyansky <maxk@qualcomm.com>
description:    Universal TUN/TAP device driver
srcversion:     31492DBC5F4166F110DE57A
depends:
vermagic:       2.6.32-642.4.2.el6.i686 SMP mod_unload modversions 686
UnderTaket
() автор топика
Ответ на: комментарий от UnderTaket 
log         openvpn.log
log-append  openvpn.log

Взаимоисключающие в данном случае, оставьте только log-append. Но это не по делу.
Запустите openvpn --config полный-путь-до-конфига
И покажите выхлоп.
ЗЫ /sbin/modprobe tun перед стартом попробуйте

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Из того что сразу в глаза бросается:

Fri Sep  9 22:22:19 2016 us=702762 OpenVPN 2.3.11 i686-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on May 10 2016
Fri Sep  9 22:22:19 2016 us=702784 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.03
Fri Sep  9 22:22:19 2016 us=743385 Diffie-Hellman initialized with 2048 bit key
Fri Sep  9 22:22:27 2016 us=938049 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Sep  9 22:22:27 2016 us=964077 Error: private key password verification failed
Fri Sep  9 22:22:27 2016 us=964157 Exiting due to fatal error
Куда выложить полный лог не знаю.

UnderTaket
() автор топика
Ответ на: комментарий от anc

Через easy-rsa, но скачанный с githab. Кстати забыл сказать, что openvpn устанавливался с репозитория epel.
Если я правильно помню те сертификаты которые сейчас лежат рядом с конфигом создавались с паролем

UnderTaket
() автор топика
Ответ на: комментарий от UnderTaket

Если я правильно помню те сертификаты которые сейчас лежат рядом с конфигом создавались с паролем

Зачем?

anc ★★★★★
()
Ответ на: комментарий от anc

Запрашивал пароль, без него не создавал сертификаты. Разве запароленный сертификат может препятствовать созданию tun интерфейса?

UnderTaket
() автор топика
Ответ на: комментарий от UnderTaket

Честно говоря я не в курсе как opvn подпихнуть пароль от сертификата (я про сервер). И возвращаемся к вопросу зачем это, если все равно где-то это надо автоматизировать?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от UnderTaket

Разве запароленный сертификат может препятствовать созданию tun интерфейса?

Интерфейс создает ovpn, а он у вас не может стартануть по выше указанной причине.

anc ★★★★★
()
Ответ на: комментарий от anc

Да не зачем. Просто был такой easy-rsa. Я могу пересоздать сертификаты на другой системе, с другой версией данного программного пакета.

UnderTaket
() автор топика
Ответ на: комментарий от UnderTaket

Вот кажется оно:

--askpass [file]
              Get  certificate  password from console or file before we daemo-
              nize.

              For the extremely security conscious, it is possible to  protect
              your  private  key  with  a password.  Of course this means that
              every time the OpenVPN daemon is started you must  be  there  to
              type  the  password.   The  --askpass option allows you to start
              OpenVPN from the command line.  It will query you for a password
              before  it daemonizes.  To protect a private key with a password
              you should omit the -nodes option when you use the openssl  com-
              mand line tool to manage certificates and private keys.

              If  file  is specified, read the password from the first line of
              file.  Keep in mind that storing your password in a  file  to  a
              certain  extent invalidates the extra security provided by using
              an encrypted key.

anc ★★★★★
()
Ответ на: комментарий от anc

Так дело в том, что он ovpn стартует. Но не создает tun. Я конечно могу ошибаться в чем то. Вообшем я думаю создать простые сертификаты, без паролей, а там посмотрим, что из этого выйдет

UnderTaket
() автор топика
Ответ на: комментарий от UnderTaket

Так дело в том, что он ovpn стартует.

Мне так не показалось:

Fri Sep 9 22:22:27 2016 us=964157 Exiting due to fatal error

anc ★★★★★
()

И правда, вся проблема была в запароленых сертификатах. Поставил обычные без пароли и интерфейс tun создался. Спасибо всем за помощь!

UnderTaket
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin