LINUX.ORG.RU
ФорумAdmin

Рушиться OpenVPN(сервер) при попытке войти клиентом по логи/паролю!!!


0

1

Собственно вопрос по теме, пытаюсь настроить OpenVPN(Fedora 9), проблем особых не было пока не решился осуществить авторизацию клиентов, настройки и сам скрипт для работы с LDAP взят отсюда -> http://alfss.net/blog/?p=71.

При вводе логин/пароль на клиенте, сервер падает, в логе запись следующего содержания:

Wed Mar 23 17:07:05 2011 us=607937 xxx.xxx.xxx.xxx:3836 UDPv4 READ [84] from xxx.xxx.xxx.xxx:3836: P_CONTROL_V1 kid=0 pid=[ #71 ] [ ] pid=30 DATA len=46

Wed Mar 23 17:07:05 2011 us=608244 xxx.xxx.xxx.xxx:3836 Could not create temporary file 'openvpn_up_168494e1372526916223a291b8eff7d3.tmp': Permission denied

Wed Mar 23 17:07:05 2011 us=608316 xxx.xxx.xxx.xxx:3836 Exiting

Wed Mar 23 17:07:05 2011 us=608438 xxx.xxx.xxx.xxx:3836 /sbin/route del -net 10.9.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted

Wed Mar 23 17:07:05 2011 us=611717 xxx.xxx.xxx.xxx:3836 ERROR: Linux route delete command failed: external program exited with error status: 7

Wed Mar 23 17:07:05 2011 us=611872 xxx.xxx.xxx.xxx:3836 Closing TUN/TAP interface

Wed Mar 23 17:07:05 2011 us=611938 xxx.xxx.xxx.xxx:3836 /sbin/ifconfig tun0 0.0.0.0

SIOCSIFADDR: Permission denied

SIOCSIFFLAGS: Permission denied

Wed Mar 23 17:07:05 2011 us=615544 xxx.xxx.xxx.xxx:3836 Linux ip addr del failed: external program exited with error status: 255

В инете ничего не нашел об «Could not create temporary file 'openvpn_up_168494e1372526916223a291b8eff7d3.tmp': Permission denied» Может у кого есть мысль, что именно а главное где дать этот пермишен???

Заранее спасибо!



Последнее исправление: LD73 (всего исправлений: 4)

man openvpn

If method is set to «via-file», OpenVPN will write the username and password to the first two lines of a temporary file. The filename will be passed as an argu‐ ment to script, and the file will be automatically deleted by OpenVPN after the script returns. The location of the temporary file is controlled by the --tmp- dir option, and will default to the current directory if unspecified. For security, consider setting --tmp-dir to a volatile storage medium such as /dev/shm (if available) to prevent the username/password file from touching the hard drive.

?

Deleted
()

Кстати говоря, лучше обновить OpenVPN (если установлена сильно старая версия) и использовать модуль для аутентификации через PAM (настроенный на LDAP), который там в комплекте. Либо использовать сторонний модуль для аутентификации няпрямую в LDAP - http://code.google.com/p/openvpn-auth-ldap/.

Deleted
()
Ответ на: комментарий от Deleted

Тут я немного разобрался, указал явно где будут храниться временные файлы, на папку дал пермишины, теперь этой ошибки нету, а при попытке войти, сервер на рушить но и не пускает, вот что в логах: [code] Wed Mar 23 18:31:48 2011 us=943098 xxx.xxx.xxx.xxx:4911 UDPv4 READ [138] from xxx.xxx.xxx.xxx:4911: P_CONTROL_V1 kid=0 pid=[ #70 ] [ ] pid=29 DATA len=100 Wed Mar 23 18:31:48 2011 us=943240 xxx.xxx.xxx.xxx:4911 UDPv4 WRITE [46] to xxx.xxx.xxx.xxx:4911: P_ACK_V1 kid=0 pid=[ #69 ] [ 29 ] Wed Mar 23 18:31:48 2011 us=943525 GET INST BY REAL: xxx.xxx.xxx.xxx:4911 [succeeded] Wed Mar 23 18:31:48 2011 us=943634 xxx.xxx.xxx.xxx:4911 UDPv4 READ [84] from xxx.xxx.xxx.xxx:4911: P_CONTROL_V1 kid=0 pid=[ #71 ] [ ] pid=30 DATA len=46 Wed Mar 23 18:31:48 2011 us=944109 xxx.xxx.xxx.xxx:4911 WARNING: Failed running command (--auth-user-pass-verify): external program fork failed Wed Mar 23 18:31:48 2011 us=944274 xxx.xxx.xxx.xxx:4911 TLS Auth Error: Auth Username/Password verification failed for peer Wed Mar 23 18:31:48 2011 us=944588 xxx.xxx.xxx.xxx:4911 UDPv4 WRITE [150] to xxx.xxx.xxx.xxx:4911: P_CONTROL_V1 kid=0 pid=[ #70 ] [ 30 ] pid=42 DATA len=100 [/code]

Сам по себе скрипт рабочий, по крайней мере при его запуске ошибок в коде нету и модули все есть в наличии. Будут какие нибудь предположения?

LD73
() автор топика
Ответ на: комментарий от Deleted

Wed Mar 23 18:31:48 2011 us=944109 xxx.xxx.xxx.xxx:4911 WARNING: Failed running command (--auth-user-pass-verify): external program fork failed в не зависимости что от кода скрипта, пустышка дает такой же результат :(

LD73
() автор топика
Ответ на: комментарий от LD73

Права на файл на запуск скрипта есть? И, может, у вас включён SeLinux, там может быть отдельный запрет (/var/log/audit).

А гугл ещё говорит про опцию OpenVPN --script-security.

mky ★★★★★
()
Ответ на: комментарий от zgen

Сорри за формат, но я пытался, честно пытался, но что-то не получилось.

LD73
() автор топика
Ответ на: комментарий от mky

Вы правы на счет опции --script-security без нее никак, странно что об этом автор статьи не упомянул, в принципе все что там описано работае, но с не большими ньюасами:

1) надо дать права на временную папку(предварительно назначив ее) где будут храниться файлы клиентов при connection,discоnnection и еще что-то там.

2) включить опцию script-security с параметром не ниже 2, в режиме system(скорей всего можно оставить режим по умолчанию, не проверил)

3) все-таки перенастроить взаимодействие с LDAP, то что было в примере в моем случае никак не хотело давать нужный мне результат.

В итоге получилась связка OpenVpn+LDAP(Active Directory)

LD73
() автор топика
9 ноября 2011 г.
Ответ на: комментарий от LD73

У автора нема таких проблем :)

Сечас такая конфигурация спокойно работает на ubuntu 10.04

Но буду иметь в виду, спасибо.

alfss
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin