openvpn []: Błąd opcji: W [CMD-LINE]: 1: Błąd otwierania pliku konfiguracyjnego

14

kiedy próbuję service openvpn start

Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf

bieganie openvpn devnet-client-vm.confdziała dobrze. Dlaczego openvpn się nie uruchamia? jak mogę to naprawić?

centos selinux openvpn ksenoterracid
źródło
Podałem

Odpowiedzi:

12

Możesz chcieć biec

fixfiles -R openvpn restore

Ls -alZ powinien dać ci coś takiego (pokazując, że twoje pliki są teraz w poprawnym kontekście selinux):

[root@server openvpn]# ls -alZ /etc/openvpn/
drwxr-xr-x. root    root    system_u:object_r:openvpn_etc_t:s0 .
drwxr-xr-x. root    root    system_u:object_r:etc_t:s0       ..
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 certs
-rw-r--r--. root    root    unconfined_u:object_r:openvpn_etc_t:s0 dh2048.pem
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 easy-rsa
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 ipp.txt
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 ta.key
-rw-------. openvpn openvpn unconfined_u:object_r:openvpn_etc_t:s0 server.conf

Jeśli masz takie zdanie

status openvpn-status.log

w pliku konfiguracyjnym openvpn możesz zauważyć, że serwer nadal się nie uruchamia. Rzuci okiem na /var/log/audit/audit.log

type=AVC msg=audit(1413580155.710:1265): avc:  denied  { write } for  pid=19725 comm="openvpn" name="openvpn-status.log" dev="dm-1" ino=54153273 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:openvpn_etc_t:s0 tclass=file

Zmiana kontekstu tego pliku na rw rozwiązuje problem:

chcon -t openvpn_etc_rw_t openvpn-status.log

i 

[root@server openvpn]# ls -alZ openvpn-status.log
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 openvpn-status.log

stanie się

-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 openvpn-status.log

Następnie połączenie

service openvpn@server start

działał bezbłędnie.

[root@server openvpn]# service openvpn@server status
Redirecting to /bin/systemctl status  [email protected]
[email protected] - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/[email protected]; disabled)
   Active: active (running) since Fri 2014-10-17 23:13:49 CEST; 9s ago
  Process: 20445 ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf (code=exited, status=0/SUCCESS)
 Main PID: 20449 (openvpn)
   CGroup: /system.slice/system-openvpn.slice/[email protected]
           └─20449 /usr/sbin/openvpn --daemon --writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config server.conf

Oct 17 23:13:49 server openvpn[20445]: ROUTE_GATEWAY xx.xxx.xx.x/255.255.255.0 IFACE=eth0 HWADDR=XX:XX:XX:XX:XX:XX
Oct 17 23:13:49 server openvpn[20449]: GID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link local (bound): [undef]
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link remote: [undef]
Oct 17 23:13:49 server openvpn[20449]: MULTI: multi_init called, r=256 v=256
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Oct 17 23:13:49 server systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL LIST
Oct 17 23:13:49 server openvpn[20449]: Initialization Sequence Completed

PS: Jestem na Centos 7.

massimo2001
źródło
To powinno być oznaczone jako poprawna odpowiedź.
ansi_lumen
4

Dla każdego, kto znajdzie ten wątek, miałem problem z Fedorą 26. Okazało się, że instrukcje, które stosowałem, umieściłyście pliki conf w katalogu / etc / openvpn, ale muszą przejść do / etc / openvpn / server.

Jeremiasz
źródło
1
DZIĘKUJĘ CI. Dla innych, które muszą iść tak głęboko: Musisz skopiować ca, crti key(tak dwa .crtpliki i .key) plik w tym samym katalogu
AlexWalterbos
1
To było również dla mnie rozwiązanie na CentOS 8
oucil
1

Problem polega na tym, że SELinux, edycja /etc/sysconfig/selinuxi ustawienia, SELINUX=permissivea następnie ponowne uruchomienie naprawiły to dla mnie. Pamiętam w Fedorze, że trzeba było uruchomić polecenie, aby umożliwić prawidłowe użycie katalogu cert, ale zapominam, co to za polecenie. Ustawienie dozwolonych poprawek całkowicie, ale bardziej preferowanym sposobem byłoby naprawienie go, aby mógł prawidłowo korzystać z katalogu.

ksenoterracid
źródło
0

Wydaje się, że w przypadku katalogu Cert i problemu SElinux jest to dość stare, po raz pierwszy zgłoszone tutaj: https://bugzilla.redhat.com/show_bug.cgi?id=555785 I wydaje się, że jest to błąd nadrzędny, przynajmniej gdy używa się NetworkManagera do kontroli twoje połączenie openvpn. Ale błąd nadrzędny jest nadal „niepotwierdzony” -.- https://bugzilla.gnome.org/show_bug.cgi?id=670198

Być może problem z ponownym etykietowaniem SELinuksa podczas próby uruchomienia OpenVPN pomaga w jakiś sposób z bitami SElinux.

Lub jeśli chcesz używać certyfikatów dla poszczególnych użytkowników, a nie systemowych: /superuser/339391/making-selinux-play-nice-with-openvpn-in-networkmanager

doktor5000
źródło
0

Rozwiązałem powyższy błąd, przenosząc pliki conf do  clientkatalogu, np.

/etc/openvpn/client/openvpn.conf
Anmol Jain
źródło
1
@ GAD3R: Hę? Wydaje mi się, że to nie udzielić odpowiedzi na pytanie; tyle samo co odpowiedź Jeremiasza , która jest podobna (ale nie identyczna).
G-Man mówi „Przywróć Monikę”