openvpn []: Error de opciones: En [CMD-LINE]: 1: Error al abrir el archivo de configuración

14

cuando trato de service openvpn start

Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf

correr openvpn devnet-client-vm.conffunciona bien. ¿Por qué no se inicia openvpn? ¿Cómo puedo arreglarlo?

centos  selinux  openvpn 
xenoterracida
fuente
Proporcioné una respuesta, pero animo las respuestas que no implican la esterilización de SELinux
xenoterracida

Respuestas:

12

Tal vez quieras correr

fixfiles -R openvpn restore

Un ls -alZ debería darle algo como esto (mostrando que sus archivos están en el contexto correcto de selinux ahora):

[root@server openvpn]# ls -alZ /etc/openvpn/
drwxr-xr-x. root    root    system_u:object_r:openvpn_etc_t:s0 .
drwxr-xr-x. root    root    system_u:object_r:etc_t:s0       ..
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 certs
-rw-r--r--. root    root    unconfined_u:object_r:openvpn_etc_t:s0 dh2048.pem
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 easy-rsa
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 ipp.txt
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 ta.key
-rw-------. openvpn openvpn unconfined_u:object_r:openvpn_etc_t:s0 server.conf

Si tienes una declaración como

status openvpn-status.log

en su archivo de configuración openvpn, puede notar que el servidor aún no se inicia. Un vistazo al /var/log/audit/audit.log revelará

type=AVC msg=audit(1413580155.710:1265): avc:  denied  { write } for  pid=19725 comm="openvpn" name="openvpn-status.log" dev="dm-1" ino=54153273 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:openvpn_etc_t:s0 tclass=file

Cambiar el contexto de este archivo a rw hace el truco:

chcon -t openvpn_etc_rw_t openvpn-status.log

y 

[root@server openvpn]# ls -alZ openvpn-status.log
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 openvpn-status.log

se convertirá

-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 openvpn-status.log

Luego la llamada

service openvpn@server start

funcionó a la perfección.

[root@server openvpn]# service openvpn@server status
Redirecting to /bin/systemctl status  openvpn@server.service
openvpn@server.service - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; disabled)
   Active: active (running) since Fri 2014-10-17 23:13:49 CEST; 9s ago
  Process: 20445 ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf (code=exited, status=0/SUCCESS)
 Main PID: 20449 (openvpn)
   CGroup: /system.slice/system-openvpn.slice/openvpn@server.service
           └─20449 /usr/sbin/openvpn --daemon --writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config server.conf

Oct 17 23:13:49 server openvpn[20445]: ROUTE_GATEWAY xx.xxx.xx.x/255.255.255.0 IFACE=eth0 HWADDR=XX:XX:XX:XX:XX:XX
Oct 17 23:13:49 server openvpn[20449]: GID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link local (bound): [undef]
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link remote: [undef]
Oct 17 23:13:49 server openvpn[20449]: MULTI: multi_init called, r=256 v=256
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Oct 17 23:13:49 server systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL LIST
Oct 17 23:13:49 server openvpn[20449]: Initialization Sequence Completed

PD: estoy en Centos 7.

massimo2001
fuente
Esto debe marcarse como la respuesta correcta.
ansi_lumen
3

Para cualquier otra persona que encuentre este hilo, tuve el problema en Fedora 26. Resulta que las instrucciones que seguía si pusiera los archivos conf en el directorio / etc / openvpn, pero deben ir a / etc / openvpn / server.

Jeremías
fuente
1
GRACIAS. Para otros que tienen que ir tan profundo: tienes que copiar tu ca, crty key(entonces dos .crtarchivos y un .key) archivo en el mismo directorio
AlexWalterbos
Esta fue también la solución para mí en CentOS 8
oucil
1

El problema es SELinux, la edición /etc/sysconfig/selinuxy configuración SELINUX=permissivey luego el reinicio lo arreglaron para mí. Recuerdo en Fedora que había que ejecutar un comando para permitir que el directorio cert se usara correctamente, pero olvido cuál es ese comando. Establecer arreglos permisivos por completo, pero una forma más preferida sería arreglarlo para que pueda usar el directorio correctamente.

xenoterracida
fuente
0

Para el directorio cert y el problema de SElinux, parece que es bastante antiguo, primero se informa aquí: https://bugzilla.redhat.com/show_bug.cgi?id=555785 Y parece que es un error ascendente, al menos cuando usas NetworkManager para controlar Su conexión openvpn. Pero el error aguas arriba todavía está "sin confirmar" -.- https://bugzilla.gnome.org/show_bug.cgi?id=670198

Tal vez el problema de reetiquetado de SELinux al intentar ejecutar OpenVPN ayuda de alguna manera con los bits SElinux.

O si desea utilizar certificados por usuario, y no certificados para todo el sistema: /superuser/339391/making-selinux-play-nice-with-openvpn-in-networkmanager

doktor5000
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.