openvpn []: Optionsfehler: In [CMD-LINE]: 1: Fehler beim Öffnen der Konfigurationsdatei

11

wenn ich es versuche service openvpn start

Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf

Laufen openvpn devnet-client-vm.conffunktioniert gut. Warum startet openvpn nicht? wie kann ich es reparieren?

centos selinux openvpn Xenoterracid
quelle
Ich gab eine Antwort, aber ich ermutige Antworten, die nicht das
Kastrieren von

Antworten:

11

Vielleicht möchten Sie laufen

fixfiles -R openvpn restore

Ein ls -alZ sollte Ihnen so etwas geben (zeigt an, dass sich Ihre Dateien jetzt im richtigen Selinux-Kontext befinden):

[root@server openvpn]# ls -alZ /etc/openvpn/
drwxr-xr-x. root    root    system_u:object_r:openvpn_etc_t:s0 .
drwxr-xr-x. root    root    system_u:object_r:etc_t:s0       ..
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 certs
-rw-r--r--. root    root    unconfined_u:object_r:openvpn_etc_t:s0 dh2048.pem
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 easy-rsa
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 ipp.txt
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 ta.key
-rw-------. openvpn openvpn unconfined_u:object_r:openvpn_etc_t:s0 server.conf

Wenn Sie eine Aussage wie haben

status openvpn-status.log

In Ihrer openvpn-Konfigurationsdatei stellen Sie möglicherweise fest, dass der Server immer noch nicht gestartet wird. Ein Blick auf das /var/log/audit/audit.log wird zeigen

type=AVC msg=audit(1413580155.710:1265): avc:  denied  { write } for  pid=19725 comm="openvpn" name="openvpn-status.log" dev="dm-1" ino=54153273 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:openvpn_etc_t:s0 tclass=file

Das Ändern des Kontexts dieser Datei in rw führt den Trick aus:

chcon -t openvpn_etc_rw_t openvpn-status.log

und 

[root@server openvpn]# ls -alZ openvpn-status.log
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 openvpn-status.log

wird werden

-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 openvpn-status.log

Danach der Anruf

service openvpn@server start

funktionierte einwandfrei.

[root@server openvpn]# service openvpn@server status
Redirecting to /bin/systemctl status  [email protected]
[email protected] - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/[email protected]; disabled)
   Active: active (running) since Fri 2014-10-17 23:13:49 CEST; 9s ago
  Process: 20445 ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf (code=exited, status=0/SUCCESS)
 Main PID: 20449 (openvpn)
   CGroup: /system.slice/system-openvpn.slice/[email protected]
           └─20449 /usr/sbin/openvpn --daemon --writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config server.conf

Oct 17 23:13:49 server openvpn[20445]: ROUTE_GATEWAY xx.xxx.xx.x/255.255.255.0 IFACE=eth0 HWADDR=XX:XX:XX:XX:XX:XX
Oct 17 23:13:49 server openvpn[20449]: GID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link local (bound): [undef]
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link remote: [undef]
Oct 17 23:13:49 server openvpn[20449]: MULTI: multi_init called, r=256 v=256
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Oct 17 23:13:49 server systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL LIST
Oct 17 23:13:49 server openvpn[20449]: Initialization Sequence Completed

PS: Ich bin auf Centos 7.

massimo2001
quelle
3

Für alle anderen, die diesen Thread finden, hatte ich das Problem mit Fedora 26. Es stellte sich heraus, dass die Anweisungen, denen ich gefolgt bin, Sie die conf-Dateien in das Verzeichnis / etc / openvpn gestellt haben, aber sie müssen in / etc / openvpn / server gehen.

Jeremiah
quelle
1
DANKE. Für andere , die diese tief gehen: Sie haben Ihr zu kopieren ca, crtund key(so zwei .crtDateien und eine .keyDatei) in das gleiche Verzeichnis
AlexWalterbos
Dies war auch die Lösung für mich auf CentOS 8
oucil
1

Das Problem ist SELinux, das Bearbeiten /etc/sysconfig/selinuxund Einstellen SELINUX=permissivesowie das anschließende Neustarten haben es für mich behoben. Ich erinnere mich an Fedora, dass es einen Befehl gab, der ausgeführt werden musste, damit das Zertifikatsverzeichnis ordnungsgemäß verwendet werden konnte, aber ich vergesse, was dieser Befehl ist. Die Einstellung auf zulässige Korrekturen ist vollständig, aber ein bevorzugterer Weg wäre, sie zu korrigieren, damit das Verzeichnis ordnungsgemäß verwendet werden kann.

Xenoterracid
quelle
0

Für das Zertifikatverzeichnis und das SElinux-Problem scheint das ziemlich alt zu sein, zuerst hier berichtet: https://bugzilla.redhat.com/show_bug.cgi?id=555785 Und es scheint ein Upstream-Fehler zu sein, zumindest wenn Sie NetworkManager zur Steuerung verwenden Ihre openvpn-Verbindung. Der Upstream-Fehler ist jedoch immer noch "unbestätigt" -.- https://bugzilla.gnome.org/show_bug.cgi?id=670198

Möglicherweise hilft das Problem der SELinux- Neukennzeichnung beim Versuch, OpenVPN auszuführen , irgendwie bei den SElinux-Bits.

Oder wenn Sie Benutzerzertifikate verwenden möchten und keine systemweiten: /superuser/339391/making-selinux-play-nice-with-openvpn-in-networkmanager

doktor5000
quelle