openvpn[]: Optionenfehler: In [CMD-LINE]:1: Fehler beim Öffnen der Konfigurationsdatei

Question 1

Vielleicht möchten Sie laufen

fixfiles -R openvpn restore

Ein „ls -alZ“ sollte in etwa Folgendes ausgeben (und zeigt damit an, dass sich Ihre Dateien jetzt im richtigen Selinux-Kontext befinden):

[root@server openvpn]# ls -alZ /etc/openvpn/
drwxr-xr-x. root    root    system_u:object_r:openvpn_etc_t:s0 .
drwxr-xr-x. root    root    system_u:object_r:etc_t:s0       ..
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 certs
-rw-r--r--. root    root    unconfined_u:object_r:openvpn_etc_t:s0 dh2048.pem
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 easy-rsa
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 ipp.txt
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 ta.key
-rw-------. openvpn openvpn unconfined_u:object_r:openvpn_etc_t:s0 server.conf

Wenn Sie eine Aussage wie

status openvpn-status.log

in Ihrer OpenVPN-Konfigurationsdatei bemerken Sie möglicherweise, dass der Server immer noch nicht startet. Ein Blick in die Datei /var/log/audit/audit.log zeigt

type=AVC msg=audit(1413580155.710:1265): avc:  denied  { write } for  pid=19725 comm="openvpn" name="openvpn-status.log" dev="dm-1" ino=54153273 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:openvpn_etc_t:s0 tclass=file

Das Ändern des Kontexts dieser Datei in rw hilft:

chcon -t openvpn_etc_rw_t openvpn-status.log

Und

[root@server openvpn]# ls -alZ openvpn-status.log
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 openvpn-status.log

wird werden

-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 openvpn-status.log

Anschließend der Anruf

service openvpn@server start

hat einwandfrei funktioniert.

[root@server openvpn]# service openvpn@server status
Redirecting to /bin/systemctl status  [email protected]
[email protected] - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/[email protected]; disabled)
   Active: active (running) since Fri 2014-10-17 23:13:49 CEST; 9s ago
  Process: 20445 ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf (code=exited, status=0/SUCCESS)
 Main PID: 20449 (openvpn)
   CGroup: /system.slice/system-openvpn.slice/[email protected]
           └─20449 /usr/sbin/openvpn --daemon --writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config server.conf

Oct 17 23:13:49 server openvpn[20445]: ROUTE_GATEWAY xx.xxx.xx.x/255.255.255.0 IFACE=eth0 HWADDR=XX:XX:XX:XX:XX:XX
Oct 17 23:13:49 server openvpn[20449]: GID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link local (bound): [undef]
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link remote: [undef]
Oct 17 23:13:49 server openvpn[20449]: MULTI: multi_init called, r=256 v=256
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Oct 17 23:13:49 server systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL LIST
Oct 17 23:13:49 server openvpn[20449]: Initialization Sequence Completed

PS: Ich verwende Centos 7.

Answer

Vielleicht möchten Sie laufen

fixfiles -R openvpn restore

Ein „ls -alZ“ sollte in etwa Folgendes ausgeben (und zeigt damit an, dass sich Ihre Dateien jetzt im richtigen Selinux-Kontext befinden):

[root@server openvpn]# ls -alZ /etc/openvpn/
drwxr-xr-x. root    root    system_u:object_r:openvpn_etc_t:s0 .
drwxr-xr-x. root    root    system_u:object_r:etc_t:s0       ..
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 certs
-rw-r--r--. root    root    unconfined_u:object_r:openvpn_etc_t:s0 dh2048.pem
drwxr-xr-x. root    root    unconfined_u:object_r:openvpn_etc_t:s0 easy-rsa
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 ipp.txt
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 ta.key
-rw-------. openvpn openvpn unconfined_u:object_r:openvpn_etc_t:s0 server.conf

Wenn Sie eine Aussage wie

status openvpn-status.log

in Ihrer OpenVPN-Konfigurationsdatei bemerken Sie möglicherweise, dass der Server immer noch nicht startet. Ein Blick in die Datei /var/log/audit/audit.log zeigt

type=AVC msg=audit(1413580155.710:1265): avc:  denied  { write } for  pid=19725 comm="openvpn" name="openvpn-status.log" dev="dm-1" ino=54153273 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:openvpn_etc_t:s0 tclass=file

Das Ändern des Kontexts dieser Datei in rw hilft:

chcon -t openvpn_etc_rw_t openvpn-status.log

Und

[root@server openvpn]# ls -alZ openvpn-status.log
-rw-------. root    root    unconfined_u:object_r:openvpn_etc_t:s0 openvpn-status.log

wird werden

-rw-------. root    root    unconfined_u:object_r:openvpn_etc_rw_t:s0 openvpn-status.log

Anschließend der Anruf

service openvpn@server start

hat einwandfrei funktioniert.

[root@server openvpn]# service openvpn@server status
Redirecting to /bin/systemctl status  [email protected]
[email protected] - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/[email protected]; disabled)
   Active: active (running) since Fri 2014-10-17 23:13:49 CEST; 9s ago
  Process: 20445 ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf (code=exited, status=0/SUCCESS)
 Main PID: 20449 (openvpn)
   CGroup: /system.slice/system-openvpn.slice/[email protected]
           └─20449 /usr/sbin/openvpn --daemon --writepid /var/run/openvpn/server.pid --cd /etc/openvpn/ --config server.conf

Oct 17 23:13:49 server openvpn[20445]: ROUTE_GATEWAY xx.xxx.xx.x/255.255.255.0 IFACE=eth0 HWADDR=XX:XX:XX:XX:XX:XX
Oct 17 23:13:49 server openvpn[20449]: GID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UID set to nobody
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link local (bound): [undef]
Oct 17 23:13:49 server openvpn[20449]: UDPv4 link remote: [undef]
Oct 17 23:13:49 server openvpn[20449]: MULTI: multi_init called, r=256 v=256
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Oct 17 23:13:49 server systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Oct 17 23:13:49 server openvpn[20449]: IFCONFIG POOL LIST
Oct 17 23:13:49 server openvpn[20449]: Initialization Sequence Completed

PS: Ich verwende Centos 7.

Question 2

Für alle anderen, die diesen Thread finden: Ich hatte das Problem unter Fedora 26. Es stellte sich heraus, dass die Anweisungen, die ich befolgte, vorsahen, die Conf-Dateien in das Verzeichnis /etc/openvpn zu legen, aber sie müssen in /etc/openvpn/server.

Answer

Für alle anderen, die diesen Thread finden: Ich hatte das Problem unter Fedora 26. Es stellte sich heraus, dass die Anweisungen, die ich befolgte, vorsahen, die Conf-Dateien in das Verzeichnis /etc/openvpn zu legen, aber sie müssen in /etc/openvpn/server.

Question 3

Das Problem ist SELinux. Durch Bearbeiten /etc/sysconfig/selinuxund Einstellen SELINUX=permissiveund anschließendes Neustarten wurde es für mich behoben. Ich erinnere mich, dass es in Fedora einen Befehl gab, der ausgeführt werden musste, damit das Zertifikatsverzeichnis ordnungsgemäß verwendet werden konnte, aber ich habe vergessen, was das für ein Befehl war. Die Einstellung auf „permissiv“ behebt das Problem vollständig, aber eine bessere Möglichkeit wäre, es so zu beheben, dass das Verzeichnis ordnungsgemäß verwendet werden kann.

Answer

Das Problem ist SELinux. Durch Bearbeiten /etc/sysconfig/selinuxund Einstellen SELINUX=permissiveund anschließendes Neustarten wurde es für mich behoben. Ich erinnere mich, dass es in Fedora einen Befehl gab, der ausgeführt werden musste, damit das Zertifikatsverzeichnis ordnungsgemäß verwendet werden konnte, aber ich habe vergessen, was das für ein Befehl war. Die Einstellung auf „permissiv“ behebt das Problem vollständig, aber eine bessere Möglichkeit wäre, es so zu beheben, dass das Verzeichnis ordnungsgemäß verwendet werden kann.

Question 4

Ich habe den obigen Fehler behoben, indem ich die conf-Datei(en) in das clientVerzeichnis verschoben habe, z. B.

/etc/openvpn/client/openvpn.conf

Answer

Ich habe den obigen Fehler behoben, indem ich die conf-Datei(en) in das clientVerzeichnis verschoben habe, z. B.

/etc/openvpn/client/openvpn.conf

openvpn[]: Optionenfehler: In [CMD-LINE]:1: Fehler beim Öffnen der Konfigurationsdatei

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen