Centos 7, почему не запускается openvpn клиент?

Question

[mr_blond97]

Пытаюсь установить клиент openvpn на centos7:

# systemctl start openvpn@openvpn.service
Job for openvpn@openvpn.service failed. See 'systemctl status openvpn@openvpn.service' and 'journalctl -xn' for details.

# systemctl status openvpn@openvpn.service
openvpn@openvpn.service - OpenVPN service openvpn
Loaded: loaded (/usr/lib/systemd/system/openvpn@openvpn.service; enabled)
Active: failed (Result: exit-code) since Wed 2015-07-15 16:25:46 FET; 14s ago
Process: 9523 ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf (code=exited, status=1/FAILURE)

Jul 15 16:25:46 erp systemd[1]: Starting OpenVPN service openvpn...
Jul 15 16:25:46 erp systemd[1]: openvpn@openvpn.service: control process exited, code=exited status=1
Jul 15 16:25:46 erp systemd[1]: Failed to start OpenVPN service openvpn.
Jul 15 16:25:46 erp systemd[1]: Unit openvpn@openvpn.service entered failed state.

В чем может быть причина проблемы?

Answer 1

[Андрей Буров]

смотрите лог openvpn

Answer 2

[Владимир]

повысить говорливость лога
verb 3
и смотреть в нем

Comments

[mr_blond97]

В логе:
Options error: --writepid fails with '/var/run/openvpn/openvpn.pid': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

[Владимир]

mkdir /var/run/openvpn/

[mr_blond97]

сделал, запустил еще раз. в логе: Wed Jul 15 16:51:00 2015 OpenVPN 2.3.7 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 9 2015
Wed Jul 15 16:51:00 2015 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.06
Wed Jul 15 16:51:00 2015 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Wed Jul 15 16:51:00 2015 WARNING: No server certificate verification method has been enabled. See openvpn.net/howto.html#mitm for more info.
Wed Jul 15 16:51:00 2015 WARNING: file '/etc/openvpn/keys/usererp.key' is group or others accessible
Wed Jul 15 16:51:00 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jul 15 16:51:00 2015 failed to find GID for group nogroup
Wed Jul 15 16:51:00 2015 Exiting due to fatal error

[Владимир]

нет группы "nogroup"

[mr_blond97]

открываю vi /etc/openvpn/openvpn.conf, закомментирываю и пользователя и группу #user nobody #group nogroup. пробую запуститься. запустился. статус - активен. но pid прочитать не может. это критично?
systemd[1]: Starting OpenVPN service openvpn...
systemd[1]: PID file /var/run/openvpn/openvpn.pid not readable (yet?) after start.
systemd[1]: Started OpenVPN service openvpn.

и в ifconfig виртуальный сетевой интерфейс не поднялся

[Владимир]

снова смотреть логи

[mr_blond97]

# vi /var/log/openvpn.log
Wed Jul 15 17:01:48 2015 OpenVPN 2.3.7 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 9 2015
Wed Jul 15 17:01:48 2015 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.06
Wed Jul 15 17:01:48 2015 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Wed Jul 15 17:01:48 2015 WARNING: No server certificate verification method has been enabled. See openvpn.net/howto.html#mitm for more info.
Wed Jul 15 17:01:48 2015 WARNING: file '/etc/openvpn/keys/usererp.key' is group or others accessible
Wed Jul 15 17:01:48 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jul 15 17:01:48 2015 UDPv4 link local: [undef]
Wed Jul 15 17:01:48 2015 UDPv4 link remote: [AF_INET]здесь айпи сервера
Wed Jul 15 17:01:48 2015 TLS: Initial packet from [AF_INET]здесь айпи сервера, sid=e4e83e41 70406838
Wed Jul 15 17:01:48 2015 VERIFY OK: depth=1, C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru
Wed Jul 15 17:01:48 2015 VERIFY ERROR: depth=0, error=certificate signature failure: C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru
Wed Jul 15 17:01:48 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Jul 15 17:01:48 2015 TLS Error: TLS object -> incoming plaintext read error
Wed Jul 15 17:01:48 2015 TLS Error: TLS handshake failed
Wed Jul 15 17:01:48 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jul 15 17:01:48 2015 Restart pause, 2 second(s)
Wed Jul 15 17:01:50 2015 WARNING: No server certificate verification method has been enabled. See openvpn.net/howto.html#mitm for more info.
Wed Jul 15 17:01:50 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jul 15 17:01:50 2015 UDPv4 link local: [undef]
Wed Jul 15 17:01:50 2015 UDPv4 link remote: [AF_INET]здесь айпи сервера
Wed Jul 15 17:01:50 2015 TLS: Initial packet from [AF_INET]здесь айпи сервера, sid=9eaf6bc1 42d89bbc
Wed Jul 15 17:01:50 2015 VERIFY OK: depth=1, C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru

[Владимир]

добавьте в конфиг
client
nobind

и проверьте ссылку на CA сервера в параметре "ca"

ещё лучше опубликуйте деперсонализированный конфиг, очищенный от коментариев

[mr_blond97]

Wed Jul 15 18:52:38 2015 OpenVPN 2.3.7 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 9 2015
Wed Jul 15 18:52:38 2015 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.06
Wed Jul 15 18:52:38 2015 WARNING: file '/etc/openvpn/keys/usererp.key' is group or others accessible
Wed Jul 15 18:52:38 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jul 15 18:52:38 2015 UDPv4 link local: [undef]
Wed Jul 15 18:52:38 2015 UDPv4 link remote: [AF_INET]здесь айпи сервера
Wed Jul 15 18:52:38 2015 TLS: Initial packet from [AF_INET]*.*.*.*:*, sid=6d859190 62ede564
Wed Jul 15 18:52:38 2015 VERIFY OK: depth=1, C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru
Wed Jul 15 18:52:38 2015 VERIFY ERROR: depth=0, error=certificate signature failure: C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru
Wed Jul 15 18:52:38 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Jul 15 18:52:38 2015 TLS Error: TLS object -> incoming plaintext read error
Wed Jul 15 18:52:38 2015 TLS Error: TLS handshake failed
Wed Jul 15 18:52:38 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jul 15 18:52:38 2015 Restart pause, 2 second(s)
Wed Jul 15 18:52:40 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jul 15 18:52:40 2015 UDPv4 link local: [undef]
Wed Jul 15 18:52:40 2015 UDPv4 link remote: [AF_INET]*.*.*.*:*
Wed Jul 15 18:52:40 2015 TLS: Initial packet from [AF_INET]*.*.*.*:*, sid=8d3e4385 db18fc9c
Wed Jul 15 18:52:40 2015 VERIFY OK: depth=1, C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru
Wed Jul 15 18:52:40 2015 VERIFY ERROR: depth=0, error=certificate signature failure: C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru
Wed Jul 15 18:52:40 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Jul 15 18:52:40 2015 TLS Error: TLS object -> incoming plaintext read error
Wed Jul 15 18:52:40 2015 TLS Error: TLS handshake failed
Wed Jul 15 18:52:40 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jul 15 18:52:40 2015 Restart pause, 2 second(s)

[mr_blond97]

конфиг:
client
nobind
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
dh /etc/openvpn/keys/dh1024.pem
cert /etc/openvpn/keys/usererp.crt
key /etc/openvpn/keys/usererp.key
remote *.*.*.*:*
cipher DES-CBC
#user nobody
#group nogroup
verb 3
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
status /var/log/openvpn-status.log
log /var/log/openvpn.log
resolv-retry infinite
remote-cert-tls server

[Владимир]

закоментить
dh /etc/openvpn/keys/dh1024.pem
remote-cert-tls server

[mr_blond97]

закоментил, перезапустил

Wed Jul 15 19:15:56 2015 OpenVPN 2.3.7 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 9 2015
Wed Jul 15 19:15:56 2015 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.06
Wed Jul 15 19:15:56 2015 WARNING: No server certificate verification method has been enabled. See openvpn.net/howto.html#mitm for more info.
Wed Jul 15 19:15:56 2015 WARNING: file '/etc/openvpn/keys/usererp.key' is group or others accessible
Wed Jul 15 19:15:56 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jul 15 19:15:56 2015 UDPv4 link local: [undef]
Wed Jul 15 19:15:56 2015 UDPv4 link remote: [AF_INET]*.*.*.*:*
Wed Jul 15 19:15:56 2015 TLS: Initial packet from [AF_INET]*.*.*.*:*, sid=ae4bc67d 3ae49a58
Wed Jul 15 19:15:56 2015 VERIFY OK: depth=1, C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru
Wed Jul 15 19:15:56 2015 VERIFY ERROR: depth=0, error=certificate signature failure: C=RU, ST=citytest, L=citytest, O=test_org, OU=test, CN=test, name=test, emailAddress=support@ruhotline.ru
Wed Jul 15 19:15:56 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Jul 15 19:15:56 2015 TLS Error: TLS object -> incoming plaintext read error
Wed Jul 15 19:15:56 2015 TLS Error: TLS handshake failed
Wed Jul 15 19:15:56 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jul 15 19:15:56 2015 Restart pause, 2 second(s)

[Владимир]

похоже это ваш случай
https://www.centos.org/forums/viewtopic.php?p=2017...
поправить переменные окружения

Answer 3

[Руслан Федосеев]

модуль подгружен? tun устройство есть?

Comments

[mr_blond97]

в конфиге /etc/openvpn/openvpn.conf прописана строка dev tun, об этом речь?

[mr_blond97]

# cat /dev/net/tun
cat: /dev/net/tun: File descriptor in bad state

[Руслан Федосеев]

[root@ovpn ~]# lsmod | grep tun
tun 13150 2
[root@ovpn ~]# ip a | grep tun
3: tun0: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
inet 10.0.68.1 peer 10.0.68.2/32 scope global tun0
[root@ovpn ~]#

это с работающего сервера
Устройство tun0 конфигурится openvpn сервером, модуль грузится обычно автоматически, но если у вас VPS, а не физический сервер - то стоит уточнить у вашего провайдера, разрешена ли вам загрузка этого модуля

Answer 4

[younghacker]

Всё необходимое было сказано выше я лишь добавлю немного практики.
В сессии рута:
отключить SELinux
setenforce 0
проверить что отключился
getenforce

Настройте логи /etc/openvpn/ваш-vpn.conf

log-append  /var/log/openvpn.log
verb 5

затем запустить openvpn и посмотреть что получилось в логе

cat /var/log/openvpn.log

также ошибки указывающие на проблему могут быть и в /var/log/messages

Если проблема в SELinux то разрешите открывать порты (для конфига который породит сервер), читать конфиги и писать лог и status файлы.

Показать права SELinux для файлов:
semanage fcontext -l | grep openvpn
и для портов (требуется для сервера)
semanage port -l | grep openvpn_port_t

Добавление исключений для файлов:

semanage fcontext -t openvpn_etc_t -a '/etc/openvpn(/.*)?'
semanage fcontext -t openvpn_etc_rw_t -a '/etc/openvpn/ipp.txt'
semanage fcontext -t openvpn_var_log_t -a '/var/log/openvpn.*'
restorecon -v /etc/openvpn/
restorecon -v /var/log/

Добавление исключений для портов:

semanage port -a -t openvpn_port_t -p tcp ПОРТ
semanage port -a -t openvpn_port_t -p udp ПОРТ

semanage находится в пакете libsemanage-python

Answer 5

[turock]

systemctl start openvpn@openvpn.service

Вы пытаетесь запустить клиент с названием openvpn. У Вас так называется конфиг?
То что после @ - название конфига, т.е. если у вас конфиг называется office.conf , то запускать его надо
systemctl start openvpn@office.service

Comments

[younghacker]

Вопрос был задан больше чем полгода назад. И с того времени ТС не показал никакой активности. Какой смысл гадать на кофейной гуще? :)

[turock]

Мне не очень важно проявлял-ли ТС какую-либо активность на протяжении какого-то времени. Google помнит много и долго - это важней. Люди сюда приходят за ответом на свои вопросы, возможно мой вариант кому-то поможет, буду рад. А конфиг у него и правда openvpn назывался - было зарыто в комментариях, был не внимателен.

[MrSotariz]

turock: вы абсолютно правы - гугл таки сюда людей приводит :) вот и у меня вопрос к вам - а как же openvpn@office.service поставить в автозапуск, в centos 6 это было просто chkconfig openvpn on...

[turock]

Что-то вроде того systemctl enable openvpn@office.service

Answer 6

[Андрей]

Правильный ответ - mkdir /var/run/openvpn/