Bug 28203 - Не поднимает соединение tap, если уже настроен openvpn-server
Summary: Не поднимает соединение tap, если уже настроен openvpn-server
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-net-openvpn (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Mikhail Efremov
QA Contact: qa-sisyphus
URL:
Keywords:
: 29253 (view as bug list)
Depends on:
Blocks:
 
Reported: 2012-12-08 12:58 MSK by Andrey Prokopyev
Modified: 2013-08-13 17:43 MSK (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Andrey Prokopyev 2012-12-08 12:58:50 MSK
Сегодня столкнулся.
У меня на домашнем сервере/роутере настроен openvpn сервер в режиме tap. Настраивался через веб интерфейс.
Потребовалось подключиться к клиентскому vpn серверу ( в смысле установить подключение к сети клиента). У клиента тоже Centaurus.
Что делал:
1. зашел в веб интерфейс своего роутера в раздел управление ключами ssl и создал новый сертификат, скачал запрос на подпись.
2. зашел в УЦ клиентского сервера, подписал сертификат и скачал ca-root.pem
3. положил подписанный сертификат в "управление ключами ssl"
4. в своем сервере, в разделе vpn соединения создал новое соединение tap1 (tap0 - интерфейс vpn-server)
Соответственно положил ca-root.pem и выбрал свой сертификат. "Нажал применить"
5. в пункте состояние выбрал "запустить"
Увидел ошибку, точно не помню, но что-то вроде "неверный сертификат ca-root"
Далее зашел по ssh на домашний роутер, чтобы проверить конфигурацию vpn tap1 - оказалось все ок!!!
выполнил
Код: [Выделить]

ifup tap1

интерфейс молча поднялся!
В вебинтерфейсе ничего не меняется, состояние "отключено"
Comment 1 Mikhail Efremov 2012-12-10 20:34:31 MSK
Я так и не понял, проблема на сервере, клиенте или на обоих?
И покажите вывод grep ^ca /etc/net/ifaces/tap1/ovpnoptions.

> ifup tap1
> 
> интерфейс молча поднялся!

В данном случае это ничего не значит. openvpn нормально запустился, соединение устанавливается? Что в логе?
Comment 2 Andrey Prokopyev 2012-12-15 13:26:10 MSK
В логах все ок, и соединение работает, etcnet-ом автоматически поднимается.
проблема где-то в альтераторе. Причем, после его поднятия ifup оно теперь работает и из вебинтерфейса. 
Такое подозрение, при настроенном openvpn-сервере, при попытке настроить новое vpn-соединение к другому серверу, альтератор пытается подставить ca-root.pem от локального (своего) сервера, а не тот, который был загружен для этого соединения.
Повторить не могу, сейчас все работает.
Но думаю если создать новое подключение tap к еще одному серверу, выполнить пошагово то, что я писал в начале ситуация повториться, на днях попробую!
Comment 3 Repository Robot 2012-12-21 21:13:50 MSK
alterator-net-openvpn-0.8.9-alt1 -> sisyphus:

* Fri Dec 21 2012 Mikhail Efremov <sem@altlinux> 0.8.9-alt1
- Added initial GOST support.
- Disable LZO by default.
- Use 'dev-type' instead of 'dev'.
- Use its own CA certificate for each connection (closes: #28203).
- Set resolve timeout to 15s.
- Use 'resolve' as well as 'dig' (closes: #27560).
Comment 4 Mikhail Efremov 2013-08-13 17:43:03 MSK
*** Bug 29253 has been marked as a duplicate of this bug. ***