28203 2012-12-08 12:58:50 +0400 Не поднимает соединение tap, если уже настроен openvpn-server 2013-08-13 17:43:03 +0400 1 1 4 Development Sisyphus alterator-net-openvpn unstable all Linux CLOSED FIXED P3 normal --- 1 andrey sem sem qa-sisyphus oldest_to_newest 135929 0 andrey 2012-12-08 12:58:50 +0400 Сегодня столкнулся. У меня на домашнем сервере/роутере настроен openvpn сервер в режиме tap. Настраивался через веб интерфейс. Потребовалось подключиться к клиентскому vpn серверу ( в смысле установить подключение к сети клиента). У клиента тоже Centaurus. Что делал: 1. зашел в веб интерфейс своего роутера в раздел управление ключами ssl и создал новый сертификат, скачал запрос на подпись. 2. зашел в УЦ клиентского сервера, подписал сертификат и скачал ca-root.pem 3. положил подписанный сертификат в "управление ключами ssl" 4. в своем сервере, в разделе vpn соединения создал новое соединение tap1 (tap0 - интерфейс vpn-server) Соответственно положил ca-root.pem и выбрал свой сертификат. "Нажал применить" 5. в пункте состояние выбрал "запустить" Увидел ошибку, точно не помню, но что-то вроде "неверный сертификат ca-root" Далее зашел по ssh на домашний роутер, чтобы проверить конфигурацию vpn tap1 - оказалось все ок!!! выполнил Код: [Выделить] ifup tap1 интерфейс молча поднялся! В вебинтерфейсе ничего не меняется, состояние "отключено" 136001 1 sem 2012-12-10 20:34:31 +0400 Я так и не понял, проблема на сервере, клиенте или на обоих? И покажите вывод grep ^ca /etc/net/ifaces/tap1/ovpnoptions. > ifup tap1 > > интерфейс молча поднялся! В данном случае это ничего не значит. openvpn нормально запустился, соединение устанавливается? Что в логе? 136080 2 andrey 2012-12-15 13:26:10 +0400 В логах все ок, и соединение работает, etcnet-ом автоматически поднимается. проблема где-то в альтераторе. Причем, после его поднятия ifup оно теперь работает и из вебинтерфейса. Такое подозрение, при настроенном openvpn-сервере, при попытке настроить новое vpn-соединение к другому серверу, альтератор пытается подставить ca-root.pem от локального (своего) сервера, а не тот, который был загружен для этого соединения. Повторить не могу, сейчас все работает. Но думаю если создать новое подключение tap к еще одному серверу, выполнить пошагово то, что я писал в начале ситуация повториться, на днях попробую! 136260 3 repository-robot 2012-12-21 21:13:50 +0400 alterator-net-openvpn-0.8.9-alt1 -> sisyphus: * Fri Dec 21 2012 Mikhail Efremov <sem@altlinux> 0.8.9-alt1 - Added initial GOST support. - Disable LZO by default. - Use 'dev-type' instead of 'dev'. - Use its own CA certificate for each connection (closes: #28203). - Set resolve timeout to 15s. - Use 'resolve' as well as 'dig' (closes: #27560). 142071 4 sem 2013-08-13 17:43:03 +0400 *** Bug 29253 has been marked as a duplicate of this bug. ***