Bug 28203

Summary: Не поднимает соединение tap, если уже настроен openvpn-server
Product: Sisyphus Reporter: Andrey Prokopyev <andrey>
Component: alterator-net-openvpnAssignee: Mikhail Efremov <sem>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: sem
Version: unstable   
Hardware: all   
OS: Linux   

Description Andrey Prokopyev 2012-12-08 12:58:50 MSK 
Сегодня столкнулся.
У меня на домашнем сервере/роутере настроен openvpn сервер в режиме tap. Настраивался через веб интерфейс.
Потребовалось подключиться к клиентскому vpn серверу ( в смысле установить подключение к сети клиента). У клиента тоже Centaurus.
Что делал:
1. зашел в веб интерфейс своего роутера в раздел управление ключами ssl и создал новый сертификат, скачал запрос на подпись.
2. зашел в УЦ клиентского сервера, подписал сертификат и скачал ca-root.pem
3. положил подписанный сертификат в "управление ключами ssl"
4. в своем сервере, в разделе vpn соединения создал новое соединение tap1 (tap0 - интерфейс vpn-server)
Соответственно положил ca-root.pem и выбрал свой сертификат. "Нажал применить"
5. в пункте состояние выбрал "запустить"
Увидел ошибку, точно не помню, но что-то вроде "неверный сертификат ca-root"
Далее зашел по ssh на домашний роутер, чтобы проверить конфигурацию vpn tap1 - оказалось все ок!!!
выполнил
Код: [Выделить]

ifup tap1

интерфейс молча поднялся!
В вебинтерфейсе ничего не меняется, состояние "отключено"
Comment 1 Mikhail Efremov 2012-12-10 20:34:31 MSK 
Я так и не понял, проблема на сервере, клиенте или на обоих?
И покажите вывод grep ^ca /etc/net/ifaces/tap1/ovpnoptions.

> ifup tap1
> 
> интерфейс молча поднялся!

В данном случае это ничего не значит. openvpn нормально запустился, соединение устанавливается? Что в логе?
Comment 2 Andrey Prokopyev 2012-12-15 13:26:10 MSK 
В логах все ок, и соединение работает, etcnet-ом автоматически поднимается.
проблема где-то в альтераторе. Причем, после его поднятия ifup оно теперь работает и из вебинтерфейса. 
Такое подозрение, при настроенном openvpn-сервере, при попытке настроить новое vpn-соединение к другому серверу, альтератор пытается подставить ca-root.pem от локального (своего) сервера, а не тот, который был загружен для этого соединения.
Повторить не могу, сейчас все работает.
Но думаю если создать новое подключение tap к еще одному серверу, выполнить пошагово то, что я писал в начале ситуация повториться, на днях попробую!
Comment 3 Repository Robot 2012-12-21 21:13:50 MSK 
alterator-net-openvpn-0.8.9-alt1 -> sisyphus:

* Fri Dec 21 2012 Mikhail Efremov <sem@altlinux> 0.8.9-alt1
- Added initial GOST support.
- Disable LZO by default.
- Use 'dev-type' instead of 'dev'.
- Use its own CA certificate for each connection (closes: #28203).
- Set resolve timeout to 15s.
- Use 'resolve' as well as 'dig' (closes: #27560).
Comment 4 Mikhail Efremov 2013-08-13 17:43:03 MSK 
*** Bug 29253 has been marked as a duplicate of this bug. ***