Не стартует openVPN сервер

[flint1975]

Код: [Выделить]

[root@vpn openvpn]# service openvpn start
Starting openvpn service: No channels to start!                                                                   [FAILED]
Configure one or more VPN's and place configuration files in /etc/openvpn
Sample config could be obtained from /usr/share/doc/openvpn
Это VDS сервер на openvz, переехавший с cert 6 на p6
Собственно, как я подозреваю, это из-за того, что в веб альтераторе - нет возможности выбрать мост :)
 еще

Код: [Выделить]

ifup tap0
FATAL: Could not load /lib/modules/2.6.32-042stab076.8/modules.dep: No such file or directory
ERROR: /etc/net/scripts/create-ovpn: tuntap control node does not existкуда лезть?

[ruslandh]

А что,  /etc/openvpn не настроен?

По второму надо сделать depmod -a

[flint1975]

А что там настраивать? У меня есть обычный сервер на котором настроен OpenVPN из альтератора, так вот каталоги на на обоих серверах совпадают :)

Код: [Выделить]

[root@vpn openvpn]# ls -l
итого 8
drwxr-x--- 2 root openvpn 4096 Ноя 30  2010 keys
-rwxr-x--- 1 root root     104 Ноя 30  2010 openvpn-startup
там все на etcnet

Код: [Выделить]

[root@vpn openvpn]# depmod -a
WARNING: Couldn't open directory /lib/modules/2.6.32-042stab076.8: No such file or directory
FATAL: Could not open /lib/modules/2.6.32-042stab076.8/modules.dep.temp for writing: No such file or directory
здесь просто каталог создать?

[flint1975]

еще:

Код: [Выделить]

FATAL: Module ip_tables not found.
iptables v1.4.10: can't initialize iptables table `nat': Incompatible with this kernel
Perhaps iptables or your kernel needs to be upgraded.
не понятно что сказать техподдержке? ядро свое они не будут менять :)

[ruslandh]

Как я понял - у вас контейнер внутри OpenVZ ?
Так там вроде используется хостовое ядро, и поэтому у вас в контейнере нет модулей ядра.

Примеры конфига OpenVpn лежит в /usr/share/doc/openvpn..версия/*.conf

[flint1975]

я настраивал через web alterator, он пишет конфиг в /etc/net/ifaces/tap0

Код: [Выделить]

[root@vpn tap0]# cat ovpnoptions
# Generated by alterator-openvpn-server, do not edit manually
port 1194
proto udp
dev  tap0
ca   /var/lib/ssl/certs/openvpn-server-CA.crt
cert /var/lib/ssl/certs/openvpn-server.cert
key  /var/lib/ssl/private/openvpn-server.key
dh   /var/lib/ssl/private/openvpn-server.dh
server-bridge 10.10.1.1 255.255.255.0 10.10.1.20 10.10.1.250
user openvpn
group openvpn
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-config-dir /etc/openvpn/ccd
persist-key
persist-tun
client-to-client
script-security 2
status openvpn-status.log
verb 3
comp-lzo


[ruslandh]

dev  tap0

Could not load /lib/modules/2.6.32-042stab076.8/modules.dep: No such file or directory

Так там вроде используется хостовое ядро, и поэтому у вас в контейнере нет модулей ядра.

[flint1975]

Таким образом, я делаю вывод, что мне надлежит воспользваться существующим интерфейсом: tunl0
У меня три виртуальных интерфейса: lo tunl0 venet0
venet0 - соответственно внешний!
Я правильно понимаю - мне следует просто пренастроить etcnet на использование tunl0 ?

[flint1975]

Продолжу описание проблем!
1. etcnet - ом запустить vpn так и не получилось, создал свой конфиг:

Спойлер

Код: [Выделить]

[root@vpn openvpn]# cat openvpn.conf
port 1194
proto udp
dev  tunl0
ca   /var/lib/ssl/certs/openvpn-server-CA.crt
cert /var/lib/ssl/certs/openvpn-server.cert
key  /var/lib/ssl/private/openvpn-server.key
dh   /var/lib/ssl/private/openvpn-server.dh
server-bridge 10.10.1.1 255.255.255.0 10.10.1.20 10.10.1.250
user openvpn
group openvpn
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-config-dir /etc/openvpn/ccd
persist-key
persist-tun
client-to-client
script-security 2
status openvpn-status.log
verb 3
comp-lzo


при запуске он выдает:

Код: [Выделить]

[root@vpn ~]# service openvpn start
Adjusting environment for openvpn:           [ DONE ]
Starting openvpn service:                    [FAILED]в логах:

Код: [Выделить]

Jul 16 11:29:10 vpn openvpn: Adjusting environment for openvpn: succeeded
Jul 16 11:29:11 vpn openvpn[4369]: Options error: --server-bridge directive only makes sense with --dev tap
Jul 16 11:29:11 vpn openvpn[4369]: Use --help for more information.
Jul 16 11:29:11 vpn openvpn: openvpn startup failed
но я так и не нашел, где вызывается с таким параметром
2. service network restart выдает следующее:

Спойлер

Код: [Выделить]

[root@vpn log]# service network restart
Computing interface groups: .. 2 interfaces found
Processing /etc/net/vlantab: empty.
Stopping group 0/virtual (2 interfaces)
        Stopping lo: .OK
        Stopping venet0: FATAL: Module ipv6 not found.
...OK
Stopping iptables for default
        Flushing the "OUTPUT" chain in the "filter" table
        Flushing the "FORWARD" chain in the "filter" table
        Flushing the "INPUT" chain in the "filter" table
        Flushing the "POSTROUTING" chain in the "nat" table
        Flushing the "OUTPUT" chain in the "nat" table
        Flushing the "PREROUTING" chain in the "nat" table
        Flushing the "POSTROUTING" chain in the "mangle" table
        Flushing the "OUTPUT" chain in the "mangle" table
        Flushing the "FORWARD" chain in the "mangle" table
        Flushing the "INPUT" chain in the "mangle" table
        Flushing the "PREROUTING" chain in the "mangle" table
        Unloading module ip_conntrack_ftp
FATAL: Module ip_conntrack_ftp not found.
ERROR: /etc/net/scripts/config-fw: Can't unload module ip_conntrack_ftp
        Setting ACCEPT policy for the "INPUT" chain in the "filter" table
        Setting ACCEPT policy for the "FORWARD" chain in the "filter" table
        Setting ACCEPT policy for the "OUTPUT" chain in the "filter" table
Starting iptables for default
        Setting ACCEPT policy for the "INPUT" chain in the "filter" table
        Setting ACCEPT policy for the "FORWARD" chain in the "filter" table
        Setting ACCEPT policy for the "OUTPUT" chain in the "filter" table
        Loading module ip_conntrack_ftp
FATAL: Module ip_conntrack_ftp not found.
ERROR: /etc/net/scripts/config-fw: Can't load module ip_conntrack_ftp
        Loading rules for the "PREROUTING" chain in the "mangle" table
        Loading rules for the "INPUT" chain in the "mangle" table
        Loading rules for the "FORWARD" chain in the "mangle" table
        Loading rules for the "OUTPUT" chain in the "mangle" table
        Loading rules for the "POSTROUTING" chain in the "mangle" table
        Loading rules for the "PREROUTING" chain in the "nat" table
        Loading rules for the "OUTPUT" chain in the "nat" table
        Loading rules for the "POSTROUTING" chain in the "nat" table
        Loading rules for the "INPUT" chain in the "filter" table...
        Loading rules for the "FORWARD" chain in the "filter" table...
        Loading rules for the "OUTPUT" chain in the "filter" table...
error: setting key "net.ipv4.tcp_timestamps": Permission denied
Computing interface groups: .. 2 interfaces found
Starting group 0/virtual (2 interfaces)
        Starting lo: ....OK
        Starting venet0: .....FATAL: Module ipv6 not found.
RTNETLINK answers: Permission denied
.OK
Processing /etc/net/vlantab: empty.


особо интересуют:

Код: [Выделить]

Stopping venet0: FATAL: Module ipv6 not found.Тех поддержка reg.ru сказала

нужно в /etc/sysctl.conf прописать net.ipv6.conf.all.disable_ipv6=1 и сделать sysctl -f или перезагрузиться.

но это эффекта не возымело!
и

Код: [Выделить]

FATAL: Module ip_conntrack_ftp not found.ответ техподдержки

разбираться как работают скрипты из /etc/net/scripts/ мы не будем, но ошибка
видна сразу - ip_conntrack_ftp такого модуля давно нет, а есть модуль
nf_conntrack_ftp.

Что со всем этим делать? Кто, что подскажет?

[asy]

Что со всем этим делать? Кто, что подскажет?

Кризис специалистов... Модули ядра не грузятся внутри контейнера. Доступные модули надо в конфиге OpenVZ задавать. И, разумеется, ipv6 и *conntrack* отношения к работоспособности OpenVPN не имеют, так что по барабану.

Что касается OpenVPN. "service openvpn start" отношения к etcnet, на сколько я помню, не имеет. etcnet сам запускает демона по ifup с параметрами из собственного конфига интерфейса. Так что, тут надо или/или. Чуть позже попробую посмотреть подробнее.

[flint1975]

про conntrack я просто упомянул, потому как все-таки хотел его починить,
про etcnet и openvpn я тоже уже разобрался, и готов пойти на  openvpn в режиме сервиса.
Но мне-таки нужен tap интерфейс, пусть с другим именем, а он не стартует, просит имя tap. Где это смотреть я не понял.

P.S. И как все-таки правильно отключить ipv6?

[flint1975]

А вот это уже интереснне, где-то в скриптах ошибка порылась

Спойлер

Код: [Выделить]

[root@vpn openvpn]# service openvpn start
Adjusting environment for openvpn:                                                                [ DONE ]
Starting openvpn service: Usage: ip link add [link DEV] [ name ] NAME
                   [ txqueuelen PACKETS ]
                   [ address LLADDR ]
                   [ broadcast LLADDR ]
                   [ mtu MTU ]
                   [ numtxqueues QUEUE_COUNT ]
                   [ numrxqueues QUEUE_COUNT ]
                   type TYPE [ ARGS ]
       ip link delete DEV type TYPE [ ARGS ]

       ip link set { dev DEVICE | group DEVGROUP } [ { up | down } ]
                          [ arp { on | off } ]
                          [ dynamic { on | off } ]
                          [ multicast { on | off } ]
                          [ allmulticast { on | off } ]
                          [ promisc { on | off } ]
                          [ trailers { on | off } ]
                          [ txqueuelen PACKETS ]
                          [ name NEWNAME ]
                          [ address LLADDR ]
                          [ broadcast LLADDR ]
                          [ mtu MTU ]
                          [ netns PID ]
                          [ netns NAME ]
                          [ alias NAME ]
                          [ vf NUM [ mac LLADDR ]
                                   [ vlan VLANID [ qos VLAN-QOS ] ]
                                   [ rate TXRATE ] ]
                                   [ spoofchk { on | off} ] ]
                          [ master DEVICE ]
                          [ nomaster ]
       ip link show [ DEVICE | group GROUP ]

TYPE := { vlan | veth | vcan | dummy | ifb | macvlan | can |
          bridge | ipoib | ip6tnl | ipip | sit | vxlan }
                                                                                                  [FAILED]
[root@vpn openvpn]#


Только читая /etc/rc.d/init.d/openvpn
не смог найти откуда он ip запускает, и почему она с ошибкой вываливается!

[asy]

Но мне-таки нужен tap интерфейс, пусть с другим именем, а он не стартует, просит имя tap. Где это смотреть я не понял.

http://openvz.org/VPN_via_the_TUN/TAP_device
То есть, это не делается внутри контейнера. Это должен сделать хостер. Странно, почему техподдержка хостера не знает, что работа с модулями внутри контейнера не ведётся.

P.S. И как все-таки правильно отключить ipv6?

Да его уж включать пора.

[flint1975]

Да знают они все :)
Их ответ:

Спойлер

Добавили nat
[root@vpn /]#  cat /proc/net/ip_tables_names
nat
mangle
filter
raw


tun адаптер у Вас есть

[root@vpn /]# ls /sys/devices/virtual/net/
lo  tunl0  venet0

[root@vpn /]# cat /proc/net/dev
Inter-|   Receive                                                |  Transmit
face |bytes    packets errs drop fifo frame compressed multicast|bytes   
packets errs drop fifo colls carrier compressed
    lo:       0       0    0    0    0     0          0         0        0   
  0    0    0    0     0       0          0
tunl0:       0       0    0    0    0     0          0         0        0   
  0    0    0    0     0       0          0
venet0:     192       4    0    0    0     0          0         0      160   
  4    0    0    0     0       0          0

И еще:

Спойлер

1. Официальной поддержки дистрибутива Alt linux у нас нет

разбираться как работают скрипты из /etc/net/scripts/ мы не будем, но ошибка
видна сразу - ip_conntrack_ftp такого модуля давно нет, а есть модуль
nf_conntrack_ftp.

2. Командой ifup туннельный интерфейс не поднимают, он появляется при старте
сервиса обслуживающего vpn.


Все необходимые модули для работы Openvpn Вам добавлены, тут проблемы
конкретного дистрибутива и его работы в контейнере openvz.

[flint1975]

проблема на самом деле в скриптах - есть!
почему при попытке запуска service openvpn start (конфиг для tunl0 положен в /etc/openvpn) вываливается с ошибкой синтаксиса команды ip?