Мужики, здорова!
Я конечно понимаю, что уже многие бородатые тру БСД администраторы на пенсии и огурцы сажают, надеюсь, что тут народ остался. Поэтому не откажите в любезности, помогите решить проблему над которой уже несколько дней бьюсь.
Излагаю обстановку. Дано
uname -a:
Код: Выделить всё
FreeBSD net.gateway 11.0-RELEASE-p8 FreeBSD 11.0-RELEASE-p8 #0: Thu Apr 6 19:22:31 MSK 2017 root@Gateway:/usr/obj/usr/src/sys/NETGATEWAY1.0 i386
Сервер OpenVPN:
openvpn --version
Код: Выделить всё
OpenVPN 2.4.1 i386-portbld-freebsd11.0 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Aug 21 2017
library versions: OpenSSL 1.0.2k-freebsd 26 Jan 2017, LZO 2.10
Originally developed by James Yonan
Copyright (C) 2002-2017 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_async_push=no enable_comp_stub=no enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=needless enable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_silent_rules=no enable_small=no enable_static=yes enable_strict=yes enable_strict_options=no enable_systemd=no enable_werror=no enable_win32_dll=yes enable_x509_alt_username=no with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_sysroot=no
Конфиг OpenVPN сервера без комментариев
/usr/local/etc/openvpn/openvpn.conf:
Код: Выделить всё
port 1194
proto udp
dev tun
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/openvpn-server.crt
key /usr/local/etc/openvpn/keys/openvpn-server.key # This file should be kept secret
dh /usr/local/etc/openvpn/keys/dh.pem
remote-cert-tls client
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
route 10.8.0.0 255.255.255.252
push "dhcp-option DNS 192.168.0.1"
client-to-client
keepalive 10 120
tls-auth /usr/local/etc/openvpn/keys/ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
explicit-exit-notify 1
Конфиг без комментариев
/etc/syslog.conf:
Код: Выделить всё
!openvpn
*.* /var/log/openvpn.log
!openvpn_mh
*.* /var/log/openvpn_mh.log
!-openvpn,openvpn_mh
*.err;kern.warning;auth.notice;mail.crit /dev/console
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/security
auth.info;authpriv.info /var/log/auth.log
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
ftp.info /var/log/xferlog
cron.* /var/log/cron
!-devd
*.=debug /var/log/debug.log
*.emerg *
!ppp
*.* /var/log/ppp.log
!*
!mpd
*.* /var/log/mpd.log
!dhcpd
local7.* /var/log/dhcpd.log
Конфиг без комментариев
/etc/newsyslog.conf:
Код: Выделить всё
/var/log/all.log 600 7 * @T00 J
/var/log/amd.log 644 7 100 * J
/var/log/auth.log 640 7 100 @0101T JC
/var/log/console.log 600 5 100 * J
/var/log/cron 600 3 100 * JC
/var/log/daily.log 640 7 * @T00 JN
/var/log/debug.log 600 7 100 * JC
/var/log/init.log 644 3 100 * J
/var/log/kerberos.log 600 7 100 * J
/var/log/lpd-errs 644 7 100 * JC
/var/log/maillog 640 7 * @T00 JC
/var/log/messages 644 5 100 @0101T JC
/var/log/monthly.log 640 12 * $M1D0 JN
/var/log/pflog 600 3 100 * JB /var/run/pflogd.pid
/var/log/ppp.log root:network 640 3 100 * JC
/var/log/devd.log 644 3 100 * JC
/var/log/security 600 10 100 * JC
/var/log/sendmail.st 640 10 * 168 BN
/var/log/utx.log 644 3 * @01T05 B
/var/log/weekly.log 640 5 * $W6D0 JN
/var/log/xferlog 600 7 100 * JC
/var/log/mpd.log root:wheel 600 5 4096 * JC
/var/log/mysqld.log mysql:mysql 644 7 4096 * JC /var/db/mysql/aso.gateway.pid
/var/log/httpd-access.log 644 10 8192 * JC
/var/log/httpd-error.log 644 10 8192 * JC
/var/log/proftpd/proftpd_serverlog 644 10 8192 * JC
/var/log/proftpd/proftpd_systemlog 640 3 2048 * JC
/var/log/proftpd/proftpd_transferlog 644 10 8192 * JC
/var/log/fail2ban.log 600 7 500 * JC
/var/log/ntp.log 644 3 100 * J /var/run/ntpd.pid
/var/log/dhcpd.log dhcpd:dhcpd 644 7 2048 * JC
/var/log/openvpn.log 644 7 500 * JC /var/run/openvpn.pid
/var/log/openvpn_mh.log 644 7 500 * JC /var/run/openvpn_mh.pid
<include> /etc/newsyslog.conf.d/*
<include> /usr/local/etc/newsyslog.conf.d/*
Из конфигов выше понятно, что запущены 2 экземпляра OpenVPN сервера:
openvpn и
openvpn_mh. Конфиг второго приводить не стану, поскольку он идентичный и разница только в прослушиваемом порте.
Проблема №1: не получается нормально настроить ротацию логов, а именно по приведенной выше схеме ротация происходит, но после нее сервер openvpn, чей лог подвергся ротации падает с выхлопом в логах:
Код: Выделить всё
Nov 12 12:14:48 gateway newsyslog[21039]: logfile turned over due to size>500K
Nov 12 12:14:48 gateway openvpn[42893]: event_wait : Interrupted system call (code=4)
Nov 12 12:14:50 gateway openvpn[42893]: /sbin/route delete -net 10.8.0.0 10.8.0.2 255.255.255.252
Nov 12 12:14:50 gateway openvpn[42893]: ERROR: FreeBSD route delete command failed: external program exited with error status: 77
Nov 12 12:14:50 gateway openvpn[42893]: /sbin/route delete -net 10.8.0.0 10.8.0.2 255.255.255.0
Nov 12 12:14:50 gateway openvpn[42893]: ERROR: FreeBSD route delete command failed: external program exited with error status: 77
Nov 12 12:14:50 gateway openvpn[42893]: Closing TUN/TAP interface
Nov 12 12:14:50 gateway openvpn[42893]: /sbin/ifconfig tun0 destroy
Nov 12 12:14:50 gateway openvpn[42893]: FreeBSD 'destroy tun interface' failed (non-critical): external program exited with error status: 1
Nov 12 12:14:50 gateway openvpn[42893]: SIGHUP[hard,] received, process restarting
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --dh fails with '/usr/local/etc/openvpn/keys/dh.pem': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --ca fails with '/usr/local/etc/openvpn/keys/ca.crt': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --cert fails with '/usr/local/etc/openvpn/keys/openvpn-server.crt': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --key fails with '/usr/local/etc/openvpn/keys/openvpn-server.key': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --tls-auth fails with '/usr/local/etc/openvpn/keys/ta.key': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --writepid fails with '/var/run/openvpn.pid': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --status fails with '/var/log/openvpn-status.log': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: Please correct these errors.
Nov 12 12:14:50 gateway openvpn[42893]: Use --help for more information.
Проблема №2: перестал писаться
/var/log/mpd.log и в
/var/log/messages пишутся только kernel события, так небыло до того как в
/etc/syslog.conf не запялил настройки касательно openvpn на самый верх.
Проблема №1 и
Проблема №2 100% связаны между собой файлом
/etc/syslog.conf.
Прошу накинуть вариантов решения проблем, возможно нужен ваш свежий взгляд на происходящее. Заранее признателен откликнувшемся!