OpenBSD+OpenVPN

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
open_bsd
проходил мимо
Сообщения: 2
Зарегистрирован: 2018-11-15 20:29:19

OpenBSD+OpenVPN

Непрочитанное сообщение open_bsd » 2018-11-15 20:47:26

День добрый.
Поставлена задача установить OpenVPN на OpenBSD. OpenBSD выступает firewall, а через OpenVPN должны подключаться по RDP на удаленку.
Перелопачено очень много мануалов и много перелистано форумов касательно установки настройки OpenVPN.
Не одна из статей не подошла, проблема заключается в том что тунель на стороне сервера не поднимается.
Может кто то сталкивался с анологичной проблемой или есть мануал по этой связке буду признателен.
И еще такой момент в PF все правила были прописаны.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

open_bsd
проходил мимо
Сообщения: 2
Зарегистрирован: 2018-11-15 20:29:19

OpenBSD+OpenVPN

Непрочитанное сообщение open_bsd » 2018-11-16 16:20:48

логи:

neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
Exiting due to fatal error

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

OpenBSD+OpenVPN

Непрочитанное сообщение BlackCat » 2018-12-02 16:25:51

open_bsd писал(а):
2018-11-16 16:20:48
neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
Краткий ответ: собственно в этом сообщении все написано.

Длинный ответ: когда вы создавали закрытый (private) ключ для сервера, вы указали, что он должен быть защищен паролем. Теперь, для того чтобы OpenVPN смог использовать закрытый ключ, ему нужен пароль. Обычно, OpenVPN его спрашивает прямо в консоли в момент старта, но т.к. вы указали, что OpenVPN должен "демонизироваться", то у него нет доступа к консоли и он не может запросить пароль. Решения тут как минимум два:
* убрать защиту паролем с секретного ключа
* рассказать OpenVPN'у где (как) получить пароль от ключа без интерактивного взаимодействия с пользователем

Для начала я бы посоветовал воспользоваться первым вариантом и убрать парольную защиту с ключа совсем (погуглите "OpenSSL remove a private key password").

А потом, когда все запустится и пакетики забегают подумайте нужна вам параноидальная защита закрытого ключа или будет достаточно правильно выставленных прав доступа. Если все-таки захотите создать параноидальную защиту, то копайте в сторону использования опции '--askpass'. Но будьте внимательны, ведь как сказано в документации: непродуманное использование *askpass* может свести на нет все усилия по защите ключа паролем.

Для тестов подойдет еще и такой вариант: запустите OpenVPN на сервере "ручками" из консоли и при этом не указывайте опцию '--daemon'. Тогда OpenVPN запросит у вас пароль от ключа прямо в консоли. Такое решение не получится использовать на постоянной основе для обслуживания клиентов, но для тестирования вполне себе подойдет.

Подробности см. в man openvpn (описание опций '--daemon' и '--askpass').