День добрый.
Поставлена задача установить OpenVPN на OpenBSD. OpenBSD выступает firewall, а через OpenVPN должны подключаться по RDP на удаленку.
Перелопачено очень много мануалов и много перелистано форумов касательно установки настройки OpenVPN.
Не одна из статей не подошла, проблема заключается в том что тунель на стороне сервера не поднимается.
Может кто то сталкивался с анологичной проблемой или есть мануал по этой связке буду признателен.
И еще такой момент в PF все правила были прописаны.
OpenBSD+OpenVPN
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2018-11-15 20:29:19
OpenBSD+OpenVPN
логи:
neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
Exiting due to fatal error
neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
Exiting due to fatal error
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
OpenBSD+OpenVPN
Краткий ответ: собственно в этом сообщении все написано.open_bsd писал(а): ↑2018-11-16 16:20:48neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
Длинный ответ: когда вы создавали закрытый (private) ключ для сервера, вы указали, что он должен быть защищен паролем. Теперь, для того чтобы OpenVPN смог использовать закрытый ключ, ему нужен пароль. Обычно, OpenVPN его спрашивает прямо в консоли в момент старта, но т.к. вы указали, что OpenVPN должен "демонизироваться", то у него нет доступа к консоли и он не может запросить пароль. Решения тут как минимум два:
* убрать защиту паролем с секретного ключа
* рассказать OpenVPN'у где (как) получить пароль от ключа без интерактивного взаимодействия с пользователем
Для начала я бы посоветовал воспользоваться первым вариантом и убрать парольную защиту с ключа совсем (погуглите "OpenSSL remove a private key password").
А потом, когда все запустится и пакетики забегают подумайте нужна вам параноидальная защита закрытого ключа или будет достаточно правильно выставленных прав доступа. Если все-таки захотите создать параноидальную защиту, то копайте в сторону использования опции '--askpass'. Но будьте внимательны, ведь как сказано в документации: непродуманное использование *askpass* может свести на нет все усилия по защите ключа паролем.
Для тестов подойдет еще и такой вариант: запустите OpenVPN на сервере "ручками" из консоли и при этом не указывайте опцию '--daemon'. Тогда OpenVPN запросит у вас пароль от ключа прямо в консоли. Такое решение не получится использовать на постоянной основе для обслуживания клиентов, но для тестирования вполне себе подойдет.
Подробности см. в man openvpn (описание опций '--daemon' и '--askpass').
-
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2019-12-02 21:41:23
OpenBSD+OpenVPN
Давно не заходил на этот замечательный сайт.
У нас все отлично работает в такой связке.
Если еще актуально - напишите.
У нас все отлично работает в такой связке.
Если еще актуально - напишите.