forum.lissyara.su

День добрый.
Поставлена задача установить OpenVPN на OpenBSD. OpenBSD выступает firewall, а через OpenVPN должны подключаться по RDP на удаленку.
Перелопачено очень много мануалов и много перелистано форумов касательно установки настройки OpenVPN.
Не одна из статей не подошла, проблема заключается в том что тунель на стороне сервера не поднимается.
Может кто то сталкивался с анологичной проблемой или есть мануал по этой связке буду признателен.
И еще такой момент в PF все правила были прописаны.

логи:

neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
Exiting due to fatal error

open_bsd писал(а): ↑

2018-11-16 16:20:48

neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.

Краткий ответ: собственно в этом сообщении все написано.

Длинный ответ: когда вы создавали закрытый (private) ключ для сервера, вы указали, что он должен быть защищен паролем. Теперь, для того чтобы OpenVPN смог использовать закрытый ключ, ему нужен пароль. Обычно, OpenVPN его спрашивает прямо в консоли в момент старта, но т.к. вы указали, что OpenVPN должен "демонизироваться", то у него нет доступа к консоли и он не может запросить пароль. Решения тут как минимум два:
* убрать защиту паролем с секретного ключа
* рассказать OpenVPN'у где (как) получить пароль от ключа без интерактивного взаимодействия с пользователем

Для начала я бы посоветовал воспользоваться первым вариантом и убрать парольную защиту с ключа совсем (погуглите "OpenSSL remove a private key password").

А потом, когда все запустится и пакетики забегают подумайте нужна вам параноидальная защита закрытого ключа или будет достаточно правильно выставленных прав доступа. Если все-таки захотите создать параноидальную защиту, то копайте в сторону использования опции '--askpass'. Но будьте внимательны, ведь как сказано в документации: непродуманное использование *askpass* может свести на нет все усилия по защите ключа паролем.

Для тестов подойдет еще и такой вариант: запустите OpenVPN на сервере "ручками" из консоли и при этом не указывайте опцию '--daemon'. Тогда OpenVPN запросит у вас пароль от ключа прямо в консоли. Такое решение не получится использовать на постоянной основе для обслуживания клиентов, но для тестирования вполне себе подойдет.

Подробности см. в man openvpn (описание опций '--daemon' и '--askpass').

Давно не заходил на этот замечательный сайт.
У нас все отлично работает в такой связке.
Если еще актуально - напишите.