Actions
Anomalie #1172
ferméVPN connection vers OpenStack down
Ajouté par Loïc Dachary il y a presque 12 ans. Mis à jour il y a plus de 5 ans.
Difficulté:
2 Facile
Fichiers
| 2013-01-11-openvpn.log (30,7 ko) 2013-01-11-openvpn.log | logs openvpn | Loïc Dachary, 11/01/2013 12:10 |
Actions
#1
Mis à jour par Loïc Dachary il y a presque 12 ans
- Fichier 2013-01-11-openvpn.log 2013-01-11-openvpn.log ajouté
le process openvpn est down sur controller.vm.april-int
je le relance et j'archive les logs pour analyse
Actions
#2
Mis à jour par Loïc Dachary il y a presque 12 ans
- Sun Dec 30 02:10:26 2012 us=238101 [pavot] Inactivity timeout (--ping-restart), restarting
- Sun Dec 30 02:12:10 2012 us=236255 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
- Wed Jan 9 02:01:10 2013 us=10555 [pavot] Inactivity timeout (--ping-restart), restarting
- Wed Jan 9 02:01:17 2013 us=127117 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
- Thu Jan 10 02:00:12 2013 us=82541 [pavot] Inactivity timeout (--ping-restart), restarting
- Thu Jan 10 02:04:32 2013 us=468956 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
- Thu Jan 10 02:04:35 2013 us=670928 NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
- Thu Jan 10 02:04:35 2013 us=670957 /sbin/route del -net 192.168.1.0 netmask 255.255.255.0
- SIOCDELRT: Operation not permitted
Chaque jour a 2:00, c'est à dire lorsque le load average de pavot monte en fleche parcequ'il se sauvegarde lui même, OpenVPN timeout et se rétablit peu après. Sauf le 10 ou il échoue. Contrairement aux jours précédents, il observe que Pulled options changed on restart et s'aventure à faire un /sbin/route del qui échoue avec un SIOCDELRT: Operation not permitted suivit de nombreuses erreurs de même type qui le conduisent peu de temps après au suicide. Comme OpenVPN tourne sous un utilisateur non privilégié, il n'a effectivement pas les permissions de faire l'opération en question.
Actions
#3
Mis à jour par Loïc Dachary il y a presque 12 ans
root@pavot:~# openvpn --version OpenVPN 2.1_rc11 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008 root@controller:~# openvpn --version OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20
C'est vraissemblablement un problème de compatibilité de OpenVPN 2.0 ( la version de pavot est 2.1rc11 donc peut etre pas ). Il n'y a pas de versions ultérieure sur lenny, même dans les backports.
Actions
#4
Mis à jour par Loïc Dachary il y a presque 12 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Le client VPN doit tourner comme root pour pouvoir reconfigurer les routes au besoin:
root@controller:/etc# git show
commit dd03e1c057c0b5b6b6b900dc3bb03f8d3aae3164
Author: Loic Dachary <loic@dachary.org>
Date: Mon Jan 14 11:45:24 2013 +0100
run as root for when modification of routing is necessary https://agir.april.org/issues/1172
diff --git a/openvpn/client.conf b/openvpn/client.conf
index 87335ed..b4ad61f 100644
--- a/openvpn/client.conf
+++ b/openvpn/client.conf
@@ -58,7 +58,7 @@ resolv-retry infinite
nobind
# Downgrade privileges after initialization (non-Windows only)
-user nobody
+#user nobody
group nogroup
# Try to preserve some state across restarts.
vérifié par
root 3587 0.0 1.2 35544 3152 ? Ss 11:45 0:00 /usr/sbin/openvpn ...
Actions