Project

General

Profile

Anomalie #1172

VPN connection vers OpenStack down

Added by Loïc Dachary about 9 years ago. Updated over 2 years ago.

Status:
Fermé
Priority:
Immédiate
Assignee:
Category:
Task
Target version:
Start date:
01/11/2013
Due date:
% Done:

100%

Estimated time:
Spent time:
Difficulté:
2 Facile

Files

2013-01-11-openvpn.log (30.7 KB) 2013-01-11-openvpn.log logs openvpn Loïc Dachary, 01/11/2013 12:10 PM

Related issues

Related to Admins - Anomalie #1159: VPN connection vers OpenStack downFermé12/27/2012

Actions

History

#1

Updated by Loïc Dachary about 9 years ago

le process openvpn est down sur controller.vm.april-int
je le relance et j'archive les logs pour analyse

#2

Updated by Loïc Dachary about 9 years ago

  • Sun Dec 30 02:10:26 2012 us=238101 [pavot] Inactivity timeout (--ping-restart), restarting
  • Sun Dec 30 02:12:10 2012 us=236255 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
  • Wed Jan 9 02:01:10 2013 us=10555 [pavot] Inactivity timeout (--ping-restart), restarting
  • Wed Jan 9 02:01:17 2013 us=127117 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
  • Thu Jan 10 02:00:12 2013 us=82541 [pavot] Inactivity timeout (--ping-restart), restarting
  • Thu Jan 10 02:04:32 2013 us=468956 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
  • Thu Jan 10 02:04:35 2013 us=670928 NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
  • Thu Jan 10 02:04:35 2013 us=670957 /sbin/route del -net 192.168.1.0 netmask 255.255.255.0
  • SIOCDELRT: Operation not permitted
    Chaque jour a 2:00, c'est à dire lorsque le load average de pavot monte en fleche parcequ'il se sauvegarde lui même, OpenVPN timeout et se rétablit peu après. Sauf le 10 ou il échoue. Contrairement aux jours précédents, il observe que Pulled options changed on restart et s'aventure à faire un /sbin/route del qui échoue avec un SIOCDELRT: Operation not permitted suivit de nombreuses erreurs de même type qui le conduisent peu de temps après au suicide. Comme OpenVPN tourne sous un utilisateur non privilégié, il n'a effectivement pas les permissions de faire l'opération en question.
#3

Updated by Loïc Dachary about 9 years ago

root@pavot:~# openvpn --version
OpenVPN 2.1_rc11 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
root@controller:~# openvpn --version
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20

C'est vraissemblablement un problème de compatibilité de OpenVPN 2.0 ( la version de pavot est 2.1rc11 donc peut etre pas ). Il n'y a pas de versions ultérieure sur lenny, même dans les backports.
#4

Updated by Loïc Dachary about 9 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

Le client VPN doit tourner comme root pour pouvoir reconfigurer les routes au besoin:

root@controller:/etc# git show
commit dd03e1c057c0b5b6b6b900dc3bb03f8d3aae3164
Author: Loic Dachary <loic@dachary.org>
Date:   Mon Jan 14 11:45:24 2013 +0100

    run as root for when modification of routing is necessary https://agir.april.org/issues/1172

diff --git a/openvpn/client.conf b/openvpn/client.conf
index 87335ed..b4ad61f 100644
--- a/openvpn/client.conf
+++ b/openvpn/client.conf
@@ -58,7 +58,7 @@ resolv-retry infinite
 nobind

 # Downgrade privileges after initialization (non-Windows only)
-user nobody
+#user nobody
 group nogroup

 # Try to preserve some state across restarts.

vérifié par
root      3587  0.0  1.2  35544  3152 ?        Ss   11:45   0:00 /usr/sbin/openvpn  ...

#5

Updated by Quentin Gibeaux over 2 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF