Projet

Général

Profil

Anomalie #1172

VPN connection vers OpenStack down

Ajouté par Loïc Dachary il y a environ 11 ans. Mis à jour il y a presque 5 ans.

Statut:
Fermé
Priorité:
Immédiate
Assigné à:
Catégorie:
Task
Version cible:
Début:
11/01/2013
Echéance:
% réalisé:

100%

Temps estimé:
Temps passé:
Difficulté:
2 Facile

Fichiers

2013-01-11-openvpn.log (30,7 ko) 2013-01-11-openvpn.log logs openvpn Loïc Dachary, 11/01/2013 12:10

Demandes liées

Lié à Admins - Anomalie #1159: VPN connection vers OpenStack downFermé27/12/2012

Actions

Historique

#1

Mis à jour par Loïc Dachary il y a environ 11 ans

le process openvpn est down sur controller.vm.april-int
je le relance et j'archive les logs pour analyse

#2

Mis à jour par Loïc Dachary il y a environ 11 ans

  • Sun Dec 30 02:10:26 2012 us=238101 [pavot] Inactivity timeout (--ping-restart), restarting
  • Sun Dec 30 02:12:10 2012 us=236255 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
  • Wed Jan 9 02:01:10 2013 us=10555 [pavot] Inactivity timeout (--ping-restart), restarting
  • Wed Jan 9 02:01:17 2013 us=127117 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
  • Thu Jan 10 02:00:12 2013 us=82541 [pavot] Inactivity timeout (--ping-restart), restarting
  • Thu Jan 10 02:04:32 2013 us=468956 [pavot] Peer Connection Initiated with [AF_INET]86.65.39.24:1194
  • Thu Jan 10 02:04:35 2013 us=670928 NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
  • Thu Jan 10 02:04:35 2013 us=670957 /sbin/route del -net 192.168.1.0 netmask 255.255.255.0
  • SIOCDELRT: Operation not permitted
    Chaque jour a 2:00, c'est à dire lorsque le load average de pavot monte en fleche parcequ'il se sauvegarde lui même, OpenVPN timeout et se rétablit peu après. Sauf le 10 ou il échoue. Contrairement aux jours précédents, il observe que Pulled options changed on restart et s'aventure à faire un /sbin/route del qui échoue avec un SIOCDELRT: Operation not permitted suivit de nombreuses erreurs de même type qui le conduisent peu de temps après au suicide. Comme OpenVPN tourne sous un utilisateur non privilégié, il n'a effectivement pas les permissions de faire l'opération en question.
#3

Mis à jour par Loïc Dachary il y a environ 11 ans

root@pavot:~# openvpn --version
OpenVPN 2.1_rc11 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
root@controller:~# openvpn --version
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20

C'est vraissemblablement un problème de compatibilité de OpenVPN 2.0 ( la version de pavot est 2.1rc11 donc peut etre pas ). Il n'y a pas de versions ultérieure sur lenny, même dans les backports.
#4

Mis à jour par Loïc Dachary il y a environ 11 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

Le client VPN doit tourner comme root pour pouvoir reconfigurer les routes au besoin:

root@controller:/etc# git show
commit dd03e1c057c0b5b6b6b900dc3bb03f8d3aae3164
Author: Loic Dachary <loic@dachary.org>
Date:   Mon Jan 14 11:45:24 2013 +0100

    run as root for when modification of routing is necessary https://agir.april.org/issues/1172

diff --git a/openvpn/client.conf b/openvpn/client.conf
index 87335ed..b4ad61f 100644
--- a/openvpn/client.conf
+++ b/openvpn/client.conf
@@ -58,7 +58,7 @@ resolv-retry infinite
 nobind

 # Downgrade privileges after initialization (non-Windows only)
-user nobody
+#user nobody
 group nogroup

 # Try to preserve some state across restarts.

vérifié par
root      3587  0.0  1.2  35544  3152 ?        Ss   11:45   0:00 /usr/sbin/openvpn  ...

#5

Mis à jour par Quentin Gibeaux il y a presque 5 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF