LINUX.ORG.RU
решено ФорумAdmin

Не логичное поведение openvpn

 ,


0

2

Здравствуйте, друзья.
Прошу вашего совета, есть сервер openvpn 1.8.4 на RHEL 5, и полсотни клиентов Windows XP c разнешерстными версиями клиента. Периодически возникает необходимость править ipp файл (с зарезервированными адресами для клиентов) и далее перезапускать, для применения обновлений, службу. Рвется соединение (что само по себе логично, но можно ли этого избежать?) и на доброй половине клиентов наглухо виснет tun0 интерфейс. То есть эта «виртуальная» сетевуха в up состоянии, адрес присвоен, но попытки пинговать шлюз не успешны. Просто перезапуск службы ничего не дает, по логам сервера и клиента видно что авторизация проходит успешно, клиент запрашивает адрес и роуты, сервер все это отдает, клиент их успешно (только по клиентским логам) принимает и применяет. Но по факту адрес остается висеть с предыдущего соединения, роуты не назначаются - это длится до тех пор пока сетевуха не будет положена вручную и поднята назад. После этого все работает до следующего обрыва соединения. Объяснения такого поведения, готовые решения, возможные костыли - буду рад все это услышать

Лучше не использовать ipp, а конфигать все єто в onconnect скрипте. Так можно и ldap поюзать для конфигурации, и рестартовать ничего не нужно

vasily_pupkin ★★★★★
()
Ответ на: комментарий от vasily_pupkin

С появлением подобной траблы, я тоже начал подозревать, что выбор в сторону ipp - не самая блестящая идея.

StalluManu
() автор топика

--client-config-dir dir
Specify a directory dir for custom client config files. After a connecting client has been authenticated, OpenVPN will look in this directory for a file having the same name as the client's X509 common name. If a matching file exists, it will be opened and parsed for client-specific configuration options. If no matching file is found, OpenVPN will instead try to open and parse a default file called «DEFAULT», which may be provided but is not required.
This file can specify a fixed IP address for a given client using --ifconfig-push, as well as fixed subnets owned by the client using --iroute.
One of the useful properties of this option is that it allows client configuration files to be conveniently created, edited, or removed while >the server is live, without needing to restart the server.


используя ccd можно указать все что нужно. и файл перечитывается при подключении клиента.
а убить клиента можно через телнет интерфейс с помощью kill

--management IP port [pw-file]
Enable a TCP server on IP:port to handle daemon management functions. pw-file, if specified, is a password file (password on first line) or «stdin» to prompt from standard input. The password provided will set the password which TCP clients will need to provide in order to access management functions.
The management interface provides a special mode where the TCP management link can operate over the tunnel itself. To enable this mode, set IP = «tunnel». Tunnel mode will cause the management interface to listen for a TCP connection on the local VPN address of the TUN/TAP interface.
While the management port is designed for programmatic control of OpenVPN by other applications, it is possible to telnet to the port, using a telnet client in «raw» mode. Once connected, type «help» for a list of commands.
For detailed documentation on the management interface, see the management-notes.txt file in the management folder of the OpenVPN source distribution.
It is strongly recommended that IP be set to 127.0.0.1 (localhost) to restrict accessibility of the management server to local clients.

fr_butch
()

не уверен, но может в конфигах клиентов стоит persist-tun - данная опция оставляет без изменения устройства tun/tap при перезапуске OpenVPN?

my54
()
Ответ на: комментарий от my54

В точку, бро.
Был не внимателен, проглядел этот параметр

StalluManu
() автор топика
Ответ на: комментарий от fr_butch

Да, спасибо, уже работаю над изменением действующей схемы

StalluManu
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.