openvpn kein autostart

[debianchristian]

Openvpn wird nicht automatisch gestartet, obwohl in /etc/default/openvpn "all" eingetragen ist. Auch von Hand in /etc/rc3.d S05openvpn -> ../init.d/openvpn einzutragen hatn ix gebracht. Von Hand lässt sich der Server aber problemlos mit openvpn tx.conf starten!

[Huck Fin]

Hi,
deine tx.conf sollte server.conf heißen und im /etc/openvpn Ordner liegen.
Dann startet das auch automatisch.

[debianchristian]

Danke! Da wäre ich nicht drauf gekommen. Ich dachte in /etc/openvpn würden alle .conf automatisch gestartet. Jedenfalls wenn "all" in /etc/defaults/openvpn eingetragen ist!

[Huck Fin]

Und...
Funktioniert es nun ?

[debianchristian]

Nein, zu früh gefreut. Es geht doch nicht.

[Alternativende]

Hallo,
ich glaube ich habe dasselbe Problem. In der /etc/default/openvpn ist ALL eingetragen und meine server.ovpn liegt in /etc/openvpn. Dennoch startet Openvpn nicht richtig. Wenn ich in der Config user nobody und group nobody eingetragen habe erhalte ich folgende Fehlermeldung:

Code: Alles auswählen

Tue Mar 27 15:16:17 2007 us=229152 /sbin/route del -net 192.168.X.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted

Wenn ich das auskommentiere startet Openvpn überhaupt nicht beim Systemstart. In beiden Fällen hilft ein /etc/init.d/openvpn start als root und alles funktioniert.

Edit: Gelöst. Ich habe nogroup und nobody zur Gruppe plugdev hinzugefügt und meine server.ovpn in server.conf umbenannt. Mir ist beim Startscript nämlich aufgefallen das nach .conf gescannt wird. Nun funktioniert es bestens .

[debianchristian]

Danker für den Tipp, das funktioniert in der Tat. Ich habe zur Not Screen verwendet. Nur bei einem Neustart des Servers wäre Openvpn natürlich nicht mehr aktiv gewesen.

Ist das ein offizieller Bug? Vor allem: ist es ein Sicherheitsrisiko nobody in die Gruppe plugdev aufzunehmen?

[debianchristian]

Nein, geht doch nicht. Wo wird denn /etc/init.d/openvpn bei dir aufgerufen? Gibt es in einem rcX.d Verzeichnis einen Soft-Link darauf??

[hpw]

Auch von Hand in /etc/rc3.d S05openvpn -> ../init.d/openvpn einzutragen hatn ix gebracht.

Was nicht weiter verwunderlich ist, wenn der Server ein "normales" Debian GNU/Linux enthält. Standardmäßig läuft der in Runlevel 2 und dann wäre das richtige Verzeichnis /etc/rc2.d und in dem Verzeichnis befindet sich bei mir der Softlinkg S16openvpn -> ../init.d/opoenvpn

In der /etc/default/openvpn ist ALL eingetragen

Nur wenn in der Datei /etc/default/openvpn eine Zeile

Code: Alles auswählen

AUTOSTART=all

oder gar keine Zeile mit AUTOSTART eingetragen ist, funktioniert es auch. Linux ist case-sensitive, in Großbuchstaben wird ALL also ignoriert.

HTH.

HPW

[BestOfMe]

Hallo zusammen,

ich möchte das eingestaubte Thema mal wieder hoch holen.

Leider bin ich blutiger Anfänger in sachen Linux und bekomme den Autostart des Openvpn einfach nicht hin.

Ich habe Openvpn als Peer2Peer eingerichtet. Daher weiss ich gerade nicht, wie ich meine Config Datei dann benennen muss, damit es auch beim starten von Debian automatisch gestartet wird... Kann mir da wer einen Tipp geben?

PS: Ich weiss nicht, ob man mein 2. Problem hier in einem abwasch mit erledigen kann... Ich würde nach dem Openvpn start, noch IP-Tables setzen (die ja bei jedem neustart gelöscht werden)... wie bekomme ich das hin??

Besten dank im voraus!

[Cae]

Daher weiss ich gerade nicht, wie ich meine Config Datei dann benennen muss, damit es auch beim starten von Debian automatisch gestartet wird... Kann mir da wer einen Tipp geben?

Aus dem init-Skript:

Code: Alles auswählen

115     if test -z "$AUTOSTART" -o "x$AUTOSTART" = "xall" ; then
116       # all VPNs shall be started automatically
117       for CONFIG in `cd $CONFIG_DIR; ls *.conf 2> /dev/null`; do
118         NAME=${CONFIG%%.conf}
119         start_vpn
120       done
121     else

Sprich, du kannst in /etc/default/openvpn AUTOSTART auf all setzen (was der Default ist) und dann wird fuer jede *.conf in /etc/openvpn/ ein eigener Prozess gestartet. Oder du legst AUTOSTART explizit auf "apfel banane chilli" fest und benennst deine Konfigs in /etc/openvpn/ apfel.conf, banane.conf und chilli.conf.

PS: Ich weiss nicht, ob man mein 2. Problem hier in einem abwasch mit erledigen kann... Ich würde nach dem Openvpn start, noch IP-Tables setzen (die ja bei jedem neustart gelöscht werden)... wie bekomme ich das hin?

Dazu sollte sich z.B. die --route-up-Direktive eignen.

Gruss Cae

[BestOfMe]

Hallo cae,

"all" ist bei mir halt aus der Default-Einstellung drin. Meine Konfigurations-Datei heisst allerdings einfach nur "config" liegt es daran, dass openvpn nicht automatisch starten kann?

der Befehl, den ich eingebe um openvpn manuell zu starten ist folgender: openvpn --config /etc/openvpn/config

So müsste ich also lt. deiner Erkärung die Datei in bspw. apfel.conf umbenennen, damit der autostart funktioniert?!

[Cae]

So müsste ich also lt. deiner Erkärung die Datei in bspw. apfel.conf umbenennen, damit der autostart funktioniert?!

Jepp. Das .conf-Suffix ist wichtig, weil in dem Verzeichnis auch andere Dateien liegen koennen (z.B. Keys), bei denen sich OpenVPN verschlucken wuerde.

Gruss Cae

[BestOfMe]

Es hat tatsächlich funktioniert!! Die Config-Datei habe ich in config.conf geändert und schwupps ist es beim booten mitgestartet!!!

Allerdings verstehe ich die --route-up-Direktive nicht so ganz. Google ist mir leider mit meinem aktuellen Kenntnisstand von Linux, leider auch keine große Hilfe...

Ist das ein Befehl, der in die openvpn Config eingetragen wird?

Ich habe 14 IP-Tables Zeilen, die ich jedesmal nach einem reboot einpflegen muss, wäre das ein Problem für die Route-Up Direktive?

[Cae]

Code: Alles auswählen

# cat >/etc/openvpn/up-script <<EOF
iptables foo bar
iptables bar baz
EOF
# echo 'route-up sh /etc/openvpn/up-script' >>/etc/openvpn/config.conf

Gruss Cae

[BestOfMe]

Code: Alles auswählen

# cat >/etc/openvpn/up-script <<EOF
iptables foo bar
iptables bar baz
EOF
# echo 'route-up sh /etc/openvpn/up-script' >>/etc/openvpn/config.conf

Gruss Cae

Hallo Cae,

ich habs wirklich versucht zu verstehen... Aber irgendwie habe ich nicht verstanden, was die Zeilen

Code: Alles auswählen

iptables foo bar
iptables bar baz

bedeuten sollen?!

Google hat mir aber ziemlich weiter geholfen und ich habe es wie folgt gelöst:

Ich habe ein ein up script (up.sh) im openvpn Ordner erstellt und dort meine iptables Skripte eingepflegt:

Code: Alles auswählen

#!/bin/sh
iptables -t nat........
iptables -t nat........

Dazu habe ich mir noch ein Down script geschrieben in der alle iptables Regeln gelöscht werden und ebenfalls im openvpn Ordner hinterlegt

Code: Alles auswählen

#!/bin/sh
iptables -F

Diese scripte habe ich dann ausführbar gemacht:

chmod 755 /etc/openvpn/up.sh
chmod 755 /etc/openvpn/down.sh

Dann fügt man in der Server.conf 2 Zeilen hinzu, damit diese Scripte auch beim start und ende ausgeführt werden.

Code: Alles auswählen

up up.sh
down down.sh

Damit die Scripte auch wirklich ausgeführt werden, muss in der server.conf und in der Client.conf die script-security auf 2 gesetzt werden:

also kommt noch in die openvpn.conf folgende Zeile hinzu

Code: Alles auswählen

script-security 2

Gruß

[Cae]

Das ist im wesentlichen das, was ich geschrieben/gemeint hatte. "foo", "bar", "baz" und Kombinationen davon sind Platzhalter-Strings, die der Leser sich selbst ausdenken soll, in diesem Fall deine iptables-Regeln (was offensichtlich funktioniert hat, weil du's genauso gemacht hast...).

Ich wuerde beim up und down stattdessen absolute Pfade (/etc/openvpn/up.sh) mitgeben, weil man sich nicht unbedingt drauf verlassen sollte, dass das Startskript nach /etc/openvpn/ chdir()t.

Gruss Cae

[orcape]

Hi Leute,

habe die Beiträge mal überflogen, kann sein das ich da etwas überlesen habe.
Hier wird nur über die Funktion des Servers gesprochen.
Wenn die client.conf nicht stimmt, funktioniert ebenfalls kein automatischer Start.
Aber ich lasse mich gerne eines besseren belehren.

Gruß orcape

[unitra]

Um das mal abzukürzen. Geht es hier um "autostart" der Applikation? oder geht es darum dass der "Tunnel" aufgebaut wird?.
Weil wenn es darum geht den IPSec Tunnel aufzubauen, dann müsste dadrüber Traffic geschickt werden.
So ist das bei anderen Platformen, solange kein Traffic über den Tunnel geschickt wird, nach z.B. einer Verbindungstrennung vom ISP.
Das kann man entweder durch ein Ping triggern, oder man schickt Protokoll "Hello" messages über den Tunnel, z.b. OSPF oder andere Routing Protokolle.

[orcape]

Sorry, unitra, wer lesen kann ist klar im Vorteil.....

Openvpn wird nicht automatisch gestartet

Also OpenVPN und nicht IPSec.
Der Tunnel baut sich automatisch auf, vom Client initiiert, egal ob mit oder ohne Traffic.
Wenn das nicht passiert, stimmt etwas mit den Einstellungen nicht.
Das kann sowohl beim Server als auch bein Client liegen.
Wenn der TE aber seit 3 Wochen nicht mehr reagiert, wird er wohl keine Hilfe mehr benötigen.

Gruß orcape