sziasztok,
szeretném, hogy az openvpn szerver másik porton figyeljen, mint udp/1194.
Én naív, azt gondoltam, hogy a server.conf-ban átírom a
port 1194
proto udp
sorokat pl.
port 1987
proto tcp
sorokra, újraindítom "systemctl restart openvpn", aztán szépen működik.
Naná, hogy nem.
A hiba:
openvpn[15545]: TCP/UDP: Socket bind failed on local address [AF_INET]x.x.x.x:1987: Permission denied (errno=13)
Iptables leállítva, flush megvolt, rootként futtatok mindent... :O
OS: CentOS 8
Van ötlete valakinek?
- 308 megtekintés
Hozzászólások
Valami nem kerek, mert olyan porton futtatod, amin csak akarod, nagyjabol. Nem fogja valami az uj portot?
- A hozzászóláshoz be kell jelentkezni
nem.
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 10312/httpd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1148/sshd
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 10312/httpd
... és még pár process, de egyik se a 1987-en figyel. A közelébe nincsenek.
Én inkább valami systemd-s konfigra gondolok, amibe van valami érték, csak még nem találtam meg..
- A hozzászóláshoz be kell jelentkezni
Akkor ahogy NevemTeve kolléga is mondta, pl. SELinux lehet a háttérben, nézd meg pl. egy ausearch -m avc paranccsal, aztán ha szükséges, gyárts hozzá egy policy-t. Vagy kezdhetsz egybol ezzel: semanage port -a -t openvpn_port_t -p udp PORT, mert gyárilag a 1194-re szól a policy, ezzel hozzáadod az engedélyezett portok listájához a neked szükségeset is.
- A hozzászóláshoz be kell jelentkezni
Root-ként nem megy? Ha nem a systemd csinálja ezt, akkor a SElinux... Valamilyen segítő és megkönnyítő komponens, az biztos.
- A hozzászóláshoz be kell jelentkezni
+1 a SELinux-ra:
The following port types are defined for openvpn:
- openvpn_port_t
- Default Defined Ports:
- tcp 1194 udp 1194
https://linux.die.net/man/8/openvpn_selinux
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
- A hozzászóláshoz be kell jelentkezni
sziasztok,
köszi mindenkinek, selinux volt a ludas valóban.
:)
üdv,
fgy
- A hozzászóláshoz be kell jelentkezni
A SELinux nem ismerete volt a ludas :-P
- A hozzászóláshoz be kell jelentkezni
Mármint az a jóember a ludas aki kéretlen segítőkészségében telepítette/engedélyezte a selinux-ot.
- A hozzászóláshoz be kell jelentkezni
Alapból engedélyezett, ha normális rendszerről beszélünk. Reszelés előtt setenforce 0, reszel, audit2why illetve audit2allow, amit ezek produkálnak, azt átgondol/átnéz, és utána megcsinál,majd mehet vissza setenforce 1. Ja, hogy ehhez ismerni kell a rendszert, amit használsz...?
- A hozzászóláshoz be kell jelentkezni
Biztos én vagyok nem normális, de én jónéven venném, ha az install során megkérdeznék, hogy 'no, van elég bajod, vagy akarsz még további nehezítést?'
- A hozzászóláshoz be kell jelentkezni
Miért nehezítés? A rendszer része csak ismerni kéne, tudni ennek az alapbeállításnak a létezéséről és működéséről. Ahogy pl. az alap firewalld beállításokról is illik tudni...
- A hozzászóláshoz be kell jelentkezni