openvpn másik porton, mint default udp/1194 [SOLVED]

Fórumok

sziasztok,

szeretném, hogy az openvpn szerver másik porton figyeljen, mint udp/1194.

Én naív, azt gondoltam, hogy a server.conf-ban átírom a

port 1194
proto udp

sorokat pl.

port 1987
proto tcp

sorokra, újraindítom "systemctl restart openvpn", aztán szépen működik.

Naná, hogy nem.

A hiba:  

openvpn[15545]: TCP/UDP: Socket bind failed on local address [AF_INET]x.x.x.x:1987: Permission denied (errno=13)

Iptables leállítva, flush megvolt, rootként futtatok mindent... :O

OS: CentOS 8

Van ötlete valakinek?

Hozzászólások

Valami nem kerek, mert olyan porton futtatod, amin csak akarod, nagyjabol. Nem fogja valami az uj portot?

nem.

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      10312/httpd         
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1148/sshd              
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      10312/httpd         
... és még pár process, de egyik se a 1987-en figyel. A közelébe nincsenek.

Én inkább valami systemd-s konfigra gondolok, amibe van valami érték, csak  még nem találtam meg..
 

Akkor ahogy NevemTeve kolléga is mondta, pl. SELinux lehet a háttérben, nézd meg pl. egy ausearch -m avc paranccsal, aztán ha szükséges, gyárts hozzá egy policy-t. Vagy kezdhetsz egybol ezzel: semanage port -a -t openvpn_port_t -p udp PORT, mert gyárilag a 1194-re szól a policy, ezzel hozzáadod az engedélyezett portok listájához a neked szükségeset is.

Szerkesztve: 2020. 03. 06., p - 13:14

Root-ként nem megy? Ha nem a systemd csinálja ezt, akkor a SElinux... Valamilyen segítő és megkönnyítő komponens, az biztos.

+1 a SELinux-ra:

The following port types are defined for openvpn:

openvpn_port_t
Default Defined Ports:
tcp 1194 udp 1194

https://linux.die.net/man/8/openvpn_selinux

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

sziasztok,

köszi mindenkinek, selinux volt a ludas valóban.

:)

üdv,

fgy

Alapból engedélyezett, ha normális rendszerről beszélünk. Reszelés előtt setenforce 0, reszel, audit2why illetve audit2allow, amit ezek produkálnak, azt átgondol/átnéz, és utána megcsinál,majd mehet vissza setenforce 1. Ja, hogy ehhez ismerni kell a rendszert, amit használsz...?