News:

Автоматизация бардака приводит к автоматизированному бардаку

Main Menu

WARNING: Failed to stat CRL file, not (re)loading CRL

Started by Олег Дивов, 08 June 2021, 14:14

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Олег Дивов

Здравствуйте.

Создавал OpenVPN-сервер по вашим статьям 1, 2, 3, 4, 5, добавил только tls-auth в конфигурацию.
Ubuntu Server 20.04.2.
Всё работает исправно, но в логе OpenVPN-сервера беспокоит запись "WARNING: Failed to stat CRL file, not (re)loading CRL".  В логах клиентов никаких ошибок не обнаружено. Погуглил, вроде все указанные там проблемы у меня отсутствуют. Где можно поковырять, что бы довести всё до ума?

Благодарю.




Уваров А.С.


Посмотрите права и владельца CRL файла.

Олег Дивов

#2
Quote from: Уваров А.С. on 08 June 2021, 15:36Посмотрите права и владельца CRL файла
-rw------- 1 root root 991 Feb 23 13:05 /etc/easy-rsa/pki/crl.pem


Олег Дивов

Нужно установить другого владельца и права?

Уваров А.С.

Попробуйте на него 644 поставить.

Олег Дивов

sudo chmod 644 /etc/easy-rsa/pki/crl.pem
sudo ls -al /etc/easy-rsa/pki/crl.pem
-rwxr-xr-x 1 root root 991 Feb 23 13:05 /etc/easy-rsa/pki/crl.pem

sudo /etc/init.d/openvpn restart
Restarting openvpn (via systemctl): openvpn.service.

Всё равно, что на 755, что на 644. Вылезает " WARNING: Failed to stat CRL file, not (re)loading CRL."

Олег Дивов

#6
Может быть это потому что в server.conf есть такая запись: ?
user nobody
group nogroup

Олег Дивов

Quote from: Олег Дивов on 08 June 2021, 14:14Создавал OpenVPN-сервер по вашим статьям 1, 2, 3, 4, 5, добавил только tls-auth в конфигурацию.

Неправильно написал, не tls-auth, а tls-crypt.

tls-crypt keys/tc.key
auth SHA512

Уваров А.С.


Олег Дивов

Quote from: Уваров А.С. on 08 June 2021, 22:19А если убрать эту опцию?
Убрал, но результат аналогичный.

Уваров А.С.

Ну тогда не скажу, надо смотреть на стенде. Помечу себе в блокнотик, при оказии проверю.

Олег Дивов

Quote from: Уваров А.С. on 09 June 2021, 12:11Помечу себе в блокнотик, при оказии проверю.
Благодарю.
P.S. Почему то не приходят оповещения на e-mail на подписанные темы.


Уваров А.С.

Quote from: Олег Дивов on 09 June 2021, 13:16P.S. Почему то не приходят оповещения на e-mail на подписанные темы.

Потому что отключено. Движок форума в данной версии косячит с отправкой почты.

Олег Дивов

#13
В общем, хорошо поковырявшись, проблему решил. Оказалось, что символьная ссылка /etc/openvpn/keys/crl.pem
на /etc/easy-rsa/pki/crl.pem (сделано по рекомендациям из Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3) даёт такую ошибку. Ссылку удалил и скопировал /etc/openvpn/keys/crl.pem в /etc/openvpn/keys. Затем перезапустил сервис openvpn и после этого ошибка ушла.
Непонятно, почему не работала символьная ссылка.



Уваров А.С.

Скорее всего что-то с правами.

Олег Дивов

#15
Quote from: Уваров А.С. on 10 June 2021, 15:18Скорее всего что-то с правами.
Я и chmod 777 /etc/easy-rsa/pki/crl.pem делал и chown nobody:nogroup /etc/easy-rsa/pki/crl.pem
Ничего не помогало.
Возможно, что это - правильный ответ.


Олег Дивов

Quoteесли вы используете user nobody для запуска службы, у вас должно быть разрешение на чтение crl.pem
включая чтение + выполнение в предыдущих папка
Интересно, это к какой директории относится?
Где находится сам crl.pem или где находится символьная ссылка для crl.pem.
Да и открывать /etc для чтения всем подряд наверное неправильно.

Уваров А.С.

Сейчас не скажу, в командировке. В понедельник приеду - посмотрю на работающем стенде как там права настроены.