19 марта 2024, 09:34

Цитата дня:

Невежество чаще рождает уверенность, нежели знание. Чарлз Дарвин


WARNING: Failed to stat CRL file, not (re)loading CRL

Автор Олег Дивов, 08 июня 2021, 14:14

« предыдущая тема - следующая тема »

0 Пользователей и 3 Гостей просматривают эту тему.

Вниз

Олег Дивов

Здравствуйте.

Создавал OpenVPN-сервер по вашим статьям 1, 2, 3, 4, 5, добавил только tls-auth в конфигурацию.
Ubuntu Server 20.04.2.
Всё работает исправно, но в логе OpenVPN-сервера беспокоит запись "WARNING: Failed to stat CRL file, not (re)loading CRL".  В логах клиентов никаких ошибок не обнаружено. Погуглил, вроде все указанные там проблемы у меня отсутствуют. Где можно поковырять, что бы довести всё до ума?

Благодарю.




Уваров А.С.


Посмотрите права и владельца CRL файла.

Олег Дивов

#2
08 июня 2021, 16:02 Последнее редактирование: 08 июня 2021, 16:11 от Олег Дивов
Посмотрите права и владельца CRL файла
-rw------- 1 root root 991 Feb 23 13:05 /etc/easy-rsa/pki/crl.pem


Олег Дивов

Нужно установить другого владельца и права?

Уваров А.С.

Попробуйте на него 644 поставить.

Олег Дивов

sudo chmod 644 /etc/easy-rsa/pki/crl.pem
sudo ls -al /etc/easy-rsa/pki/crl.pem
-rwxr-xr-x 1 root root 991 Feb 23 13:05 /etc/easy-rsa/pki/crl.pem

sudo /etc/init.d/openvpn restart
Restarting openvpn (via systemctl): openvpn.service.

Всё равно, что на 755, что на 644. Вылезает " WARNING: Failed to stat CRL file, not (re)loading CRL."

Олег Дивов

#6
08 июня 2021, 18:12 Последнее редактирование: 08 июня 2021, 18:20 от Олег Дивов
Может быть это потому что в server.conf есть такая запись: ?
user nobody
group nogroup

Олег Дивов

Создавал OpenVPN-сервер по вашим статьям 1, 2, 3, 4, 5, добавил только tls-auth в конфигурацию.
Неправильно написал, не tls-auth, а tls-crypt.

tls-crypt keys/tc.key
auth SHA512

Уваров А.С.

А если убрать эту опцию?

Олег Дивов

А если убрать эту опцию?
Убрал, но результат аналогичный.

Уваров А.С.

Ну тогда не скажу, надо смотреть на стенде. Помечу себе в блокнотик, при оказии проверю.

Олег Дивов

Помечу себе в блокнотик, при оказии проверю.
Благодарю.
P.S. Почему то не приходят оповещения на e-mail на подписанные темы.


Уваров А.С.

P.S. Почему то не приходят оповещения на e-mail на подписанные темы.
Потому что отключено. Движок форума в данной версии косячит с отправкой почты.

Олег Дивов

#13
10 июня 2021, 12:56 Последнее редактирование: 10 июня 2021, 13:09 от Олег Дивов
В общем, хорошо поковырявшись, проблему решил. Оказалось, что символьная ссылка /etc/openvpn/keys/crl.pem
на /etc/easy-rsa/pki/crl.pem (сделано по рекомендациям из Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3) даёт такую ошибку. Ссылку удалил и скопировал /etc/openvpn/keys/crl.pem в /etc/openvpn/keys. Затем перезапустил сервис openvpn и после этого ошибка ушла.
Непонятно, почему не работала символьная ссылка.



Уваров А.С.

Скорее всего что-то с правами.

Олег Дивов

#15
10 июня 2021, 16:08 Последнее редактирование: 10 июня 2021, 16:26 от Олег Дивов
Скорее всего что-то с правами.
Я и chmod 777 /etc/easy-rsa/pki/crl.pem делал и chown nobody:nogroup /etc/easy-rsa/pki/crl.pem
Ничего не помогало.
Возможно, что это - правильный ответ.


Олег Дивов

Цитировать
если вы используете user nobody для запуска службы, у вас должно быть разрешение на чтение crl.pem
включая чтение + выполнение в предыдущих папка
Интересно, это к какой директории относится?
Где находится сам crl.pem или где находится символьная ссылка для crl.pem.
Да и открывать /etc для чтения всем подряд наверное неправильно.

Уваров А.С.

Сейчас не скажу, в командировке. В понедельник приеду - посмотрю на работающем стенде как там права настроены.

Вверх