openvpn: ошибка в параметрах: –client-config-dir не работает

Вопрос или проблема

Options error: --client-config-dir fails with "/etc/openvpn/easy-rsa/keys/crl.jail//etc/openvpn/server.ccd": No such file or directory

comp-lzo
keepalive 10 120

persist-key
persist-tun
user nobody
group nogroup

chroot /etc/openvpn/easy-rsa/keys/crl.jail
crl-verify crl.pem

ca /etc/openvpn/easy-rsa/keys/ca.crt
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
key /etc/openvpn/easy-rsa/keys/server.key
cert /etc/openvpn/easy-rsa/keys/server.crt

ifconfig-pool-persist /var/lib/openvpn/server.ipp
client-config-dir /etc/openvpn/server.ccd
status /var/log/openvpn/server.log
verb 4

# Виртуальная подсеть, уникальная для openvpn для назначения адресов клиентам
# Сервер будет настроен с x.x.x.1
# важно: не должен использоваться в вашей сети
server 10.254.1.0 255.255.255.0

# отправка маршрутов клиентам, чтобы они могли достичь частных подсетей
push "route 10.0.0.0 255.0.0.0"

mkdir -p /etc/openvpn/easy-rsa/keys/crl.jail//etc/openvpn/server.ccd

/etc/openvpn/ccd

...
chroot /etc/openvpn/easy-rsa/keys/crl.jail
crl-verify crl.pem

ca /etc/openvpn/easy-rsa/keys/ca.crt
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
key /etc/openvpn/easy-rsa/keys/server.key
cert /etc/openvpn/easy-rsa/keys/server.crt

ifconfig-pool-persist /var/lib/openvpn/server.ipp
client-config-dir server.ccd

...

Ответ или решение

Ошибка, которую вы испытали при настройке OpenVPN на Debian Jessie с использованием easy-rsa в качестве центра сертификации, связана с неверным указанием пути к каталогу конфигурации клиентов. Давайте подробнее разберем ситуацию и предложим аккуратное решение, используя методику FOREST для эффективного изложения.

Факты (Fact): Вы настраиваете OpenVPN сервер, и при запуске через init-скрипт появляется ошибка, указывающая на отсутствие пути "/etc/openvpn/easy-rsa/keys/crl.jail//etc/openvpn/server.ccd". Это подсказка к проблеме с путями, особенно в контексте использования опции chroot.

Основная Проблема (Objective): Проблема заключается в том, что вы используете опцию chroot, которая меняет корневой каталог для процесса OpenVPN на /etc/openvpn/easy-rsa/keys/crl.jail. Это приводит к тому, что все относительные пути, указанные в конфигурационном файле, должны быть относительно этого нового корня.

Справка (Research): Когда используется chroot, пути к файлам и папкам должны учитываться относительно новой корневой директории. Ваша строка конфигурации client-config-dir /etc/openvpn/server.ccd должна быть изменена на относительный путь, потому что данный путь интерпретируется относительно нового корня, установленного через chroot.

Экспертиза (Expertise): Корректное решение — это перемещение папки server.ccd в /etc/openvpn/easy-rsa/keys/crl.jail или указание в конфигурации OpenVPN относительного пути для client-config-dir. Поэтому, у вас уже была правильная идея изменить конфигурационный путь на client-config-dir server.ccd, что указывает OpenVPN искать подкаталог server.ccd внутри вашего chroot каталога, что решает проблему.

Решение (Solution): Убедитесь, что каталог server.ccd находится по пути /etc/openvpn/easy-rsa/keys/crl.jail/server.ccd. Это позволяет OpenVPN корректно работать с конфигурацией клиентов внутри границ указанного chroot.

Трансформация (Transformation): Сделав вышеуказанные изменения, ваш OpenVPN сервер должен функционировать корректно, избегая ошибок, связанных с путями. Убедитесь в правильности всех релевантных путей и перезапустите сервис, чтобы изменения вступили в силу. Ваш OpenVPN будет надежно работать на Debian Jessie в соответствии с вашими требованиями по безопасности и изоляции.

Таким образом, ваша настройка приобретает единство и структурированность, обеспечивая стабильную и безопасную эксплуатацию VPN-сервера.