CMDR Jack
Гм. Он даже не пытается подняться в смысле?
CMDR Jack
А, стоп
CMDR Jack
Весь инстанс
Dmitrii
Да
Dmitrii
Я только что проверил - без опенвпна все норм перезагружается )
CMDR Jack
И если после этого подянть openvpn, тоже все норм?
Dmitrii
Вот щас попробую.
CMDR Jack
Пальцем в небо — сервис openvpn вечно ждет депенденса
Dmitrii
И как понять кого он хочет?
CMDR Jack
something something journalctl something
Dmitrii
Да. Я поставил OpenVPN (даже без iptables) — ребут. Все.
Dmitrii
Не взлетает.
Dmitrii
Хотя до этого я раскатал его ансиблом и у меня автоматически появился коннект с клиентом. Т.е. он работал даже.
CMDR Jack
Попробуй посмотреть логи сервиса через journalctl
Dmitrii
Да как
Dmitrii
Все. пиздец. На него не зайти
Sergey
в депенденси для опенвпн системы инициализации посмотрите какие зависимости
Sergey
загрузиться в синг мод всегда можно, а оттуда уже оквырять
Dmitrii
Это инстанс амазона
Dmitrii
Как мне это сделать?
Max
Да. Я поставил OpenVPN (даже без iptables) — ребут. Все.
Я тут подумал, амазон Жи умеет в тоннели сам
Max
Нет, он в айписек умеет
Max
Я его с циской в Москве дружил
Dmitrii
After=network.target
Dmitrii
Это?
Sergey
ну с амазоном вам повезло)
Sergey
в кавычках
Sergey
да афтер говорил что опенвпн будет ждать пока не апнется сеть
Dmitrii
Before=systemd-user-sessions.service
Dmitrii
Но знаете в чем весь прикол. У меня есть openvpn client и там все ок
Sergey
у меня есть и то и то, и не одна штука, и все ок
Sergey
только у меня баре метал и гента)
Sergey
это не показатель к сожалению
Dmitrii
На серверфолт пойти чтоли
Dmitrii
У них там как раз утро щас будет.
Sergey
ну для начала надо бы видеть конфиг самого демона
Sergey
логи
Sergey
ну и юнит системдешный
Sergey
а то пока гадание на гуще
Dmitrii
Да в логах до ребута вообще все супер
Dmitrii
Ни одной ошибки
Dmitrii
И коннект с клиентом есть. И два региона у меня в сети становятся
Dmitrii
Т.е. у меня все работает до первой перезагрузки
Sergey
ну логи после, если туда что-то попало
Sergey
плюс все же конфиг демона и сам юнит системдешный
Dmitrii
Логи чего?
Dmitrii
Я же говорю - делаю ребут и меня ssh отключает и все.
Dmitrii
Больше нет шансов посмотреть подкапот
Dmitrii
https://gist.github.com/anonymous/7bf4e95928ee8c997f5a39d6729e4def вот конфиг
Sergey
dev tap?
Dmitrii
А есть разница tap/tun?
Sergey
ну как бы да
Dmitrii
В чем? (уже меняю и тестирую)
Sergey
охххх
Sergey
tap - канальный уровень
Sergey
tun - сетевой
Dmitrii
Раскатываю клиент и сервер... щас глянем.
Dmitrii
На серваке надо что то глянуть на всякий случай перед тем, как я его в ребут кину?
Roman
с шифрованием - с GRE/IPsec сложнее, поэтому этот вариант лучше отбросить нафиг.
с хрена ли сложнее? там всё как 2 пальца об асфальт. и gre не нужен.
Roman
ты щас запаришься теорию ipsec'а объяснять, пока вы родите работающий конфиг на стронгсване
рабочий конфиг на лебеде - это не больше 20 строк.
Sergei
рабочий конфиг на лебеде - это не больше 20 строк.
возможно. только в первый раз под новый кейс это отнимает хорошо так времени, чтобы понять, что именно нужно использовать. GRE же поднимается в одну команду на каждой из сторон и начинает работать сразу.
Roman
Sergey
бля да в 80% достаточно вообще прешаред ключа, что значительно упрощает жизу
Sergey
каких костылей?
Sergei
да ладно. одна команда на одной стороне, одна на другой. и трафик уже ходит.
Dmitrii
http://serverfault.com/questions/808247/ec2-container-stucks-when-i-install-openvpn-server-on-it
Dmitrii
tun кстати я почитал, на сколько я понял он мне не подходит, т.к. мне нужен не point-to-point а соединять несколько сегментов в одну сеть.
sexst
Через нормальный нат ходит. Есть ряд ограничений и нюансов, но в 90% случаев ходит.
Anton
Через нормальный нат ходит. Есть ряд ограничений и нюансов, но в 90% случаев ходит.
а нормальный это какой?
sexst
Да. Conntrack пытается по полю key в заголовке выстроить сессию. Главное чтобы узел за натом хоть один пакет прислал для установления сессии
sexst
Линуха может при помощи nf_conntrack_proto_gre, nf_nat_proto_gre. Циска умеет с древних времен, да почти все приличные аппаратные умеют. Хуавей, помнится не осилил только на моем опыте.
Roman
Roman
И в гре никакого шифрования и защиты от вмешательства в трафик
sexst
grev0 (тот, что до rfc 2890, ЕМНИП) не может, тут да. Но его никто не пользует.
Roman
Ну и отдельное шоу если оба хоста за нат
sexst
Какбе любой протокол не пройдет через нат с инициацией снаружи, не?
sexst
И с любым протоколом оба хоста за нат без внешнего брокера хрен сконнектятся.