Toggle sidebar

Openwrt OPENVPN connection issue - apparmor=“DENIED” operation

M

mmiii

Benutzer
Mitglied seit
22. Okt 2013
Beiträge
26
Punkte für Reaktionen
0
Punkte
1
Hi,

ich versuche schon seit einiger Zeit Openwrt
https://hub.docker.com/r/openwrtorg/rootfs

mit Openvpn als Client zu verbinden


Docker/Syn720+ V20.10.3.-1239
OpenWrt SNAPSHOT r18285-dd681838d3 / LuCI Master git-21.336.35676-ff4f529

Ich bekomme die Fehlermeldung


Mon Dec 6 11:16:08 2021 kern.info kernel: [2405195.805821] Synotify use 16384 event queue size
Mon Dec 6 11:16:08 2021 daemon.err openvpn(test)[1340]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/test.ovpn
Mon Dec 6 11:16:08 2021 daemon.warn openvpn(test)[1340]: Use --help for more information.
Mon Dec 6 11:16:08 2021 kern.notice kernel: [2405196.306197] audit: type=1400 audit(1638789368.802:590201): apparmor="DENIED" operation="open" profile="/usr/sbin/openvpn" name="/etc/openvpn/test.ovpn" pid=16189 comm="openvpn" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Mon Dec 6 11:16:13 2021 daemon.err openvpn(test)[1347]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/test.ovpn
Mon Dec 6 11:16:13 2021 daemon.warn openvpn(test)[1347]: Use --help for more information.
Mon Dec 6 11:16:13 2021 kern.notice kernel: [2405201.332861] audit: type=1400 audit(1638789373.830:590202): apparmor="DENIED" operation="open" profile="/usr/sbin/openvpn" name="/etc/openvpn/test.ovpn" pid=16246 comm="openvpn" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Mon Dec 6 11:16:18 2021 daemon.err openvpn(test)[1350]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/test.ovpn
Mon Dec 6 11:16:18 2021 daemon.warn openvpn(test)[1350]: Use --help for more information.
Mon Dec 6 11:16:18 2021 kern.notice kernel: [2405206.361522] audit: type=1400 audit(1638789378.860:590203): apparmor="DENIED" operation="open" profile="/usr/sbin/openvpn" name="/etc/openvpn/test.ovpn" pid=16359 comm="openvpn" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Mon Dec 6 11:16:23 2021 kern.notice kernel: [2405211.390690] audit: type=1400 audit(1638789383.893:590204): apparmor="DENIED" operation="open" profile="/usr/sbin/openvpn" name="/etc/openvpn/test.ovpn" pid=16493 comm="openvpn" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Mon Dec 6 11:16:23 2021 daemon.err openvpn(test)[1353]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/test.ovpn
Mon Dec 6 11:16:23 2021 daemon.warn openvpn(test)[1353]: Use --help for more information.
Mon Dec 6 11:16:24 2021 daemon.info procd: Instance sysntpd::instance1 s in a crash loop 6 crashes, 0 seconds since last crash
Mon Dec 6 11:16:28 2021 daemon.err openvpn(test)[1356]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/test.ovpn
Mon Dec 6 11:16:28 2021 daemon.warn openvpn(test)[1356]: Use --help for more information.
Mon Dec 6 11:16:28 2021 kern.notice kernel: [2405216.416908] audit: type=1400 audit(1638789388.921:590205): apparmor="DENIED" operation="open" profile="/usr/sbin/openvpn" name="/etc/openvpn/test.ovpn" pid=16539 comm="openvpn" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Mon Dec 6 11:16:33 2021 daemon.err openvpn(test)[1434]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/test.ovpn
Mon Dec 6 11:16:33 2021 daemon.warn openvpn(test)[1434]: Use --help for more information.
Mon Dec 6 11:16:33 2021 kern.notice kernel: [2405220.835815] audit: type=1400 audit(1638789393.342:590206): apparmor="DENIED" operation="open" profile="/usr/sbin/openvpn" name="/etc/openvpn/test.ovpn" pid=16724 comm="openvpn" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Mon Dec 6 11:16:38 2021 daemon.err openvpn(test)[1493]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/test.ovpn
Mon Dec 6 11:16:38 2021 daemon.warn openvpn(test)[1493]: Use --help for more information.
Mon Dec 6 11:16:38 2021 kern.notice kernel: [2405225.864697] audit: type=1400 audit(1638789398.372:590207): apparmor="DENIED" operation="open" profile="/usr/sbin/openvpn" name="/etc/openvpn/test.ovpn" pid=16859 comm="openvpn" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Zum Vergrößern anklicken....


Genau die gleiche OpenVPN-Konfiguration, die ich auf einem RPI verwende, ohne Probleme
/etc/config & /etc/openvpn

Leider kenne ich mich mit LOGS nicht so gut aus

Info aus OPENWRT-Forum
---
Anscheinend hat das Problem nichts mit OpenWrt zu tun.
Folgen Sie dem Support-Kanal für Ihr Hostsystem.
Dies ist wahrscheinlich der Grund für die Ablehnung von AppArmor.
---

Was könnte der Grund sein?

Thx für Hilfe
mmiii
 
M

mmiii

Benutzer
Mitglied seit
22. Okt 2013
Beiträge
26
Punkte für Reaktionen
0
Punkte
1
ok, das Thema scheint nicht allzuviel Begeisterung zu erwecken, ....;)

Bin ein wenig weiter ...
Wenn man den Container
  • einmal ohne "hohe Priorität" startet dann versucht eine Openvpn Verbindung herzustellen,
  • den Container erneut "mit hoher Priorität" startet

wird die Verbindung hergestellt und "tun0" zeigt traffic an an.
Verbindungen aus dem terminal werden dann über das OpenVPN hergestellt.

Jeder Neustart des Containers erfordert allerdings den vorherigen start "ohne hohe Prioirität" sonst schlägt apparmor wieder zu

Bei gleicher Netzwerk und Firewall Konfiguration analog einer RPI OPENWRT installation werden jedoch keine Verbindungen aus dem LAN über das VPN geroutet.
Der Traceroute endet dann an der IP des OPENWRT Docker Container. (macvlan)

Hat noch jemand eine Idee wo das Problem liegen könnte?
 
H

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Ich hab mir den Verlauf im Docker-Forum angesehen und mich gefragt, ob das OpenWRT Forum nicht die bessere Stelle dafür gewesen ist..

Das Image ist nicht wirklich dokumentiert, sprich Leute wie Du sind dann gezwungen "Jugend forscht" zu betreiben und Zeit investieren um es am Ende vielleicht zum Laufen zu bekommen.

Da es Dir scheinbar um eine spezifische Teil-Fassette, genauer um OpenVPN geht, kann ich auch verstehen warum das nicht in der Dockerhub Beschreibung erwähnt wird. Wenn man sich andere OpenVPN Images auf Dockerhub anschaut, dann findet man bei denen in der Beschreibung den Hinweis auf --priviliged oder zumindest die Capability NET_ADMIN. Würde mich wundern wenn OpenWRT es schafft das zu umgehen.

Gibt es den keine "schmerzfreien" Alternativen?
 
M

mmiii

Benutzer
Mitglied seit
22. Okt 2013
Beiträge
26
Punkte für Reaktionen
0
Punkte
1
...da es Richtung apparmor und Kernel Meldungen ging, war man wohl der Meinung es sei bei Synology besser aufgehoben...
Bin jetzt eher der Anwender und docker ist eh komplett neu für mich, bin daher für "schmerzfreie Alternativen" dankbar. :)

Ich suche nach einer Lösung ein OpenVPN Gateway für "US Exit" zu betreiben (z.B. pandora Radio aus dem gesamten Netzwerk mit statischer Route der Pandora Zieladressen in der Fritzbox zum Gateway) Damit funktionieren dann auch die Smart Speaker mit pandora obwohl US only.
Bin seit 15 Jahren ziemlicher Pandora FAN und zahlender Kunde, da kann Spotify m.E. nicht mithalten. ;)

Das funktioniert soweit ganz gut mit einem RPI. Hätte es aber gerne über Docker am laufen.
 
Zuletzt bearbeitet:
H

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Ich glaube wäre Dein zweiter Absatz schon in dem ersten Post gewesen, dann hätte es hier eher antworten gegeben.
Ich selbst verwende kein OpenVPN im Container - aber es dürfte sicherlich andere hier geben die das tun.
 
  • Like
Reaktionen: mmiii
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten
Zurück