Параметр Persist-tun OpenVPN - в чем смысл?
Согласно Поваренной книге OpenVPN 2 :
Параметры persist-tun и persist-key используются для обеспечения того, чтобы соединение восстанавливается автоматически, если базовая сеть нарушено. Эти параметры необходимы при использовании user nobody и group nobody (или group nogroup).
Что это означает на практике?
На стороне сервера есть устройство tun0. Процесс OpenVPN работает как никто и nogroup. Пока все нормально. Но что именно делает опция persist-tun? В зависимости от того, подключаюсь я или нет, то же устройство tun0 все еще там.
Из другого вопроса:
Избавьтесь от опции persist-tun. Без этого варианта VPN ссылка опускается, устройство tun закроется и будет удалено. Проблема конечно, удаление этой опции означает, что вам нужно запустить Демон VPN как root, а не никто. Потому что никто не считает, OpenVPN не сможет создать новое устройство tun, когда соединение восстанавливается.
После удаления опции persist-tun устройство tun все еще существует без подключенного клиента.
Кто-нибудь, пожалуйста, подробно объясните процесс, в котором persist-tun, persist-key, user nobody, задействованы параметры group nogroup и keepalive.
Может быть 3 причины использования persist-tun
1-, Вы должны базироваться полномочия смочь управлять интерфейсами. Если OpenVPN изменяется на nobody/nogroup, он не может добавить/удалить интерфейсы. Поэтому было бы необходимо сохранить интерфейс бочки.
2-, Если бы интерфейс бочки удален, Вы потеряли бы маршрут, указывающий на него. Это означало бы, что Ваш трафик будет течь незашифрованный через маршрут по умолчанию. Вероятно, что-то, что Вы не хотите происходить.
3-, Если бы интерфейс не удален (сохраняется) затем/вниз, сценарии не были бы выполнены. В руководстве говорится:
†“сохранять-бочка Don’t закрывают и вновь открыли устройство БОЧКИ/TAP или запускают/вниз скрипты через SIGUSR1 или †“перезапуски перезапуска ping. SIGUSR1 является сигналом перезапуска, подобным SIGHUP, но который предлагает управление с более прекрасными зернами опциями сброса.
Подобный также объяснен в 2,4 руководства для persist-key
†“сохранять-ключ, Don’t перечитывают файлы ключей через SIGUSR1 или †“перезапуск ping. Эта опция может быть объединена с †“пользователь никто для разрешения перезапусков, инициированных сигналом SIGUSR1. Обычно, если Вы отбрасываете полномочия пользователя root в OpenVPN, демон не может быть перезапущен, так как это будет теперь не мочь перечитать защищенные файлы ключей.
Эта опция решает проблему путем сохранения ключей через сброс SIGUSR1, таким образом, они don’t должны быть перечитаны.
Думаю, это скорее клиентская настройка. Если клиент отключается, то при определенных условиях он удаляется, а затем воссоздает туннель. Я не уверен, что он делает что-то полезное на стороне сервера. Так как серверная сторона, по сути, не спадает все время.