Я пытаюсь использовать openvpn в качестве клиента на песнях 7. Это хорошо работает, но я не могу получить DNS от сервера. Как Вы знаете, в новом Centos нет никакого resolvconf, таким образом, стандарт update-resolv-conf сценарий не работает.
Я переписываю его немного:
#!/bin/bash # # Parses DHCP options from openvpn to update resolv.conf # To use set as 'up' and 'down' script in your openvpn *.conf: # up /etc/openvpn/update-resolv-conf # down /etc/openvpn/update-resolv-conf # # Used snippets of resolvconf script by Thomas Hood # and Chris Hanson # Licensed under the GNU GPL. See /usr/share/common-licenses/GPL. # 07/2013 colin@daedrum.net Fixed intet name # 05/2006 chlauber@bnc.ch # # Example envs set from openvpn: # foreign_option_1='dhcp-option DNS 193.43.27.132' # foreign_option_2='dhcp-option DNS 193.43.27.133' # foreign_option_3='dhcp-option DOMAIN be.bnc.ch' # foreign_option_4='dhcp-option DOMAIN-SEARCH bnc.local' set -e ## You might need to set the path manually here, i.e. # RESOLVCONF=/usr/bin/resolvconf #RESOLVCONF=$(which resolvconf) #[ -x $RESOLVCONF ] || exit 0 #IPv4 ONLY! NMCLI=/usr/bin/nmcli #$(which nmcli) SYSTEMCTL=/usr/bin/systemctl #$(which systemctl) [ -x $NMCLI ] || exit 0 [ -x $SYSTEMCTL ] || exit 0 #testing version for running from console active_con_dev=$($NMCLI -t -f NAME,DEVICE con show --active | grep "tun" | head -1) #it must be something like #active_con_dev=$($NMCLI -t -f NAME,DEVICE con show --active | grep "$dev" | head -1) active_con=$(echo $active_con_dev | awk '{print $1}' FS=":") active_dev=$(echo $active_con_dev | awk '{print $2}' FS=":") dns_list_file=/etc/openvpn/dns_list case $script_type in up) #we take first active connection and device (but not tun devices. I don't know either NM can show it or no) for optionname in ${!foreign_option_*} ; do option="${!optionname}" echo $option part1=$(echo "$option" | cut -d " " -f 1) if [ "$part1" == "dhcp-option" ] ; then part2=$(echo "$option" | cut -d " " -f 2) part3=$(echo "$option" | cut -d " " -f 3) if [ "$part2" == "DNS" ] ; then IF_DNS_NAMESERVERS="$IF_DNS_NAMESERVERS $part3" fi if [[ "$part2" == "DOMAIN" || "$part2" == "DOMAIN-SEARCH" ]] ; then IF_DNS_SEARCH="$IF_DNS_SEARCH $part3" fi fi done R="" for DS in $IF_DNS_SEARCH ; do # R="${R}search $DS" R="${R}$DS" done for NS in $IF_DNS_NAMESERVERS ; do # R="${R}nameserver $NS" R="${R}$NS" done echo "$R" > "$dns_list_file" #ipv4 only #we must check existence of DNS, but I'm too lazy now $NMCLI con mod $active_con +ipv4.dns "$R" $SYSTEMCTL restart NetworkManager #echo -n "$R" | $RESOLVCONF -p -a "${dev}" #echo -n "$R" | $RESOLVCONF -a "${dev}.inet" ;; down) dns_list=$(echo "$dns_list_file") if [ ! -z "$dns_list" -a "$dns_list" != " " ]; then #we must check existence of this dns, but I'm too lazy now $NMCLI con mod $active_con -ipv4.dns "$dns_list" $SYSTEMCTL restart NetworkManager fi #$RESOLVCONF -d "${dev}.inet" ;; esac
Я не делаю уверенный в поисковых серверах, но в случае серверов имен только это работает. Снова, это должно быть протестировано с несколькими серверами (я не сделал этого).
Так, это может добавить DNS к Вашему соединению. Но это не работает с SElinux при выполнении его от systemctl (systemctl start openvpn@config.service
). Существуют такие строки в /var/log/audit.log
:
type=AVC msg=audit(1414759817.198:2963): avc: denied { execute } for pid=1827 comm="update-resolv-c" name="systemctl" dev="dm-1" ino=787169 \ scontext=system_u:system_r:openvpn_t:s0 tcontext=system_u:object_r:systemd_systemctl_exec_t:s0 tclass=file
Я должен записать политику для SElinux. Хорошо, но есть ли еще некоторый удобный для пользователя способ настроить DNS? Могут быть специалисты по обслуживанию пакетов и разработчики RedHat/Centos, думал о openvpn DNS, но я не знаю об этом?
Попробуйте следующие команды:
$ mkdir /etc/openvpn/scripts
$ mv /etc/openvpn/update-resolv-conf /etc/openvpn/scripts/
$ restorecon -v /etc/openvpn/scripts/
$ restorecon -v /etc/openvpn/scripts/update-resolv-conf
$ setsebool openvpn_run_unconfined on
$ nano -w /etc/openvpn/config.conf
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
script-security 2
$ systemctl start openvpn@config.service
$ systemctl status openvpn@config.service