[SOLVED] pve-5.4.106-1 / OpenVPN server / Unprivileged Container / FAIL

[TomFreudenberg]

Hi zusammen,

ich habe jetzt so alles hier im Forum bzgl. OpenVPN Server im unpreviligiertem Container gelesen
und ausprobiert, inklusive dem Wiki Eintrag:

- https://pve.proxmox.com/wiki/OpenVPN_in_LXC

Nichts funktioniert davon bei mir, sowohl unter Debian 10 als CT als auch Ubuntu LTS 20.04

Sobald ich den Container priviligiert setze - geht alles

Daher die große Frage: GEHT ES WIRKLICH IM UNPREVILIGIERTEN CONTAINER?

Ich habe in meine ID.conf die zusätzlichen Einträge:

lxc.cgroup.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev_containers/net dev/net none bind,create=dir

Dann habe ich auf dem HOST das Verzeichnis:

mkdir -p /dev_containers/net
mknod /dev_containers/net/tun c 10 200
chown 100000.100000 /dev_containers/net
chown 100000.100000 /dev_containers/net/tun

Nach dem Boot des CT

ls -la /dev/net

=>

crw-rw-rw- 1 root root 10, 200 Apr 13 23:05 tun

Auf das TUN device kann der OpenVPN process auch zugreifen, aber danach gibt es dann die "bekannten" Fehler:

Apr 14 00:09:54 openvpn[13175]: TUN/TAP device tun0 opened
Apr 14 00:09:54 openvpn[13175]: Note: Cannot set tx queue length on tun0: Operation not permitted (errno=1)
Apr 14 00:09:54 openvpn[13175]: /sbin/ip link set dev tun0 up mtu 1500
Apr 14 00:09:54 openvpn[13175]: openvpn_execve: unable to fork: Resource temporarily unavailable (errno=11)
Apr 14 00:09:54 openvpn[13175]: Exiting due to fatal error
Apr 14 00:09:54 systemd[1]: openvpn-server@server.service: Main process exited, code=exited, status=1/FAILURE

Kann jemand mir sagen ob ich etwas falsch mache oder es nur schlicht nicht geht "unpreviligiert"?

Vielen Dank - verzweifel etwas
Tom

 

[TomFreudenberg]

Kurze Anmerkung noch:

Wenn ich den Container "unpriviledged" erstelle, setze ich natürlich nicht die zusätzlichen Einträge in der ID.conf

 

[Dunuin]

Hast du IPv4 Forwarding auf dme Host aktiviert? Das war seit einem Update vor einigen Wochen nötig, damit Routing innerhalb von LXCs funktioniert.

 

[TomFreudenberg]

Lösung gefunden:

https://forum.ubuntuusers.de/post/8488183/quote/

Hast du IPv4 Forwarding auf dme Host aktiviert? Das war seit einem Update vor einigen Wochen nötig, damit Routing innerhalb von LXCs funktioniert.

Ja, ist aktiv

 

[TomFreudenberg]

Lösung gefunden:

https://forum.ubuntuusers.de/post/8488183/quote/

Aus der Datei

/lib/systemd/system/openvpn-server@.service

die Zeile mit dem Eintrag

LimitNPROC=10

auskommentieren.

Scheint ein BUG zu sein.

Ich brauchte danach auch nicht mehr auf dem HOST System den chown 100000.100000 /dev/net/tun auszuführen.

Lief dann so durch.