Chinaunix首页 | 论坛 | 博客
  • 博客访问: 757698
  • 博文数量: 176
  • 博客积分: 2548
  • 博客等级: 少校
  • 技术积分: 1749
  • 用 户 组: 普通用户
  • 注册时间: 2008-11-29 16:36
个人简介

爱咋咋地

文章分类

全部博文(176)

文章存档

2024年(1)

2023年(17)

2022年(19)

2021年(3)

2020年(1)

2018年(1)

2017年(1)

2014年(1)

2013年(4)

2012年(11)

2011年(19)

2010年(22)

2009年(71)

2008年(5)

分类: LINUX

2018-09-17 20:47:09

最近在fedora 28下面折腾通过l2tp拨号今校园网,遇到诸多问题。一步一步解决中,这篇文章是作为这个过程的一个记录。
先简述一下环境情况:
系统:fedora 28(持续升级中,最新版本)
管理工具: NetworkManager
L2TP模块:NetworkManager-l2tp-1.2.10-1.fc28.x86_64
其他软件:xl2tpd-1.3.8-7.fc28.x86_64
ppp-2.4.7-22.fc28.x86_64

问题描述:
1。 路由记录添加不正确(待解决),需要手工把本机到vpn服务器的路由记录删除掉
2。 在某次fedora升级以后发现xl2tpd不能运行(涉及到selinux策略和capabilities方面的问题)

解决过程:
  • 遇到selinux相关的问题,使用journalctl查看审计日志确认问题是否和selinux相关,然后用setenforce 0把selinux策略变成permissive,来看看问题是否得到了解决。
  • 在本次遇到的问题是虽然已经把selinux变成permissive了依然运行不成功。但在journalctl 和dmesg里面的报错内容变成了xl2tpd 的 Operation not permitted 。这就郁闷了,本身xl2tpd的权限是755,任何用户都可以运行,为什么会出Operation not permitted。
  • 详细查看后发现xl2tpd设置了capabilities,但只有cap_dac_override,cap_dac_read_search+ep (#getcap /sbin/xl2tpd )这两个全限。使用(#setcap -r /sbin/xl2tpd)擦出掉capabilities后可以正常运行了。基本可以判定是capabilities全限赋予不足引起的。
  • 使用getpcaps 发现它运行需要如下caps:cap_dac_override,cap_kill,cap_setgid,cap_setuid,cap_net_bind_service,cap_net_admin,cap_net_raw,cap_sys_module,cap_sys_chroot,cap_audit_write+ep
  • 把这些caps加上以后,xl2tpd运行成功.
以上这些都是在关闭了selinux以后的情况,现在打开selinux发现问题依旧。
解决selinux的问题则按照一般的方法进行就好了,按照selinux troubleshoot中描述的步骤一步一步进行就好了。


路由错误的问题还没有搞定,现象是vpn连上以后1-2分钟后就会断开。现在先是每次拨号以后手工删除路由记录的方式暂时解决。估计问题是在pppd调用 /etc/ppp/ip-up或/etc/ppp/ip-up.ipv6to4(因为校园网分配有ipv6的地址)时出现的,以后继续分析
----------------------------------------------------------------------------------------------------
更新一下,后续没有使用xl2tpd来做vpn
使用了NetworkManager-l2tp和NetworkManager-l2tp-gnome这两个模块,基本上什么都不用配置,填上信息就好了。
但是上面的路由问题还是不能自动搞定,需要在路由表里面手工指定到vpn服务器地址的路由

阅读(2147) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~