scubbo's questions

语境：

• 存储是 Kubernetes 持久卷，由 TrueNAS NAS 提供并通过 NFS 访问（使用 k8s accessMode ReadWriteMany）
• 我已经检查了 TrueNAS 数据集的权限，并确认 RWX 已为用户、组和其他设置（确认这不是最安全的，但它是家庭网络上的敏感数据 - 我想“正确执行”） ，但这不是优先事项）
• 调试 Pod（下面提到）正在使用ubuntu图像
• 调试 Pod 上没有/var/log/audit/audit.log文件，因此我假设不涉及 SELinux（不过，从该语句的措辞来看，您可能可以正确地推断出我不是 SELinux 方面的专家）

我在已安装的 NFS 驱动器上发现了一个不必要的文件，应该将其删除。我启动了一个新的 Pod 并将 PVC 安装到它上面，但是当我尝试使用rm该文件时 - 即使我使用了sudo- 我的权限被拒绝。我还注意到文件 ( nobody) 的所有权不寻常，并尝试更改它，以防万一这是原因，这也是被禁止的：

$ ls -al
...
-rwxr-xr-x   1 nobody root    1016756 Nov 26 01:21  DELETEME.txt
$ rm DELETEME.txt
rm: cannot remove 'DELETEME.txt': Permission denied
$ sudo rm DELETEME.txt
rm: cannot remove 'DELETEME.txt': Permission denied
$ sudo chown root:root DELETEME.txt
chown: changing ownership of 'DELETEME.txt': Operation not permitted

如果这是由于 Kubernetes 的某些方面造成的，我还尝试直接将 NFS 共享（使用-o rw）安装到（非 k8s-pod）机器并执行相同的命令，得到相同的结果。

什么可能阻止root删除或修改此文件？

编辑 1 - AFAICT，NFS 共享是使用777TrueNas 的权限导出的：

/etc/exportsTrueNAS 盒子上的内容：

# cat /etc/exports
V4: / -sec=sys
/mnt/low-resiliency-with-read-cache/ombi-data -mapall="k8s-user":"k8s-user"
/mnt/high-resiliency/k8s/nfs/vols/pvc-cd6d0f5d-a7d0-47a9-8371-29ab9ca27764 -maproot="root":"wheel"
/mnt/high-resiliency/manual-nfs
/mnt/high-resiliency/k8s/nfs/vols/pvc-a485ee75-9413-4b26-abdd-e5c3c23ef7ba -maproot="root":"wheel"

我已按照此处的说明（稍​​作修改，如下所列）在 OpnSense 路由器上设置 OpenVPN，但客户端无法连接。

差异：

• 我将本地端口设置为 1179
• 我将 IPv4 隧道网络设置为 10.79.0.0/24 - 我相信这是任意的？
• 我被迫禁用重定向网关，因为没有它，“IPv4 本地网络”选项就会被隐藏，并且 (AFAICT) 该值必须设置为我的家庭网络的 IP 范围，以便允许从 VPN 连接访问该网络设备 - 如果没有这种访问权限，VPN 的意义何在？
  • DHCP 服务器（也在 OpnSense 路由器上运行）分配给网络上设备的 IP 地址是192.168.1.0/24。我确实承认，如果使用此 CIDR 会导致与其他专用网络的配置发生冲突，那么它可能会出现问题，但此时我已经在网络上设置了太多其他设备和服务，因此重新定义 HCP 变得很简单 - 我'在采取该步骤之前，我想排除所有其他错误来源。
• 我启用了“DNS 服务器”（原始指南中未提及）并将值设置为专用网络（即我的 OpnSense 路由器）上 DNS 服务器的 IP 地址。我还设置了“强制 DNS 缓存更新”。

配置

服务器

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
multihome
client-disconnect "/usr/local/etc/inc/plugins.inc.d/openvpn/attributes.sh server1"
tls-server
server 10.79.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/1
username-as-common-name
auth-user-pass-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify user 'Local Database' 'false' 'server1'" via-env
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'OpenVPN+Cert' 1"
lport 1179
management /var/etc/openvpn/server1.sock unix
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
push "register-dns"
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.4096.sample
tls-auth /var/etc/openvpn/server1.tls-auth 0
persist-remote-ip
float
topology subnet

客户

使用“客户端导出”导出

dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA512
client
resolv-retry infinite
remote vpn.scubbo.org 1179 udp
lport 0
verify-x509-name "C=US, ST=CA, L=Berkeley, O=Avril, [email protected], CN=OpenVPN Cert" subject
remote-cert-tls server
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
REDACTED
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
REDACTED
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
REDACTED
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
REDACTED
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1

日志文件

服务器

<27>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 91882 - [meta sequenceId="1"] event_wait : Interrupted system call (code=4)
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 91882 - [meta sequenceId="2"] /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown ovpns1 1500 1621 10.79.0.1 255.255.255.0 init
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 91882 - [meta sequenceId="3"] SIGTERM[hard,] received, process exiting
<28>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27558 - [meta sequenceId="4"] DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27558 - [meta sequenceId="5"] OpenVPN 2.5.7 amd64-portbld-freebsd13.0 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Jul  6 2022
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27558 - [meta sequenceId="6"] library versions: OpenSSL 1.1.1q  5 Jul 2022, LZO 2.10
<28>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="7"] NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="8"] TUN/TAP device ovpns1 exists previously, keep at program end
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="9"] TUN/TAP device /dev/tun1 opened
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="10"] /sbin/ifconfig ovpns1 10.79.0.1 10.79.0.2 mtu 1500 netmask 255.255.255.0 up
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="11"] /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpns1 1500 1621 10.79.0.1 255.255.255.0 init
<28>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="12"] Could not determine IPv4/IPv6 protocol. Using AF_INET6
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="13"] setsockopt(IPV6_V6ONLY=0)
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="14"] UDPv6 link local (bound): [AF_INET6][undef]:1179
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="15"] UDPv6 link remote: [AF_UNSPEC]
<29>1 2023-10-24T19:26:40-07:00 OPNsense.avril openvpn 27799 - [meta sequenceId="16"] Initialization Sequence Completed

尝试连接时没有日志消息 - 这些消息是在服务启动时记录的，之后尽管重复尝试连接，但不会记录任何其他消息。

我确实注意到Could not determine IPv4/IPv6 protocol. Using AF_INET6这看起来像是一个错误，尽管这个评论表明它不是。无论如何，我添加proto udp4到服务器配置并重新启动服务器，连接尝试仍然以同样的方式失败。

客户

[Oct 24, 2023, 19:33:47] OpenVPN core 3.6.7 mac x86_64 64-bit built on Nov 28 2022 04:35:53
⏎[Oct 24, 2023, 19:33:47] Frame=512/2048/512 mssfix-ctrl=1250
⏎[Oct 24, 2023, 19:33:47] UNUSED OPTIONS
1 [persist-tun]
2 [persist-key]
6 [resolv-retry] [infinite]
8 [lport] [0]
⏎[Oct 24, 2023, 19:33:47] EVENT: RESOLVE ⏎[Oct 24, 2023, 19:33:47] Contacting 23.93.75.229:1179 via UDP
⏎[Oct 24, 2023, 19:33:47] EVENT: WAIT ⏎[Oct 24, 2023, 19:33:47] UnixCommandAgent: transmitting bypass route to /var/run/agent_ovpnconnect.sock
{
        "host" : "23.93.75.229",
        "ipv6" : false,
        "pid" : 87514
}

⏎[Oct 24, 2023, 19:33:47] Connecting to [vpn.scubbo.org]:1179 (23.93.75.229) via UDPv4
⏎[Oct 24, 2023, 19:33:57] EVENT: CONNECTION_TIMEOUT  BYTES_OUT : 860
 PACKETS_OUT : 10
 CONNECTION_TIMEOUT : 1
⏎[Oct 24, 2023, 19:33:57] EVENT: DISCONNECTED ⏎[Oct 24, 2023, 19:33:59] Raw stats on disconnect:
 BYTES_OUT : 860
 PACKETS_OUT : 10
 CONNECTION_TIMEOUT : 1

⏎[Oct 24, 2023, 19:33:59] Performance stats on disconnect:
  CPU usage (microseconds): 39543785
  Network bytes per CPU second: 21
  Tunnel bytes per CPU second: 0

调试步骤

您的域名/IP 地址正确吗？

curl ifconfig.io是：路由器的响应与nslookup vpn.scubbo.org客户端的结果匹配。

您的防火墙规则设置正确吗？

我想是这样？我按照指南中的说明进行操作。无论如何，OpnSense 中的“防火墙 > 日志文件 > 实时视图”，过滤为“操作 = 阻止”，不会显示与连接尝试相关的结果。

我有一个家庭实验室设置，其中包含一些使用Avahi进行服务公告的树莓派——我可以通过 ssh 连接到它们，ssh pi@<hostname>.local而不必记住单独的 IP 地址。特别要注意，这不仅适用于我的笔记本电脑，也适用于 Pis 本身——也就是说，如果我通过 ssh 访问pi1，我可以成功ssh [email protected]。

我最近设置了一个运行在其中一个 Pi 上的Wireguard VPN，即使我不在家也可以访问我的家庭实验室。在我的笔记本电脑上使用此 VPN 时，我可以使用 ssh 连接到 pi ssh pi@<LAN-IP-address-of-pi>，但不能使用ssh pi@<hostname>.local.

这是为什么？我（公认的基本）对 VPN 的理解是，它们通过使您的连接表现得“好像”它源自 VPN 服务器来运行。如果是这种情况，为什么我会通过 VPN 获得与 VPN 服务器本身不同的 ssh 行为？或者，如果不是这样，那它有什么不正确的？

我的直觉是 DNS 解析不通过 VPN - 当我比较dig pi.local我的 VPN 笔记本电脑和 VPN 服务器的结果时，我得到了不同的结果（不共享整个有效负载，因为我不太了解网络和安全性，以了解什么是安全的，什么不是）：

• 从我的笔记本电脑中，;SERVER行引用8.8.8.8（我相信它是谷歌拥有的标准 DNS 服务器，它会正确地“不知道”我的 Pi 在 LAN 上的 IP 地址）
• 从 VPN 服务器，该;SERVER行引用了我的 LAN 的pi-hole的 LAN IP 地址

然而，有趣的是，这两个响应实际上都没有包含一个ANSWER部分或 Pi 的实际 IP 地址。

（重定向自networkengineering.stackexchange）

我的网络上有两个 Raspberry Pi - 我们称它们为 Pi 和 Rho。

我正在尝试通过它们之间的 ssh 隧道设置端口转发，以便应用程序可以连接到 Rho 上的端口并从侦听 Pi 上的端口的服务器获取结果（我的最终目标实际上是设置端口转发这样不同网络上的主机可以通过与 Rho 的 ssh 连接访问 Pi 上的 Samba 共享，而无需我完全打开通往 Pi 的防火墙端口）。

我的 LAN 中的 Pi 的 IP 是192.168.42.69，而 Rho 的192.168.42.112IP 是 - 这些是我从本地网络 ssh 以连接到它们的 IP。

为了对此进行测试，我SimpleHTTPServer在 Pi 的 8000 端口上启动了一个最小的 Python 服务器（带有 ），并sudo ssh -L 140:localhost:8000 [email protected] -N在 Rho 上运行。当我curl localhost:140或curl 127.0.0.1:140在 Rho 上时，我得到了我期望的响应。但是，当我curl 192.168.42.112:140在 Rho 上时，连接被拒绝；下面的详细输出：

$ curl -vvv 192.168.42.112:140
* Expire in 0 ms for 6 (transfer 0x2cd880)
*   Trying 192.168.42.112...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x2cd880)
* connect to 192.168.42.112 port 140 failed: Connection refused
* Failed to connect to 192.168.42.112 port 140: Connection refused
* Closing connection 0
curl: (7) Failed to connect to 192.168.42.112 port 140: Connection refused

这种差异的原因是什么？

检查了这个其他问题后，我确认HTTP_PROXYRho 上没有设置环境变量，也没有NO_PROXY。