<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">2014-06-23 11:31 GMT+04:00 Rene C. <span dir="ltr">&lt;<a href="mailto:openvz@dokbua.com" target="_blank">openvz@dokbua.com</a>&gt;</span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Sorry, still stuck:<br></blockquote><div><br></div><div>Did you try OpenVPN configuration that I&#39;ve suggested?</div><div><br></div><div>About IPSEC: not sure, check your syslog logs might give you some tips. </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>
[root@server14 ~]# uname -a<br>
Linux server14.-sanitized- 2.6.32-042stab090.4 #1 SMP Mon Jun 16<br>
15:13:38 MSK 2014 x86_64 x86_64 x86_64 GNU/Linux<br>
[root@server14 ~]# for x in tun ppp_async pppol2tp<br>
xfrm4_mode_transport xfrm4_mode_tunnel xfrm_ipcomp esp4; do lsmod |<br>
grep $x; done<br>
xfrm4_mode_tunnel       2019  0<br>
tun                    19157  0<br>
<div class="">ppp_async               7874  0<br>
ppp_generic            25400  3 pppol2tp,pppox,ppp_async<br>
</div>crc_ccitt               1733  1 ppp_async<br>
<div class="">pppol2tp               22749  0<br>
pppox                   2712  1 pppol2tp<br>
</div>ppp_generic            25400  3 pppol2tp,pppox,ppp_async<br>
xfrm4_mode_transport     1465  0<br>
xfrm4_mode_tunnel       2019  0<br>
xfrm_ipcomp             4626  0<br>
esp4                    5406  0<br>
[root@server14 ~]# vzctl enter 1418<br>
entered into CT 1418<br>
<div class="">[root@vps1418 /]# ipsec verify<br>
Checking your system to see if IPsec got installed and started correctly:<br>
Version check and ipsec on-path                              [OK]<br>
Linux Openswan U2.6.32/K(no kernel code presently loaded)<br>
Checking for IPsec support in kernel                         [FAILED]<br>
 SAref kernel support                                        [N/A]<br>
Checking that pluto is running                               [OK]<br>
 Pluto listening for IKE on udp 500                          [FAILED]<br>
 Pluto listening for NAT-T on udp 4500                       [FAILED]<br>
Checking for &#39;ip&#39; command                                    [OK]<br>
Checking /bin/sh is not /bin/dash                            [OK]<br>
Checking for &#39;iptables&#39; command                              [OK]<br>
Opportunistic Encryption Support                             [DISABLED]<br>
<br>
</div>What am I missing?<br>
<div class="HOEnZb"><div class="h5"><br>
On Mon, Jun 23, 2014 at 1:12 AM, Rene C. &lt;<a href="mailto:openvz@dokbua.com">openvz@dokbua.com</a>&gt; wrote:<br>
&gt; Yep, rebooted the container.<br>
&gt;<br>
&gt; Here&#39;s the modules present:<br>
&gt;<br>
&gt; [root@server18 ~]# lsmod<br>
&gt; Module                  Size  Used by<br>
&gt; esp4                    5406  0<br>
&gt; xfrm_ipcomp             4626  0<br>
&gt; xfrm4_mode_tunnel       2019  0<br>
&gt; pppol2tp               22749  0<br>
&gt; pppox                   2712  1 pppol2tp<br>
&gt; ppp_async               7874  0<br>
&gt; ppp_generic            25400  3 pppol2tp,pppox,ppp_async<br>
&gt; slhc                    5821  1 ppp_generic<br>
&gt; crc_ccitt               1733  1 ppp_async<br>
&gt; vzethdev                8221  0<br>
&gt; vznetdev               18952  10<br>
&gt; pio_nfs                17576  0<br>
&gt; pio_direct             28261  9<br>
&gt; pfmt_raw                3213  0<br>
&gt; pfmt_ploop1             6320  9<br>
&gt; ploop                 116096  23 pio_nfs,pio_direct,pfmt_raw,pfmt_ploop1<br>
&gt; simfs                   4448  0<br>
&gt; vzrst                 196693  0<br>
&gt; vzcpt                 148911  1 vzrst<br>
&gt; nfs                   442438  3 pio_nfs,vzrst,vzcpt<br>
&gt; lockd                  77189  2 vzrst,nfs<br>
&gt; fscache                55684  1 nfs<br>
&gt; auth_rpcgss            44949  1 nfs<br>
&gt; nfs_acl                 2663  1 nfs<br>
&gt; sunrpc                268245  6 pio_nfs,nfs,lockd,auth_rpcgss,nfs_acl<br>
&gt; vziolimit               3719  0<br>
&gt; vzmon                  24462  8 vznetdev,vzrst,vzcpt<br>
&gt; ip6table_mangle         3669  0<br>
&gt; nf_nat_ftp              3523  0<br>
&gt; nf_conntrack_ftp       12929  1 nf_nat_ftp<br>
&gt; iptable_nat             6302  1<br>
&gt; nf_nat                 23213  3 vzrst,nf_nat_ftp,iptable_nat<br>
&gt; xt_length               1338  0<br>
&gt; xt_hl                   1547  0<br>
&gt; xt_tcpmss               1623  0<br>
&gt; xt_TCPMSS               3461  1<br>
&gt; iptable_mangle          3493  0<br>
&gt; xt_multiport            2716  0<br>
&gt; xt_limit                2134  0<br>
&gt; nf_conntrack_ipv4       9946  5 iptable_nat,nf_nat<br>
&gt; nf_defrag_ipv4          1531  1 nf_conntrack_ipv4<br>
&gt; ipt_LOG                 6405  0<br>
&gt; xt_DSCP                 2849  0<br>
&gt; xt_dscp                 2073  0<br>
&gt; ipt_REJECT              2399  12<br>
&gt; tun                    19157  0<br>
&gt; xt_owner                2258  0<br>
&gt; vzdquota               55339  0 [permanent]<br>
&gt; vzevent                 2179  1<br>
&gt; vzdev                   2733  5 vzethdev,vznetdev,vziolimit,vzmon,vzdquota<br>
&gt; iptable_filter          2937  5<br>
&gt; ip_tables              18119  3 iptable_nat,iptable_mangle,iptable_filter<br>
&gt; ip6t_REJECT             4711  2<br>
&gt; nf_conntrack_ipv6       8353  2<br>
&gt; nf_defrag_ipv6         11188  1 nf_conntrack_ipv6<br>
&gt; xt_state                1508  4<br>
&gt; nf_conntrack           80313  9<br>
&gt; vzrst,vzcpt,nf_nat_ftp,nf_conntrack_ftp,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state<br>
&gt; ip6table_filter         3033  1<br>
&gt; ip6_tables             18988  2 ip6table_mangle,ip6table_filter<br>
&gt; ipv6                  322874  1627<br>
&gt; vzrst,ip6table_mangle,ip6t_REJECT,nf_conntrack_ipv6,nf_defrag_ipv6<br>
&gt; iTCO_wdt                7147  0<br>
&gt; iTCO_vendor_support     3072  1 iTCO_wdt<br>
&gt; i2c_i801               11375  0<br>
&gt; i2c_core               31084  1 i2c_i801<br>
&gt; sg                     29446  0<br>
&gt; lpc_ich                12819  0<br>
&gt; mfd_core                1911  1 lpc_ich<br>
&gt; e1000e                267426  0<br>
&gt; ptp                     9614  1 e1000e<br>
&gt; pps_core               11490  1 ptp<br>
&gt; ext4                  419456  11<br>
&gt; jbd2                   93779  1 ext4<br>
&gt; mbcache                 8209  1 ext4<br>
&gt; sd_mod                 39005  6<br>
&gt; crc_t10dif              1557  1 sd_mod<br>
&gt; ahci                   42263  4<br>
&gt; video                  20978  0<br>
&gt; output                  2425  1 video<br>
&gt; dm_mirror              14432  0<br>
&gt; dm_region_hash         12101  1 dm_mirror<br>
&gt; dm_log                  9946  2 dm_mirror,dm_region_hash<br>
&gt; dm_mod                 84369  19 dm_mirror,dm_log<br>
&gt;<br>
&gt; On Mon, Jun 23, 2014 at 12:52 AM, Pavel Odintsov<br>
&gt; &lt;<a href="mailto:pavel.odintsov@gmail.com">pavel.odintsov@gmail.com</a>&gt; wrote:<br>
&gt;&gt; Hello!<br>
&gt;&gt;<br>
&gt;&gt; IPsec should work from 84.8 kernel according to<br>
&gt;&gt; <a href="https://openvz.org/IPsec" target="_blank">https://openvz.org/IPsec</a> but I found explicit reference about IPsec<br>
&gt;&gt; only in 84.10: <a href="http://openvz.org/Download/kernel/rhel6-testing/042stab084.10" target="_blank">http://openvz.org/Download/kernel/rhel6-testing/042stab084.10</a><br>
&gt;&gt;<br>
&gt;&gt; Did you restart CT after loading kernel modules for l2tp?<br>
&gt;&gt;<br>
&gt;&gt; On Sun, Jun 22, 2014 at 7:05 PM, Rene C. &lt;<a href="mailto:openvz@dokbua.com">openvz@dokbua.com</a>&gt; wrote:<br>
&gt;&gt;&gt; Ok I gave your suggestion a shot, using your link through Google<br>
&gt;&gt;&gt; translate and <a href="http://www.maxwhale.com/how-to-install-l2tp-vpn-on-centos/" target="_blank">http://www.maxwhale.com/how-to-install-l2tp-vpn-on-centos/</a><br>
&gt;&gt;&gt; for comparison.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Everything seems to go well until the &#39;ipsec verify&#39; part when it says:<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; [root@vps1418 /]# ipsec verify<br>
&gt;&gt;&gt; Checking your system to see if IPsec got installed and started correctly:<br>
&gt;&gt;&gt; Version check and ipsec on-path                             [OK]<br>
&gt;&gt;&gt; Linux Openswan U2.6.32/K(no kernel code presently loaded)<br>
&gt;&gt;&gt; Checking for IPsec support in kernel                         [FAILED]<br>
&gt;&gt;&gt;  SAref kernel support                                       [N/A]<br>
&gt;&gt;&gt; Checking that pluto is running                               [OK]<br>
&gt;&gt;&gt;  Pluto listening for IKE on udp 500                         [FAILED]<br>
&gt;&gt;&gt;  Pluto listening for NAT-T on udp 4500                       [FAILED]<br>
&gt;&gt;&gt; Checking for &#39;ip&#39; command                                   [OK]<br>
&gt;&gt;&gt; Checking /bin/sh is not /bin/dash                           [OK]<br>
&gt;&gt;&gt; Checking for &#39;iptables&#39; command                             [OK]<br>
&gt;&gt;&gt; Opportunistic Encryption Support                             [DISABLED]<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; I think the biggest problem here is the &quot;Checking for IPsec support in kernel&quot;?<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; I use 2.6.32-042stab085.20 - I know it&#39;s not the latest kernel, but<br>
&gt;&gt;&gt; supposedly ipsec support should be in kernels after stab084?<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; On Sat, Jun 21, 2014 at 7:28 PM, Pavel Odintsov<br>
&gt;&gt;&gt; &lt;<a href="mailto:pavel.odintsov@gmail.com">pavel.odintsov@gmail.com</a>&gt; wrote:<br>
&gt;&gt;&gt;&gt; Hello!<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; In modern version of OpenVZ you can use l2tp with ipsec support<br>
&gt;&gt;&gt;&gt; instead OpenVPN: <a href="http://habrahabr.ru/company/FastVPS/blog/205162/" target="_blank">http://habrahabr.ru/company/FastVPS/blog/205162/</a><br>
&gt;&gt;&gt;&gt; (sorry this manual in russian language but it&#39;s very simple). It&#39;s<br>
&gt;&gt;&gt;&gt; very useable because you do not need any special clients on Windows<br>
&gt;&gt;&gt;&gt; hosts. Maybe you can try this?<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; On Sat, Jun 21, 2014 at 2:11 PM, Benjamin Henrion &lt;<a href="mailto:zoobab@gmail.com">zoobab@gmail.com</a>&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt; On Sat, Jun 21, 2014 at 8:47 AM, Rene C. &lt;<a href="mailto:openvz@dokbua.com">openvz@dokbua.com</a>&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt;&gt; I got the openvpn part itself down, no problem, but getting it to work<br>
&gt;&gt;&gt;&gt;&gt;&gt; in a container is a lot of hassle. Many pages, but most are outdated<br>
&gt;&gt;&gt;&gt;&gt;&gt; and things keeps changing. Anyone know how to get it to work TODAY?<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; The server is an otherwise normal server with public ip addresses and<br>
&gt;&gt;&gt;&gt;&gt;&gt; works with cpanel, no problem that far. The problem is getting an<br>
&gt;&gt;&gt;&gt;&gt;&gt; openvpn service to work in it.<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; I&#39;ve already added the tun device, and I can connect to the server<br>
&gt;&gt;&gt;&gt;&gt;&gt; with the openvpn client, just can&#39;t continue from there, so some<br>
&gt;&gt;&gt;&gt;&gt;&gt; routing is missing.<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; I&#39;ve followed the general routing instructions but because openvz<br>
&gt;&gt;&gt;&gt;&gt;&gt; doesn&#39;t support MASQ it doesn&#39;t work.<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; - which modules to insmod on the hwnode<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; Just make sure &quot;tun&quot; is present in lsmod.<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; - which modules to add into /etc/vz/vz.conf<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; The same. &quot;tun&quot; should be part of the list of modules in vz.conf, so<br>
&gt;&gt;&gt;&gt;&gt; it gets loaded at vz start.<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; - which modules to add into /etc/vz/&lt;ct&gt;.conf<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; And the for the CTID you want to run openvpn access in:<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; <a href="https://openvz.org/VPN_via_the_TUN/TAP_device#Granting_container_an_access_to_TUN.2FTAP" target="_blank">https://openvz.org/VPN_via_the_TUN/TAP_device#Granting_container_an_access_to_TUN.2FTAP</a><br>

&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; Can you provide openvpn-client debug messages?<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; --<br>
&gt;&gt;&gt;&gt;&gt; Benjamin Henrion &lt;bhenrion at <a href="http://ffii.org" target="_blank">ffii.org</a>&gt;<br>
&gt;&gt;&gt;&gt;&gt; FFII Brussels - +32-484-566109 - +32-2-4148403<br>
&gt;&gt;&gt;&gt;&gt; &quot;In July 2005, after several failed attempts to legalise software<br>
&gt;&gt;&gt;&gt;&gt; patents in Europe, the patent establishment changed its strategy.<br>
&gt;&gt;&gt;&gt;&gt; Instead of explicitly seeking to sanction the patentability of<br>
&gt;&gt;&gt;&gt;&gt; software, they are now seeking to create a central European patent<br>
&gt;&gt;&gt;&gt;&gt; court, which would establish and enforce patentability rules in their<br>
&gt;&gt;&gt;&gt;&gt; favor, without any possibility of correction by competing courts or<br>
&gt;&gt;&gt;&gt;&gt; democratically elected legislators.&quot;<br>
&gt;&gt;&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt;&gt;&gt; Users mailing list<br>
&gt;&gt;&gt;&gt;&gt; <a href="mailto:Users@openvz.org">Users@openvz.org</a><br>
&gt;&gt;&gt;&gt;&gt; <a href="https://lists.openvz.org/mailman/listinfo/users" target="_blank">https://lists.openvz.org/mailman/listinfo/users</a><br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; --<br>
&gt;&gt;&gt;&gt; Sincerely yours, Pavel Odintsov<br>
&gt;&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt;&gt; Users mailing list<br>
&gt;&gt;&gt;&gt; <a href="mailto:Users@openvz.org">Users@openvz.org</a><br>
&gt;&gt;&gt;&gt; <a href="https://lists.openvz.org/mailman/listinfo/users" target="_blank">https://lists.openvz.org/mailman/listinfo/users</a><br>
&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt; Users mailing list<br>
&gt;&gt;&gt; <a href="mailto:Users@openvz.org">Users@openvz.org</a><br>
&gt;&gt;&gt; <a href="https://lists.openvz.org/mailman/listinfo/users" target="_blank">https://lists.openvz.org/mailman/listinfo/users</a><br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; --<br>
&gt;&gt; Sincerely yours, Pavel Odintsov<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; Users mailing list<br>
&gt;&gt; <a href="mailto:Users@openvz.org">Users@openvz.org</a><br>
&gt;&gt; <a href="https://lists.openvz.org/mailman/listinfo/users" target="_blank">https://lists.openvz.org/mailman/listinfo/users</a><br>
_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@openvz.org">Users@openvz.org</a><br>
<a href="https://lists.openvz.org/mailman/listinfo/users" target="_blank">https://lists.openvz.org/mailman/listinfo/users</a><br>
</div></div></blockquote></div><br></div></div>