Centos 7 с SElinux: openvpn и DNS

Я пытаюсь использовать openvpn в качестве клиента на centos 7. Он работает нормально, но я не могу получить DNS с сервера. Как вы знаете, в новом Centos не существует resolvconf, поэтому стандартный скрипт update-resolv-conf не работает.

Я переписываю это немного:

#! / bin / bash # # Разбирает параметры DHCP из openvpn для обновления resolv.conF# Для использования сценариев set up и down в вашем openvpn *.conf:                                                                                  
# up /etc/openvpn/update-resolv-conF# down /etc/openvpn/update-resolv-conF# # Используемые фрагменты скрипта resolvconf Томаса Гуда # и Криса Хансона # Лицензированы по лицензии GNU GPL. Смотрите /usr/share/common-licenses/GPL.                                                                              
# 07/2013 colin@daedrum.net Фиксированное имя цели # 05/2006 chlauber@bnc.ch                                                                                                                       
#                                                                                                                                               
# Пример envs, установленный из openvpn:                                                                                                                
# foreign_option_1='dhcp-option DNS 193.43.27.132'                                                                                              
# foreign_option_2='dhcp-option DNS 193.43.27.133'                                                                                              
# foreign_option_3='dhcp-option DOMAIN be.bnc.ch'                                                                                               
# foreign_option_4='dhcp-option DOMAIN-SEARCH bnc.local'                                                                                        

set -e

## Возможно, вам придется установить здесь путь вручную, т.е.                                                                                           
# RESOLVCONF=/usr/bin/resolvconF#RESOLVCONF=$(который resolvconf)                                                                                                                 
#[ -x $RESOLVCONF ] || выход 0                                                                                                                   

#IPv4 ТОЛЬКО!                                                                                                                                     
NMCLI=/usr/bin/nmcli #$(который nmcli)                                                                                                            
SYSTEMCTL=/usr/bin/systemctl #$(который systemctl)                                                                                                

[ -x $NMCLI ] || выход 0
[ -x $SYSTEMCTL ] || exit 0

# тестовая версия для запуска из консоли active_con_dev=$($NMCLI -t -f NAME,DEVICE con show --active | grep "tun" | head -1)
# должно быть что-то вроде #active_con_dev=$($NMCLI -t -f NAME,DEVICE con show --active | grep "$dev" | head -1)                                                           
active_con=$(echo $active_con_dev | awk '{print $1}' FS=":")
active_dev=$(echo $active_con_dev | awk '{print $2}' FS=":")

dns_list_file=/etc/openvpn/dns_list

case $script_type in

up)
   # мы берем первое активное соединение и устройство (но не настраиваем устройства). Я не знаю ни NM может показать это или нет) для optionname в ${!foreign_option_*}; do
      option="${!optionname}"
      echo $option
      part1=$(echo "$option" | cut -d " " -f 1)
      if [ "$part1" == "dhcp-option" ]; тогда part2=$(echo "$option" | cut -d " " -f 2)
         part3=$(echo "$option" | cut -d " " -f 3)
         if [ "$part2" == "DNS" ]; затем IF_DNS_NAMESERVERS="$IF_DNS_NAMESERVERS $part3"
         fi
         if [[ "$part2" == "ДОМЕН" || "$part2" == "ПОИСК ДОМЕНА"]]; тогда IF_DNS_SEARCH = "$ IF_DNS_SEARCH $part3"
         fi
      fi
   done
   R="" для DS в $IF_DNS_SEARCH; выполнить #           R="${R} $DS"                                                                                                                  
            R="${R}$DS" для NS в $IF_DNS_NAMESERVERS; do
#           R="${R}nameserver $NS"                                                                                                              
            R="${R}$NS"
   done
   echo "$R" > "$dns_list_file"

   # только ipv4 # мы должны проверить существование DNS, но я тоже ленивый теперь $NMCLI con mod $active_con +ipv4.dns "$R"
   $SYSTEMCTL перезапустить NetworkManager
   #echo -n "$R" | $RESOLVCONF -p -a "${dev}"                                                                                                   
   #echo -n "$R" | $RESOLVCONF -a "${dev}.inet";;
down)
   dns_list=$(выводит "$dns_list_file")

   if [! -z "$dns_list" -a "$dns_list"!= " " ]; тогда # мы должны проверить существование этого днс, но мне сейчас лень $NMCLI con mod $active_con -ipv4.dns "$dns_list"
          $SYSTEMCTL restart NetworkManager
   fi

   #$RESOLVCONF -d "${dev}.inet";; ESAC

Я не уверен насчет поисковых серверов, но в случае с серверами имен это работает. Опять же, он должен быть протестирован с несколькими серверами (я этого не делал).

Таким образом, он может добавить DNS к вашему соединению. Но он не работает с SElinux при запуске из systemctl (systemctl start openvpn@config.service). Есть такие строки в /var/log/audit.log:

type = AVC msg = аудит (1414759817.198:2963): avc: отказано {выполнить} для pid=1827 comm="update-resolv-c" name="systemctl" dev="dm-1" ino=787169 \
scontext=system_u:system_r:openvpn_t:s0 tcontext=system_u:object_r:systemd_systemctl_exec_t:s0 tclass= файл

Я должен написать политику для SElinux. Хорошо, но есть ли более удобный для пользователя способ настройки DNS? Может быть, разработчики пакетов и разработчики RedHat/Centos подумали об openvpn DNS, но я не знаю об этом?