OpenVPN mit TUN/TAP in OpenVZ Instanz

Um in einer OpenVZ Instanz das TUN/TAP Gerät /dev/net/tun verwenden zu können sind einige kurze Schritte notwendig. Da die Hersteller-Dokumentation leider nicht fehlerfrei zum gewünschten Ergebnis führt, hier die Zusammenfassung.

Zuerst wird die eindeutige Identifikatiosnummer der OpenVZ Instanz bestimmt. Dann kann wie folgt auf dem Host fortgefahren werden. Um die Befehle erfolgreich absetzen zu können, muss die VM teilweise gestartet und teilweise gestoppt werden.

# Identifikationsnummer, zum Beispiel 106
VZID=106
vzctl stop $VZID
vzctl set $VZID --devnodes net/tun:rw --save
vzctl set $VZID --devices c:10:200:rw --save
vzctl set $VZID --capability net_admin:on --save
vzctl start $VZID
vzctl exec $VZID mkdir -p /dev/net
vzctl exec $VZID mknod /dev/net/tun c 10 200
vzctl exec $VZID chmod 600 /dev/net/tun

Die Fähigkeit net_admin kann zu einer reduzierten Abschottung zwischen Host und Gast führen. Eine Schwachstelle gab es bereits (2).