Как восстановиться после удаления только ключа LUKS?
Действительно ли openvpn сервер является виртуальной машиной VMware на ESX/ESXi/VSphere сервере?
Если да, Вы, возможно, должны включить неразборчивый режим в vmswitch.
Проблема состоит в том, что VMware, виртуальный коммутатор ESX не "изучит" новый MAC-адрес по умолчанию, он просто, принимает MAC-адрес VM и ничто больше.
В режиме моста клиент MAC-адрес TAP используется в openvpn сети сервера и если vmswitch не будет установкой правильно, то это никогда не будет работать (tcpdump, покажет запрос ARP, но никакой ответ ARP для запросов vpn в eth0 сети. До tcpdump не показывают ответы ARP, прибывающие для запросов vpn, VMware vmswitch все еще не является правильно установкой (на некоторых установках, необходимо установить неразборчивое для включения на двух местах),
переключите неразборчивый режим следующим этот URL
Наконец, openvpn режим моста НЕ требуют, чтобы ip_forward, чтобы быть включили. правильно установка образует мост, openvpn требуют моста Linux (скажите что br0) с eth0 и tap0. ОБА, требуют, чтобы быть в неразборчивом режиме (обычно устанавливают eth0 на настройке сети машины и tap0 на up.sh сценарии). Если установка как это, vpn пакеты являются просто мостом, и Linux ip_forward никогда не называют.
Удаление последней кодовой фразы делает контейнер LUKS постоянно недоступным.
Это свойство, присущее конструкции LUKS. Каждый слот ключа содержит действительный ключ шифрования, обернутый ключом, полученным из ключевой фразы. Если не осталось слота, содержащего обернутый ключ, то копии ключа больше нет.
Боюсь, вам придется восстанавливать данные из резервной копии.
Как говорится в man-странице, игра окончена.
Удаление последней кодовой фразы делает контейнер LUKS навсегда недоступен.
То есть, если вы действительно удалили последний ключ. Показывает ли cryptsetup luksDump DISABLED для всех слотов ключей?
Обычно cryptsetup не позволяет этого сделать, или, по крайней мере, запрашивает подтверждение:
# cryptsetup luksRemoveKey foobar
Enter passphrase to be deleted:
WARNING!
========
This is the last keyslot. Device will become unusable after purging this key.
Are you sure? (Type uppercase yes): NO, ABSOLUTELY NOT OKAY!
Он делает это, если только не находится в пакетном режиме или не считывает кодовую фразу из трубки.
Лично я считаю, что это должно помешать вам даже тогда, в конце концов, если вы действительно хотите сделать его недоступным, вы можете использовать luksErase напрямую. Но, похоже, это не так работает.
Было бы по-другому, если бы у вас была резервная копия заголовка LUKS, или если бы контейнер LUKS был все еще открыт. Резервную копию заголовка LUKS вы можете просто восстановить или использовать с помощью luksOpen --header thebackup.header.
Для открытого контейнера LUKS можно получить мастер ключ с помощью dmsetup table - showkeys и построить из него новый заголовок LUKS, как показано в этом ответе (мастер ключ получается другим способом, но это та же самая концепция).