ощущение, что в openvpn какие то ограничения типа script-security, чтобы не запускали лишнего

а если установить руками переменные и запустить руками скрпит client-connect.sh с параметром -х (для отладки)

если просто скрипт пускать, то вот что будет

[root@holod server]# ./client-connect.sh 
Client  have connected to : via  and received local ip .
Authorized on account steellocalbot...
Message is send to chat OldCity #-190694387!
Notification send

не проставляет переменные, но и от рута, и от ограниченных пользователей пускается и пишет оповещалки в телеграм

тут сложность в том, похоже, что или в самой openvpn ограничение на запуск команд, или в селинуксе (но это я починил вродебы)

таким модулем

module openvpn-firewalld 1.0;

require {
       type bin_t;
       type openvpn_t;
       type firewalld_t;
       class dbus send_msg;
       class file execmod;
}

#============= openvpn_t ==============
allow openvpn_t bin_t:file execmod;
allow openvpn_t firewalld_t:dbus send_msg;

script-security

включен ?

на сервере

в конфиге сервера
script-security 2
setenv PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

# handle client connecting
client-connect /etc/openvpn/server/client-connect.sh
client-disconnect /etc/openvpn/server/client-disconnect.sh

похоже должен разрешать такое

попробуй указать уровень логирования debug и посмотри на логи openvpn

я перегенирорвал список разрешений для selniux

module openvpn2 1.0;

require {
        type bin_t;
        type firewalld_t;
        type openvpn_t;
        class dbus send_msg;
        class file execmod;
        class process execmem;
}

#============= firewalld_t ==============
allow firewalld_t openvpn_t:dbus send_msg;

#============= openvpn_t ==============

#!!!! This avc is allowed in the current policy
allow openvpn_t bin_t:file execmod;

#!!!! This avc is allowed in the current policy
allow openvpn_t firewalld_t:dbus send_msg;
allow openvpn_t self:process execmem;

это надо добавить - allow openvpn_t self:process execmem;

ща попробую, потом если не заработает, попробую с debug логами сделать

о!!! новое уже чтото

Jan 15 18:05:46 holod openvpn[765865]: samsung.vodolaz095.life/193.*****:40558 MULTI_sva: pool returned IPv4=10.4.0.2, IPv6=(Not enabled)
Jan 15 18:05:46 holod openvpn[765865]: Client samsung.vodolaz095.life have connected to 1194:udp via 193.**** and received local ip 10.4.0.2.
Jan 15 18:05:47 holod openvpn[765865]: Error: open /etc/telegramnotify.json: permission denied - while reading config from /etc/telegramnotify.json
Jan 15 18:05:47 holod openvpn[765865]: samsung.vodolaz095.life/193.*****:40558 WARNING: Failed running command (--client-connect): external program exited with error stat

то есть прога telegramnotify уже пускается, но не может прочитать конфиг

похоже тут селинукс уже надо настраивать, это для каждой системы похоже индивидуально

командами типа такой

cat /var/log/audit/audit.log | grep vpn | audit2allow -M openvpn3

в общем, были проблемы с селинуксом.

скрипты типа таких работают

#!/usr/bin/env bash

set -e
# Good read https://unix.stackexchange.com/a/469005/229266

/usr/bin/telegramnotify send "Client $X509_0_CN have connected to $local_port_1:$proto_1 via $trusted_ip and received local ip $ifconfig_pool_remote_ip." oldcity

exit 0

при script-security 2

ребя, jmeter gui не рендерится почему-то 😱