OpenVPN zakázaní přístupu

Lidi, neblázněte s firewallem. :)
OpenVPN má minimálně 2 možnosti jak řešit zakázání přístupu. První, permanentní je revokovat patřičný klientský certifikát (http://openvpn.net/howto.html#revoke). Pokud to provedete, daný certifikát bude už navždy neplatný a daný klient se již nikdy nepřipojí.

Druhá možnost je používat adresář ccd (http://openvpn.net/howto.html#policy), do kterého založíte pro certifikát, který chcete blokovat, soubor se stejným názvem jako je Common Name certifikátu a do souboru zapíšete direktivu "disable". Dokud ji nezakomentujete nebo nesmažete soubor, uživateli se nepodaří dokončit připojení k VPN.
Ccd se dá použít i k dalším účelům, tak se neděste toho, co vše se o něm v dokumentaci píše, jeho použití je ve skutečnosti docela jednoduché. :)

16.11.2006 08:38 sperl
Rozbalit Rozbalit vše Re: OpenVPN zakázaní přístupu

Doporucuji take shlednout soubor: /usr/share/doc/openvpn-2.0.7/sample-scripts/verify-cn

Principem je seznam certifikatu v souboru, opravnenych se pripojit. Tuto metodu pouzivam k plne spokojenosti.

16.11.2006 08:59 Tomas | skóre: 3
Rozbalit Rozbalit vše Re: OpenVPN zakázaní přístupu

Diky moc, tohle řeší můj problém.

16.11.2006 10:50 Tomas | skóre: 3
Rozbalit Rozbalit vše Re: OpenVPN zakázaní přístupu

jak to přesně funguje, když dam do konfigu to tls-verify tak to ověří jen jednoho a jak ověřím ty další? Když to tam napíši vícekrát tak to ověří jen toho posledního.

16.11.2006 12:31 sperl
Rozbalit Rozbalit vše Re: OpenVPN zakázaní přístupu

v /etc/openvpn/mojesit.conf je:

tls-verify /etc/openvpn/tls-verify.pl

v tls-verify.pl je mimo jine:

$soubor="/etc/openvpn/access";
if ($x509 =~ /\/CN=([^\/]+)/) {
        # Accept the connection if the X509 common name
        # string matches the passed cn argument.
        $klic = $1;
                if (open(ALLOW, $soubor)){
                        # success
                        while ($radek = <ALLOW>){
                                chomp $radek;
                                if ($klic =~ /$radek/){
                                        if (length($radek) !=0){
                                                @args = ("logger -p local6.warn -t OpenVPN 'Login success: '.$klic");
                                                system(@args) == 0 or die "Unable to use a system LOGGER, system @args failed: $?";
                                                close(ALLOW);
                                                exit 0;
                                        }
                                }
                        }
                        close(ALLOW);
                        @args = ("logger -p local6.warn -t OpenVPN 'Login Denied: '.$klic");
                        system(@args) == 0 or die "Unable to use a system LOGGER, system @args failed: $?";
                        exit 1;
                } else {
                        # fail - unable to open ACCESS file
                        @args = ("logger -p local6.warn -t OpenVPN 'Unable to open ACCESS file: '.$klic");
                        system(@args) == 0 or die "Unable to use a system LOGGER, system @args failed: $?";
                        exit 1;
                }
                exit 1;

           #exit 0;
    }

neni to buhvico - urcite nejaky zdatny Perlista by to jiste vyPerlil lepe (viz OPEN atp), ale delal jsem to pred casem opravdu ve spechu, a nedostal jsem se k vylepseni, takze ctenar promine :) je vhodne upravit logovani, pripadne si logovat do made home logu.

16.11.2006 08:49 tezkatlipoka | skóre: 35
Rozbalit Rozbalit vše Re: OpenVPN zakázaní přístupu

jo, ale na me to dela pocit ze ma jeden certifikat pro vice uzivatelu. A potom zakazat jednohu uzivatele z 10 kteri maji stejny certifikat je nemozne.

Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.

16.11.2006 09:00 Tomas | skóre: 3
Rozbalit Rozbalit vše Re: OpenVPN zakázaní přístupu

asi jsem se špatně vyjádřil, každý má svůj vlastní certifikát

Dotaz: OpenVPN zakázaní přístupu

Odpovědi