Титла: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: Breakfist в Apr 20, 2012, 18:05 Здравейте,
От няколко дни си блъскам главата с OpenVPN, четох howto-то на сайта им десетки пъти, но въпреки това не можах да го настроя по начина, по който искам.. Опитвам се да направя: 1. За вход да се използват име и парола (с проверка чрез php script, четох че има такава възможност), без да е необходим сертификат. 2. Всеки потребител да има собствен, статичен IP адрес. Каквото и да опитах, все не се получаваше.. OS: Debian 6.0.4 OpenVPN: 2.1.3 server.conf: Код: ################################################# Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: ivo_18 в Apr 20, 2012, 18:20 Здрасти,
Прегледай с търсачката на форума каква информация има за openVPN Hope this help. : ) Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: laskov в Apr 20, 2012, 18:59 Няма да намери нищо - такъв случай досега не е обсъждан.
Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: laskov в Apr 20, 2012, 21:17 Мисля, че тук не е подходящо използването на OpenVPN. Защо не ползваш PPPoE или PPTP?
Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: Gogo_SZ в Apr 21, 2012, 00:51 Опитвам се да направя: Еднозначно става дума за нещо друго но НЕ и за OpenVPN - при него СМИСЪЛА е да се използват сертификати. (не че не може да се чупят орехи с компютър, но......) Трябва ти AccessServer. Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: laskov в Apr 21, 2012, 09:02 Ако сертификатът е направен така, че да иска парола, да, може да се направи така, че при свързването да иска парола. Това с фиксираните IP-та, не се сещам засега.
Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: plamen_f в Apr 21, 2012, 22:26 За потребителско име - не знам да има начин - правилно са ти казали по-горе.
За IP адресите - погледни тук: http://forums.openvpn.net/topic8268.html Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: Breakfist в Apr 22, 2012, 11:39 Мисля, че тук не е подходящо използването на OpenVPN. Защо не ползваш PPPoE или PPTP?С PPTP опитах преди да инсталирам въобще OpenVPN. Успях да постигна точно това, което искам - вход с име и парола и статичен IP за всеки потребител. За съжаление обаче комуникацията с него не вървеше гладко и при повечко свързани потребители почваше да дава грешка. В общи линии, можех да се свържа с VPN само когато на него си му е кеф, не постоянно.. И за съжаление не можах да открия източника на проблема, за това вдигнах ръце от него и потърсих алтернатива. Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: borovaka в Apr 22, 2012, 14:15 @Breakfist Защо не го вържеш с LDAP http://code.google.com/p/openvpn-auth-ldap/ ($2)
Вярно е, че ще ти се наложи да настройваш и LDAP ама мисля, че точно този ефект се опитваш да постигнеш. Тук като гледам го има описано и стъпка по стъпка: http://www.howtoforge.com/setting-up-an-openvpn-server-with-authentication-against-openldap-on-ubuntu-10.04-lts ($2) Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: XsPiDeR в Apr 22, 2012, 22:56 Мога да ти помогна със статичните IP адреси => http://gerov.eu/?p=48
Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: Breakfist в Apr 23, 2012, 00:05 Всъщност се оправих сам и с двете точки, благодаря все пак на всички отговорили.
Проблема в момента е друг - от компютъра в къщи се свързвам без проблем. Опитах с различни usernames, различни IP - всичко изглежда супер, но за съжаление изглежда може да се свърже само един потребител едновременно. Опитвам от друга машина и дава грешка. Disconnect-вам се от моята, опитвам пак от другата - всичко е супер. И обратното. Сложил съм max-clients 100 в конфигурацията на OpenVPN. На какво би могло да се дължи? Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: plamen_f в Apr 23, 2012, 07:56 Както ти казаха по-горе OpenVPN се базира на цифрови сертификати, издадени за всеки един потребител. До колкото разбрах последно не можеш да влезеш с един потребител едновременно повече от 1 път? Замисли се - що за сертификат (ключ) ще е това и каква е тази система, която позволява отключване от > 1 място едновременно с един ключ? Принципен е въпроса и правилно си забелязал - не може!
И все пак като си разчоплил проблема - сподели с нас поне конфигурационните си файлове - все може нещо ново и ние да научим! Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: Breakfist в Apr 23, 2012, 09:04 Както ти казаха по-горе OpenVPN се базира на цифрови сертификати, издадени за всеки един потребител. До колкото разбрах последно не можеш да влезеш с един потребител едновременно повече от 1 път? Замисли се - що за сертификат (ключ) ще е това и каква е тази система, която позволява отключване от > 1 място едновременно с един ключ? Принципен е въпроса и правилно си забелязал - не може! Не си ме разбрал. Исках да кажа, че не мога да имам 2 активни връзки към сървъра, не че не мога да вляза с един потребител 2 пъти. С 2 различни потребителя с 2 различни IP-та от 2 различни машини - не става, трябва единия да се "разкачи", за да може да се свърже другия потребител. А решенията на проблемите.. ами, хм.. :) 1. OpenVPN-а не можеше да изпълни php script-а. Проблема беше в "script-security 3" в config файла. Промених го на "script-security 3 system" и започна да го изпълнява, от там вече със собствен script си оправих user и pass оторизацията. А с "client-cert-not-required" в config-а елиминирах нуждата от client-side сертификат. 2. Конфигурацията за статични IP-та е по начина, по който е описана в статията дадена от XsPiDeR. Та в момента остава само проблема, който описах в началото на това мнение - не можа да свържа втори потребител към VPN-а. Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: Gogo_SZ в Apr 26, 2012, 00:00 Опитвам се да направя: Пак го потретвам - OpenVPN НЕ е за тая работа! Да обясня: OpenVPN e SSL базиран система при която името на потребителя се съдържа в сертификата му, а паролата е самият сертификат. С каквито и да е скриптове или фокуси можеш само да влошиш защитата. http://openvpn.net/index.php/open-source/339-why-ssl-vpn.html Смисъла на OpenVPN е да ЗАБРАНИШ на потребителя да се включва от чуждо име и да му делегираш само тия права които трябва. Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: plamen_f в Apr 26, 2012, 08:34 Аз пък да ти поясня - въпреки, че си прав си крив :)
OpenVPN поддържа да му кажем запаролване на логин-а. Още при генерирането на сертифиkата можеш да заявиш и парола за да се ползва той. Това е направено с цел ако са много потребители на машина с един сертификат само този който има право той да го ползва. За другото си прав, a аз така и не разбрах от поделия темата как успя да им сложи и username? Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: Gogo_SZ в Apr 27, 2012, 11:56 Аз пък да ти поясня - въпреки, че си прав си крив :) Пламене! Не се заяждам, а се опитвам да Ви спестя 6 месеца свободна борба ;) ДА! В КОЙТО И ДА Е VPN СТАВА ДУМА ЗА ПАРОЛА - НО ТЯ Е ПРИ КЛИЕНТА И СЛУЖИ ЗА ДА ПОЛУЧИШ ПРАВО ДА ПОЛЗВАШ КЛЮЧА, А НЕ Е ИМЕ И ПАРОЛА ЗА ДОСТЪП ДО СЪРВЕРА. Не лъжете човека да си губи времето. На него му трябва PPPoE, PPTP и т.н. PPP-та (point-to-point protocol) САМО там има такива неща като достъп през име и парола. Който и да е VPN служи за да се криптира, компресира, рутира или ограничи трафика. Абе има едно нещо наречено 7-слоен модел на мрежите - в който и да е учебник го има = четете го!!!! Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: laskov в Apr 27, 2012, 12:13 По-горе си писал:
...Е, аз го написах в google и едно от нещата, които излязоха, е свързано точно с OpenVPN. По-надолу в темата пък има друга препратка, която обяснява как се прави удостоверяване с име и парола в OpenVPN. Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: gat3way в Apr 27, 2012, 12:58 OpenVPN _може_ да се използва и за password-базирана автентикация където не става въпрос за passphrase на частния ключ.
Идеята е горе-долу следната: първо минава анонимен Diffie-Hellman key exchange и се установява симетричен сесиен ключ. След това, автентикацията е въпрос на имплементация, обикновено се пишат скриптове. Потребителското име и паролата не минават в cleartext и всичко това ужасно много наподобява SSL връзка където KEX алгоритъма е anon-DH, с тази разлика че протоколът е разширен и след SSL handshake-а и преди всичко останало се въвежда една стъпка за user/pass автентикация. Сигурността на тази схема куца разбира се. Това подсигурява единствено защита от пасивно слухтене на трафика, но не и срещу MITM атаки (понеже няма как да знаеш с кого си говориш отсреща докато тече key exchange-а). Но същото се отнася и за SSL връзки където се negotiate-не cipher suite от сорта на ADH-RC4-MD5 Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: Gogo_SZ в Apr 27, 2012, 16:06 и всичко това ужасно много наподобява SSL връзка Не, не наподобява, а просто е един от начините са използване на SSL във VPN. Абе има едно нещо наречено 7-слоен модел на мрежите - в който и да е учебник го има = четете го!!!! SSL и VPN са на РАЗЛИЧНИ СЛОЕВЕ!!!!!!!!!!!! Четете!!!!!! Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: gat3way в Apr 27, 2012, 16:22 Така ли?
И на кой слой е "VPN" според OSI модела? Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: borovaka в Apr 27, 2012, 17:21 http://my-it-memo.blogspot.com/2011/12/vpn-type-based-on-osi-model-layer.html ($2) ...
Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: gat3way в Apr 27, 2012, 17:56 Тц, ето тук пък твърдят че SSL VPN-ите работят на 5-тия слой (сесийния):
http://fengnet.com/book/vpnconf/ch05lev1sec1.html http://www.windowsecurity.com/articles/vpn-options.html И на кой да вярвам сега :) Аз бих се съгласил по-скоро че OpenVPN оперира на сесийния слой, но случаят където се използват скриптове или openvpn модули за автентикация, примерно през PAM или radius, обърква нещата. От една страна се установява SSL сесия (layer5), от друга страна допълнителната автентикация става на ниво application layer-а. Ама да оставим това настрана, има доста по-прости и също така спорни примери. Примерно къде точно се вписва ICMP или ARP в OSI модела? Примерно ICMP - layer3 или layer4 протокол е? Очевидно не е транспортен протокол, обаче ако видиш IP хедъра, за полето за тип на пакета има ICMP, както има и TCP или UDP. ARP е също забавен случай. Логично е да е layer2 протокол, защо тогава въобще има вземане-даване с network адреси? Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: borovaka в Apr 27, 2012, 18:59 //off
@gat3way Аз не мога да разбера тези теоретични терзания кое, къде се вписва в модела (който си е чисто теоретичен) ... та така, може на теория да е логично, но практическото изпълнение да няма нищо общо. ( пък и напоследък, като гледам на къде вървят нещата хората е... майката на теорията :) ) Титла: Re: OpenVPN - Статични IP адреси и логване с име и парола. Публикувано от: backinblack в Apr 28, 2012, 01:05 Абре Пичове, вие не знаете ли, че има hamachi и за Линукс!!! :D :D :D ?
Тва к'от съ мъчите с те протоколи......... |