Forum Debian Users Gang

Super tutek ale nie widze jak tworzyc pliki certyfikatu i dlatego ja utworzylem swoj bez certyfikatow poniewaz mialem z tym wielkie problemy nie chcialo mi utworzyc urzedu CA i zaniechalem dalszych dzialan w tym kierunku.

Witam serdecznie!

Postawiłem openvpn na Debian 5.0.4 wg howto http://rpc.one.pl/index.php/lista-artykulow/36-debi … ryptem-hasem.

Wszystko fantastycznie działa tylko, że tak naprawdę działa wyłącznie jeden mechanizm zabezpieczenia - wyłącznie PAM.
Wystarczy, że utworzymy na serwerze dowolnego użytkownika, podając klucze dowolnego użytkownika i wchodzimy przez klienta Openvpn.
Czy ktoś z Was weryfikował zabezpieczenia?
Poza tym artykuł jest super

taka drobna uwaga odnośnie "firewall"


echo "1" > /proc/sys/net/ipv4/ip_forward

#forwardowanie pakietow

Kod:
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -o tap0 -j ACCEPT
#otwieranie portow dla serwera i klienta openvpn
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5000 -j ACCEPT #openvpn
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 5000 -j ACCEPT #openvpn

ta część nie ma sensu jeżeli nie ustawimy polityki na drop

#routing dla adresu ip klienta
iptables -t nat -A POSTROUTING -s 10.3.0.2/255.255.0.0  -j MASQUERADE

jeżeli chodzi o maskowanie tutaj warto by dodać flagę -o wan (gdzie wan to nasz interfejs na świat) aby komputery wenątrz sieci lokalnej widziały poprawne adrsy, a nie adres serwera.
przy czym ma to sens tylko wtedy gdy klient vpn ma korzystać z internetu za pośrednictwem połączenia vpn.

iptables -A FORWARD -s 10.3.0.2/255.255.0.0 -j ACCEPT

też bez sensu skoro nie zmieniliśmy polityki.

Ostatnio edytowany przez bobycob (2010-06-14 01:46:58)

ad.1 jak robiłeś wedle mojego howto hmm. Ja też mam zdalną pracę i nie ma z tym problemu. Sesja trzyma. Najdłużej to z 5 godzin pracowałem więc.? Zdarzały mi się zerwania połączenia ale zawsze wynikały z winy łącza np.adsl wtedy zmienia się ip. Rzadko wina to była wifi. Zawsze jednak openvpn próbował sam parę razy z automatu połączyć. Przy zmianie ip wymaga wpisania ponownie hasła.

ad.2 no mnie brakuje RELATED ESTABLISHED no i bym wywalił port 113 i 1080
iptables -A INPUT -i tun+ -s 10.3.0.0/24 -j ACCEPT
tu bym się zastanowił czy to potrzebne. pewnie potrzebujesz forward lub tylko INPUT pojedynczych portów a tak otwierasz router/hosta dla klientów a nie wiem czy to bezpiecznie. Ja bym jeżeli już udostępnił tylko konkretne porty i protokoły
no to w sumie nie wiem czy to router czy komputer końcowy

Serwer:

 # ~> egrep -v '#' openvpn.conf 
local 0.0.0.0
port 1978
proto udp
dev tap5
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status tmp/openvpn-status.log
verb 3
chroot /var/openvpn
management 127.0.0.1 6001
cipher AES-256-CBC
tls-auth /etc/openvpn/ta.key 0
plugin /usr/lib/openvpn/openvpn-auth-pam.so system-auth

Klient:

# ~> egrep -v '#' clients.conf 
client
dev tap1
proto udp
 
remote {domek-adres} 1978
resolv-retry infinite
nobind

persist-key
persist-tun

ca /etc/openvpn/clients/ca.crt
cert /etc/openvpn/clients/client.crt
key /etc/openvpn/clients/client.key
remote-cert-tls server
tls-auth /etc/openvpn/ta.key 1
auth-user-pass
auth-nocache

cipher AES-256-CBC


comp-lzo
verb 3

Kiedy ostatnio używałem OpenVPN (jakiś rok temu), to tak działalo, -certyfikaty wygenerowane przez easy-rsa, do tego klucz ta, i autoryzacja hasłem w pam.

Maksymalne bezpieczeńswo, jakie mozna osiągnać w OpenVPN.

Robiłem głównie wg tego:
http://openvpn.net/index.php/open-source/documentat … o.html#server

Jedna uwaga, w tych konfigach OpenVPN po obu stronach jest w chroocitach, i nie może ustawić interfejsów tap i routingu, to trzeba było ustawiać ręcznie, czyli w praktyce  przez skrypty do odpalania tunelu (serwera i klienta) .

Na szczęście komendy tunctl  i route nie są zbyt skomplikowane.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2013-05-31 14:40:19)

Po 1 na wstępie dzięki za takie zainteresowanie postem :)
Faktycznie miałem problem z routingiem, więc żeby nie dokładać sobie problemu z niewstającym "TAP" odpaliłem to jednak na TUN-ach, pozmieniałem reguły w ip tables , generalnie problem dalej istnieje ponieważ natrzaskałem niezliczoną ilość reguł, i oczywiście nie wiem która wpłynęła na rozwiązanie problemu. Powyższy config działa świetnie na interfejsie TUN zarówno po stronie klienta jak i serwera. Poniżej zamieszczam skrypcik który desperacko napisałem w przypływie gniewu na podstawie kilku wątków z tego forum. Zależy mi na tym aby ktoś obeznany napisał co z niego wywalić. Poniżej znajdziecie działające pliki konfiguracyjne. Przypominam tylko że są one przerobione pod certyfikaty. Docelowo ma być to rozwiązanie zastępcze gdyż chciałbym w tym przypadku zastosować IP sec na open swanie i certyfikatach, może macie jakieś doświadczenia przy zestawianiu takich połączeń, czy nie będzie problemu przy konfiguracji sieci z mojego 1 postu (rysunek).
[edit 1]
W tym skrypcie reguły są na 1 klienta, podejrzewam że zastosowanie adresu podsieci zamiast konkretnego klienta sprawi że routing będzie na całą pulę adresów. I tutaj nasuwa się pytanie czy wpisywać tam adres podsieci czy zadziała również zakres ? np 10.0.0.[1-20]

ustawienia ip tables (proszę się nie śmiać, niezły burdel tam zrobiłem i generalnie liczę na was że pomożecie mi w sprzątaniu)

#!/bin/sh
echo "czszczenie wszystkiego w ip tables"
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo "firewall jest ogarniety"
echo echo
echo "1" > /proc/sys/net/ipv4/ip_forward
#forwardowanie pakietow
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A INPUT -i tun -j ACCEPT
iptables -A FORWARD -o tun -j ACCEPT
#otwieranie portow dla serwera i klienta openvpn
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5000 -j ACCEPT #openvpn
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 5000 -j ACCEPT #openvpn
#routing dla adresu ip klienta
iptables -t nat -A POSTROUTING -s 10.8.0.6/255.255.255.0  -j MASQUERADE
iptables -A FORWARD -s 10.8.0.6/255.255.255.0 -j ACCEPT
iptables -A INPUT -i tun+ -s 10.8.0.0/24 -j ACCEPT
iptables -I INPUT -i tun+ -p udp --dport 53 -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
echo "reguly dodane do iptables"

config klienta (działający)

client
dev tun
remote aaaaa.dyndns.biz 5000

persist-key
persist-tun

proto udp
ping 15
    ping-restart 45
    ping-timer-rem

push "ping 10"
push "ping-restart 60"

ifconfig 10.8.0.2 255.255.255.0 
    resolv-retry infinite
    nobind    
    mute-replay-warnings
    float
    
ca cacert.pem
cert user.crt
key user.key

comp-lzo
verb 3

config serwera

dev tun
local 10.0.0.168
proto udp
port 5000
user openvpn
group openvpn
ca cacert.pem
cert servercert.pem
key serverkey.pem_bezhasla
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 255.255.255.0
status openvpn-status.log 
client-config-dir ccd
keepalive 10 120
comp-lzo
push "ping 10"
push "ping-restart 60"
push "route 10.0.0.0 255.0.0.0"

Ostatnio edytowany przez luk1515 (2013-06-03 08:14:57)

@R_Przemek
W OpenVPN certy się generuje przez pkitool - są do tego skrypty easy-rsa.

apt-cache search easy-rsa
easy-rsa - Simple shell based CA utility

Jak widać, te skrypty są w każdym repo Debiana. ;)