Re: OPENVPN

[Anderson Bertling <andersonbertling@gmail.com>]

boa tarde 
Henry antes de mais nada obricado pela ajuda, mas nao querendo ser chato...
 Assim pelo que eu pude entender  com o plugin  do pam e client-cert-not-required na configuração do servidor os certificado se não é requerido nao é necessário que o cliente tenha os certificados correto ? Pois neste caso o pam do servidor que vai autenticar o cliente.



Minha duvida maior é se no servidor eu digo para nao verificar os certificados dos clientes os cliente nao poderia dar esse loge : 

Thu Oct 29 11:27:24 2009 WARNING: you are using user/group/chroot without persist-tun -- this may cause restarts to fail


Thu Oct 29 11:27:24 2009 WARNING: you are using user/group/chroot without persist-key -- this may cause restarts to fail
Thu Oct 29 11:27:24 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Oct 29 11:27:24 2009 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts



Thu Oct 29 11:27:24 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Thu Oct 29 11:27:25 2009 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Oct 29 11:27:25 2009 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]



Thu Oct 29 11:27:25 2009 Local Options hash (VER=V4): '3514370b'
Thu Oct 29 11:27:25 2009 Expected Remote Options hash (VER=V4): '239669a8'
Thu Oct 29 11:27:25 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]



Thu Oct 29 11:27:25 2009 UDPv4 link local (bound): [undef]:1194
Thu Oct 29 11:27:25 2009 UDPv4 link remote: 10.32.1.115:1194 



para ajudar a entende estou enviando a configuração do servidor  e do cliente. 

# Dispositivo utilizado pelo OpenVPN
dev     tun
# Define que atuaremos como servidor
mode    server
# Indica que o servidor atuará como o
# controlador no canal de comunicação
# durante a conexão TLS


tls-server
# Permite que os clientes conectados ao
# servidor troquem pacotes entre si
client-to-client
# with tls-auth  server is value 0 and client is value 1
#tls-auth keys/ta.key 0
dh      keys/dh1024.pem


ca      keys/ca.crt
cert    keys/server.crt
key     keys/server.key
duplicate-cn
server 171.171.100.0 255.255.255.0 # IP range clients
ifconfig-pool-persist ipp.txt
# note: initial tests used these, and they worked, but


# the man page hade the two lines above.
#ifconfig 192.168.100.1 192.168.100.2
#ifconfig-pool 192.168.100.5 192.168.100.200 # IP range clients
route-up "route delete -net 171.171.100.0/24"


route-up "route add -net 171.171.100.0/24 tun0"
push "route 171.171.100.1" # add route to protected network
# the next line tells the client to route all traffic thru the VPN 


# you might not want this
#push "redirect-gateway def1"
# if you do not want to route all client traffic thru VPN, do something like 
# the following (uncomment out and edit as needed)
#push "route 10.90.134.0 255.255.255.0"


#push "route 10.0.134.0 255.255.255.0"
#push "route 195.214.241.0 255.255.255.0"
# if you have mobile users, the following can be used:
#push "dhcp-option DOMAIN riseup.net"  #push the DNS domain suffix


#push "dhcp-option DNS 10.32.1.14 "  #push DNS entries to client
#push "dhcp-option WINS 69.90.134.134 "  #push WINS entries to client
port 1194
user nobody
group nogroup
; comp-lzo

ping 60
; ping-restart 45
; ping-timer-rem
persist-tun
persist-key
verb 6
log-append      /var/log/openvpn/openvpn.log
status          /var/log/openvpn/status.log
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth


client-cert-not-required 
username-as-common-name

cliente 


dev tun
tls-client
# 1 below means "client"
#tls-auth keys/ta.key 1
ca      keys/ca.crt
cert    keys/client.crt
key     keys/client.key

# Our OpenVPN peer is the office gateway.
remote 10.32.1.115

pull

;port 1194

user nobody
group nogroup

; comp-lzo
; ping 15
; ping-restart 45
; ping-timer-rem
;persist-tun
;persist-key

verb 3
log-append      /var/log/openvpn/openvpn.log

status          /var/log/openvpn/status.log

# uncomment the following if the server uses PAM

auth-user-pass
############################

assim o meu maior problema é o certificado, deixar o certificado só no servidor legal, mas nao cliente que nunca esta usando em seu pc fica complicado, realizei uma configuração do pptp que só gerava login e senha em um arquivo nao criptografado por isso que deixei ele de lado, se vc souber de algo para me ajudar nisso cara fico t devendo a vida rss 




--

2009/10/29 Henry <jmhenrique@yahoo.com.br>

Em Quinta-feira 29 Outubro 2009, às 19:34:10, Anderson Bertling escreveu:

> boa noite
>
> estou na minha interminavel busca pela vpn perfeita,
> hoje eu achei um sistema ipsec o racoon que me parece ser perfeito para o
> que preciso, só tem um problema ainda nao achei um tutorial howto ou
> qualquer coisa decente a esse respeito, pois ainda existe muita coisa q nao
> entendi como a configuração para acesso somente por login e senha sem chave
> e cripografica se alguem souber fico grato

No arquivo /usr/share/doc/openvpn/README.auth-pam explica o que vc quer fazer.
É só questão de ler a documentação do openvpn  com ***bastante*** calma e mto
café. :D :D :D

============
client-cert-not-required
username-as-common-name
============


[ ]s
Henry



--

To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-- 
Att 

Anderson Bertling