Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1313 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  openvpn besoin d'un expert

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

openvpn besoin d'un expert

n°63370
nitro-n2o
Posté le 11-02-2010 à 17:57:05  profilanswer
 

bonjours,
je cherche un expert openvpn je vous explique mon problème que peut de personne semble resoudre que sa soit sur le forum de debian ou même ubuntu:
 
je veut créer un vpn avec un:
ca.crt
uniquement et non avec:
ca.crt
client01.crt
client01.key
je m'explique pourquoi j'ai créer sur debian 5.0 un vpn avec la méthode pam celle qui permet de s'authentifier par rapport au /etc/shadow bon sur se point je n'ai pas de problème je soucis c'est que je n'arrive pas a créer un vpn sans les authentification client cela signifie que je suis obliger de créer une clé pour chaque personne du vpn alors que je voudrais que tous le monde puis avoir son vpn avec son login et son mot de passe bien sur j'ai essayer la duplication des certificats avec "duplicate-cn", mais le problème c'est que si quelqu'un donne le mot de passe a un ami ou un forum tous le monde pourra se connecter se que je ne veut pas.
 
voila ma config serveur pour information le serveur et sur debian 5.0 et les client sur windows: (le vpn doit router le réseau vers les clients (dhcp))

Citation :

port 443
proto udp
dev tun
ca ca.crt
cert LeServeurVPN.crt
key LeServeurVPN.key
dh dh1024.pem
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push dhcp-option "DNS 213.186.33.99"
client-to-client
keepalive 10 120
comp-lzo
max-clients 10
persist-key
persist-tun
verb 3


Message édité par nitro-n2o le 11-02-2010 à 17:57:29
mood
Publicité
Posté le 11-02-2010 à 17:57:05  profilanswer
 

n°63375
Neo_t3
Posté le 11-02-2010 à 18:41:38  profilanswer
 

En utilisant l'authentification par certificat il me semble que tu es obligé d'utilisé ca.crt ainsi que client01.crt et client01.key puisque ces derniers sont verifiés par le ca.crt.
 
Sinon, sur le HOWTO de OpenVPN il y a plusieurs piste pour configurer ton authentification PAM plutot que par certificats.
 
http://openvpn.net/index.php/open- [...] howto.html


---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
n°63377
nitro-n2o
Posté le 11-02-2010 à 18:54:55  profilanswer
 

justement on peut utiliser que le ca.crt je l'ai vu sur un vpn déjà:
https://manage.s6n.org/accounts/login/?next=/tunnels/
tien mon identifiant:  
login: nitrogenteamn2o
pass: 007700. (avec le point)
tu vera que dans leur config et pour information j'utilise déjà l'authentification le problème c'est que je ne veux pas créer de certificat pour chaque client.alors comment faire ? :s

n°63378
Neo_t3
Posté le 11-02-2010 à 19:05:36  profilanswer
 

Citation :


Using username/password authentication as the only form of client authentication
 
By default, using auth-user-pass-verify or a username/password-checking plugin on the server will enable dual authentication, requiring that both client-certificate and username/password authentication succeed in order for the client to be authenticated.
 
While it is discouraged from a security perspective, it is also possible to disable the use of client certificates, and force username/password authentication only. On the server:
 
    client-cert-not-required
 
Such configurations should usually also set:
 
    username-as-common-name
 
which will tell the server to use the username for indexing purposes as it would use the Common Name of a client which was authenticating via a client certificate.
 
Note that client-cert-not-required will not obviate the need for a server certificate, so a client connecting to a server which uses client-cert-not-required may remove the cert and key directives from the client configuration file, but not the ca directive, because it is necessary for the client to verify the server certificate.


Message édité par Neo_t3 le 11-02-2010 à 19:05:57

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
n°63379
nitro-n2o
Posté le 11-02-2010 à 19:28:12  profilanswer
 

j'ai pas de problème avec l'authentification j'ai un problème pour avoir juste le ca.crt coté client sans avoir d'autres certificat.

n°63381
nitro-n2o
Posté le 11-02-2010 à 19:53:28  profilanswer
 

up

n°63382
Neo_t3
Posté le 11-02-2010 à 20:07:35  profilanswer
 

D'après premier post, j'avais compris que tu ne voulais utiliser que le couple login/pass.
 
Je n'ai jamais utilisé le ca.crt seul, par contre tu peux aussi utiliser une preshared key au lieu des certificat
 
A voir si la même peut etre utilisée pour tous tes users, en complément l'auth PAM.


Message édité par Neo_t3 le 11-02-2010 à 20:08:07

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
n°63383
nitro-n2o
Posté le 11-02-2010 à 21:18:19  profilanswer
 

peu importe la méthode que sa soit que le ca.crt ou que le ta.key sa ne me gene pas mais je n'est pas d'example pour le faire donc je ne sait pas comment le faire jai deja lu le howto plusieur fois il ne résout pas mes problèmes.
 
edit: avec un membre du forum debian nous avons réussi a faire une clé partagée voila les config:
 
config serv:
 
secret clefserveur.key
port 1194
proto udp
dev tap
ifconfig 10.8.1.1 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push dhcp-option "DNS 213.186.33.99"
 
config client:
 
remote 94.23.xxx.xxx 1194
proto udp
dev tap
secret clefserveur.key
ifconfig 10.8.1.3 255.255.255.0
route-gateway  10.8.1.1
redirect-gateway
 
maintenan est il possible de faire la même chose avec le ca.crt?


Message édité par nitro-n2o le 12-02-2010 à 09:49:02

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  openvpn besoin d'un expert

 

Sujets relatifs
OpenVPN plusieurs serveurs pour un seul client ?Besoin idée pour synchro de documents entre 2 machines
Transfert de données ancien serveur vers nouveau : besoin de conseilprobleme OPENVPN windows
[A FERMER] Clear de la DHCP binding database avec DAI activéOpenVpn et clé 3g sous Linux
Besoin d'avis Sauvegarde BEXECRenouvellement Serveur Fichiers (Win 2008 Server), San....
[Expert] Aide QEMU simuler du SPARC sur linux ou XPBesoin de migrer un serveur 2008 standard en 2008 entreprise
Plus de sujets relatifs à : openvpn besoin d'un expert


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR