openvpn besoin d'un expert

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : openvpn besoin d'un expert

nitro-n2o

bonjours,
je cherche un expert openvpn je vous explique mon problème que peut de personne semble resoudre que sa soit sur le forum de debian ou même ubuntu:

je veut créer un vpn avec un:
ca.crt
uniquement et non avec:
ca.crt
client01.crt
client01.key
je m'explique pourquoi j'ai créer sur debian 5.0 un vpn avec la méthode pam celle qui permet de s'authentifier par rapport au /etc/shadow bon sur se point je n'ai pas de problème je soucis c'est que je n'arrive pas a créer un vpn sans les authentification client cela signifie que je suis obliger de créer une clé pour chaque personne du vpn alors que je voudrais que tous le monde puis avoir son vpn avec son login et son mot de passe bien sur j'ai essayer la duplication des certificats avec "duplicate-cn", mais le problème c'est que si quelqu'un donne le mot de passe a un ami ou un forum tous le monde pourra se connecter se que je ne veut pas.

voila ma config serveur pour information le serveur et sur debian 5.0 et les client sur windows: (le vpn doit router le réseau vers les clients (dhcp))

Citation :

port 443
proto udp
dev tun
ca ca.crt
cert LeServeurVPN.crt
key LeServeurVPN.key
dh dh1024.pem
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push dhcp-option "DNS 213.186.33.99"
client-to-client
keepalive 10 120
comp-lzo
max-clients 10
persist-key
persist-tun
verb 3

Message édité par nitro-n2o le 11-02-2010 à 17:57:29

Publicité

Neo_t3

En utilisant l'authentification par certificat il me semble que tu es obligé d'utilisé ca.crt ainsi que client01.crt et client01.key puisque ces derniers sont verifiés par le ca.crt.

Sinon, sur le HOWTO de OpenVPN il y a plusieurs piste pour configurer ton authentification PAM plutot que par certificats.

http://openvpn.net/index.php/open- [...] howto.html

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com

nitro-n2o

justement on peut utiliser que le ca.crt je l'ai vu sur un vpn déjà:
https://manage.s6n.org/accounts/login/?next=/tunnels/
tien mon identifiant:
login: nitrogenteamn2o
pass: 007700. (avec le point)
tu vera que dans leur config et pour information j'utilise déjà l'authentification le problème c'est que je ne veux pas créer de certificat pour chaque client.alors comment faire ? :s

Neo_t3

Citation :

Using username/password authentication as the only form of client authentication

By default, using auth-user-pass-verify or a username/password-checking plugin on the server will enable dual authentication, requiring that both client-certificate and username/password authentication succeed in order for the client to be authenticated.

While it is discouraged from a security perspective, it is also possible to disable the use of client certificates, and force username/password authentication only. On the server:

client-cert-not-required

Such configurations should usually also set:

username-as-common-name

which will tell the server to use the username for indexing purposes as it would use the Common Name of a client which was authenticating via a client certificate.

Note that client-cert-not-required will not obviate the need for a server certificate, so a client connecting to a server which uses client-cert-not-required may remove the cert and key directives from the client configuration file, but not the ca directive, because it is necessary for the client to verify the server certificate.

Message édité par Neo_t3 le 11-02-2010 à 19:05:57

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com

nitro-n2o

j'ai pas de problème avec l'authentification j'ai un problème pour avoir juste le ca.crt coté client sans avoir d'autres certificat.

nitro-n2o

Neo_t3

D'après premier post, j'avais compris que tu ne voulais utiliser que le couple login/pass.

Je n'ai jamais utilisé le ca.crt seul, par contre tu peux aussi utiliser une preshared key au lieu des certificat

A voir si la même peut etre utilisée pour tous tes users, en complément l'auth PAM.

Message édité par Neo_t3 le 11-02-2010 à 20:08:07

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com

nitro-n2o

peu importe la méthode que sa soit que le ca.crt ou que le ta.key sa ne me gene pas mais je n'est pas d'example pour le faire donc je ne sait pas comment le faire jai deja lu le howto plusieur fois il ne résout pas mes problèmes.

edit: avec un membre du forum debian nous avons réussi a faire une clé partagée voila les config:

config serv:

secret clefserveur.key
port 1194
proto udp
dev tap
ifconfig 10.8.1.1 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push dhcp-option "DNS 213.186.33.99"

config client:

remote 94.23.xxx.xxx 1194
proto udp
dev tap
secret clefserveur.key
ifconfig 10.8.1.3 255.255.255.0
route-gateway 10.8.1.1
redirect-gateway

maintenan est il possible de faire la même chose avec le ca.crt?

Message édité par nitro-n2o le 12-02-2010 à 09:49:02

FORUM HardWare.fr

Systèmes & Réseaux Pro

Sécurité

openvpn besoin d'un expert

Sujets relatifs
OpenVPN plusieurs serveurs pour un seul client ?	Besoin idée pour synchro de documents entre 2 machines
Transfert de données ancien serveur vers nouveau : besoin de conseil	probleme OPENVPN windows
[A FERMER] Clear de la DHCP binding database avec DAI activé	OpenVpn et clé 3g sous Linux
Besoin d'avis Sauvegarde BEXEC	Renouvellement Serveur Fichiers (Win 2008 Server), San....
[Expert] Aide QEMU simuler du SPARC sur linux ou XP	Besoin de migrer un serveur 2008 standard en 2008 entreprise
Plus de sujets relatifs à : openvpn besoin d'un expert

Page générée en 0.034 secondes