boa tarde Henry antes de mais nada obricado pela ajuda, mas nao querendo ser chato... Assim pelo que eu pude entender com o plugin do pam e client-cert-not-required na configuração do servidor os certificado se não é requerido nao é necessário que o cliente tenha os certificados correto ? Pois neste caso o pam do servidor que vai autenticar o cliente. Minha duvida maior é se no servidor eu digo para nao verificar os certificados dos clientes os cliente nao poderia dar esse loge :
Thu Oct 29 11:27:24 2009 WARNING: you are using user/group/chroot without persist-tun -- this may cause restarts to fail Thu Oct 29 11:27:24 2009 WARNING: you are using user/group/chroot without persist-key -- this may cause restarts to fail Thu Oct 29 11:27:24 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Thu Oct 29 11:27:24 2009 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Thu Oct 29 11:27:24 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted> Thu Oct 29 11:27:25 2009 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ] Thu Oct 29 11:27:25 2009 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ] Thu Oct 29 11:27:25 2009 Local Options hash (VER=V4): '3514370b' Thu Oct 29 11:27:25 2009 Expected Remote Options hash (VER=V4): '239669a8' Thu Oct 29 11:27:25 2009 Socket Buffers: R=[114688->131072] S=[114688->131072] Thu Oct 29 11:27:25 2009 UDPv4 link local (bound): [undef]:1194 Thu Oct 29 11:27:25 2009 UDPv4 link remote: 10.32.1.115:1194 para ajudar a entende estou enviando a configuração do servidor e do cliente. # Dispositivo utilizado pelo OpenVPN dev tun # Define que atuaremos como servidor mode server # Indica que o servidor atuará como o # controlador no canal de comunicação # durante a conexão TLS tls-server # Permite que os clientes conectados ao # servidor troquem pacotes entre si client-to-client # with tls-auth server is value 0 and client is value 1 #tls-auth keys/ta.key 0 dh keys/dh1024.pem ca keys/ca.crt cert keys/server.crt key keys/server.key duplicate-cn server 171.171.100.0 255.255.255.0 # IP range clients ifconfig-pool-persist ipp.txt # note: initial tests used these, and they worked, but # the man page hade the two lines above. #ifconfig 192.168.100.1 192.168.100.2 #ifconfig-pool 192.168.100.5 192.168.100.200 # IP range clients route-up "route delete -net 171.171.100.0/24" route-up "route add -net 171.171.100.0/24 tun0" push "route 171.171.100.1" # add route to protected network # the next line tells the client to route all traffic thru the VPN # you might not want this #push "redirect-gateway def1" # if you do not want to route all client traffic thru VPN, do something like # the following (uncomment out and edit as needed) #push "route 10.90.134.0 255.255.255.0" #push "route 10.0.134.0 255.255.255.0" #push "route 195.214.241.0 255.255.255.0" # if you have mobile users, the following can be used: #push "dhcp-option DOMAIN riseup.net" #push the DNS domain suffix #push "dhcp-option DNS 10.32.1.14 " #push DNS entries to client #push "dhcp-option WINS 69.90.134.134 " #push WINS entries to client port 1194 user nobody group nogroup ; comp-lzo ping 60 ; ping-restart 45 ; ping-timer-rem persist-tun persist-key verb 6 log-append /var/log/openvpn/openvpn.log status /var/log/openvpn/status.log plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth client-cert-not-required username-as-common-name cliente dev tun tls-client # 1 below means "client" #tls-auth keys/ta.key 1 ca keys/ca.crt cert keys/client.crt key keys/client.key # Our OpenVPN peer is the office gateway. remote 10.32.1.115 pull ;port 1194 user nobody group nogroup ; comp-lzo ; ping 15 ; ping-restart 45 ; ping-timer-rem ;persist-tun ;persist-key verb 3 log-append /var/log/openvpn/openvpn.log status /var/log/openvpn/status.log # uncomment the following if the server uses PAM auth-user-pass ############################ assim o meu maior problema é o certificado, deixar o certificado só no servidor legal, mas nao cliente que nunca esta usando em seu pc fica complicado, realizei uma configuração do pptp que só gerava login e senha em um arquivo nao criptografado por isso que deixei ele de lado, se vc souber de algo para me ajudar nisso cara fico t devendo a vida rss -- 2009/10/29 Henry <[email protected]> > Em Quinta-feira 29 Outubro 2009, às 19:34:10, Anderson Bertling escreveu: > > boa noite > > > > estou na minha interminavel busca pela vpn perfeita, > > hoje eu achei um sistema ipsec o racoon que me parece ser perfeito para o > > que preciso, só tem um problema ainda nao achei um tutorial howto ou > > qualquer coisa decente a esse respeito, pois ainda existe muita coisa q > nao > > entendi como a configuração para acesso somente por login e senha sem > chave > > e cripografica se alguem souber fico grato > > > > No arquivo /usr/share/doc/openvpn/README.auth-pam explica o que vc quer > fazer. > É só questão de ler a documentação do openvpn com ***bastante*** calma e > mto > café. :D :D :D > > ============ > client-cert-not-required > username-as-common-name > ============ > > > [ ]s > Henry > > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact > [email protected] > > -- Att Anderson Bertling
