Método fácil de mudar do servidor Openvpn-Acess para o Community Edition?

4

Eu recentemente instalei o OpenVpn-Access Server em um vps e é ótimo. No entanto, agora que o executei, quero passar para o Community Edition porque não quero lidar com licenças de compra e acho que o C.E. fará tudo o que eu preciso. Eu queria saber se alguém sabe se existe uma maneira simples de mudar de AS para CE e manter minhas configurações atuais sem ter que reinstalar a coisa toda e regenerar as chaves e certificados? Qualquer ajuda seria muito apreciada.

    
por Chev_603 09.04.2014 / 21:07

1 resposta

2

Essa é uma pergunta antiga, mas eu gostaria de responder caso alguém esteja tentando fazer a mesma coisa. Para alternar do OpenVPN-AS para a edição da comunidade e manter a mesma configuração, o server.crt, server.key, dh.pem e ca.crt usados no Access Server precisam ser referenciados na nova edição da comunidade server.conf Arquivo. Como por padrão, o A.S. usa autenticação pam para autenticação dupla, o novo servidor C.E. também deve ser configurado dessa maneira. Estas linhas precisam ser adicionadas ao server.conf:

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so openvpn

Em seguida, o arquivo /etc/pam.d/openvpn precisa ser criado com estas linhas:

auth       sufficient   /lib/security/pam_radius_auth.so debug
account    sufficient    /lib/security/pam_radius_auth.so

Quaisquer outras opções definidas no A.S. A configuração gerada também precisa ser referenciada no arquivo server.conf (como número da porta, proto, com-lzo, cipher, etc). Como não consegui descobrir onde ou como esses arquivos são armazenados ao usar o servidor de acesso, optei por simplesmente desinstalar o openvpn-as e começar de novo.

Em conclusão, decidi reconstruir a configuração a partir do zero porque era mais fácil, e também fazia sentido aprender como implantar apropriadamente uma edição comunitária do servidor openvpn. Optei por não usar a autenticação do PAM e, em vez disso, use o easyrsa3 para configurar os certificados do servidor e do cliente, usando uma máquina separada como a autoridade de certificação para segurança aprimorada. Eu também usei a opção tls auth (incorporando um 'ta.key', como um firewall HMAC para ajudar a prevenir ataques de negação de serviço).

Meu conselho para qualquer pessoa que queira mudar do Access Server para o Community Edition é começar do zero, desinstalar o A.S. e instale o pacote openvpn , gere novos certificados e chaves e, o mais importante, use uma máquina separada para assinar as solicitações de certificado.

    
por Chev_603 01.03.2015 / 19:14