OpenVPN etapas para configurar somente autenticação de nome de usuário / senha

3

Eu sou novato no OpenVPN e preciso de ajuda para configurar servidor e cliente .ovpn para usar somente autenticação de nome de usuário / senha. Exemplos de client.ovpn e server.ovpn podem ser muito úteis. Obrigado

Aqui o que eu fiz:

servidor

port 1194
proto udp
dev tun
ca "C:\OpenVPN\config\ca.crt"
cert "C:\OpenVPN\config\server.crt"
key "C:\OpenVPN\config\server.key"  # This file should be kept secret
dh "C:\OpenVPN\config\dh1024.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

cliente

client
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote 188.247.133.19 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert dzoni-block.crt
key dzoni-block.key
ns-cert-type server
comp-lzo
verb 3

Acima da configuração funciona bem. Mas eu quero usar apenas autenticação de nome de usuário / senha. Eu tentei adicionar no servidor client-cert-não-obrigatório, e no cliente auth-user-pass auth.txt onde auth tem 2 linhas (user / pass) e não está funcionando.

Se alguém tiver uma configuração que funcione apenas com nome de usuário / senha, alguns exemplos me ajudarão bastante. Obrigado

    
por Nikola Serdar 26.01.2016 / 00:22

1 resposta

1

No servidor, você precisa decidir como autenticar usuários com uma combinação de nome de usuário / senha.

AFAIK, a maneira mais comum é usar o plugin PAM do openVPN. Para seus propósitos, você precisaria ter as seguintes entradas em seu server.conf:

username-as-common-name
client-cert-not-required

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Você também precisaria criar uma configuração do PAM para o openvpn (por exemplo, /etc/pam.d/openvpn).

Se você estava usando o RADIUS para autenticar usuários, sua configuração do PAM pode parecer:

account         required        pam_radius_auth.so
account         required        pam_radius_auth.so
auth            required        pam_radius_auth.so no_warn try_first_pass

E você armazenaria os detalhes do servidor RADIUS em /etc/pam_radius.conf.

No lado do cliente, sua configuração pode ser tão pequena quanto:

client
ca server.pem
dev tun
nobind
comp-lzo
cipher BF-CBC
cipher AES-256-CBC
cipher AES-128-CBC

Basta adicionar seu controle remoto lá e ele deve funcionar.

    
por 09.03.2017 / 13:27

Tags