forum.opennet.ru - "OpenVpn" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"OpenVpn"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"OpenVpn"		+/–
Сообщение от Futurrama (ok) on 27-Авг-09, 15:30
Ситуация в следующем. (система DEbian) Есть openvpn iptables. Необходимо блокировать клиентов на время,полностью отзывать ключ нету возможности,т.к. к клиенту пропадет удаленный доступ,т.к. клиент сидит за прокси сервером.Необходимо как то на время заморозить ключ ,подскажите как это можно сделать. Я пробовал внести например следующую запись в iptables -A INPUT -i tun0 -s clientAddres -d servAddres -j REJECT, далее сделал скрипт который автоматом бы подставлял нужные значения по запросу от администратора который мониторит клиентов.Но всё бы было хорошо - почему то сервер продолжает пинговаться с этого клиента.Ктонить может обьяснить в чем моя ошибка и почему iptables не реагирует на мою запись вроде бы я всё абсолютно правильно написал.... ( я новечег не смейтесь и сильно не бейте, мне знакомый посоветовал форум этот сказал тут сидят умные люди они тебе обязательно помогут )
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

OpenVpn, ALex_hha, 15:35 , 27-Авг-09, (1)

OpenVpn, Futurrama, 15:37 , 27-Авг-09, (2)

OpenVpn, Futurrama, 15:46 , 27-Авг-09, (3)
OpenVpn, ALex_hha, 15:49 , 27-Авг-09, (4)

OpenVpn, Futurrama, 15:54 , 27-Авг-09, (5)

OpenVpn, Futurrama, 15:55 , 27-Авг-09, (6)

OpenVpn, Futurrama, 18:32 , 27-Авг-09, (7)

OpenVpn, Futurrama, 19:39 , 27-Авг-09, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "OpenVpn" +/–

Сообщение от ALex_hha (ok) on 27-Авг-09, 15:35

>Ситуация в следующем.
>(система DEbian)
>Есть openvpn iptables.
>Необходимо блокировать клиентов на время,полностью отзывать ключ нету возможности,т.к. к клиенту пропадет
>удаленный доступ,т.к. клиент сидит за прокси сервером.Необходимо как то на время
>заморозить ключ ,подскажите как это можно сделать.
как вариант использовать ccd-exclusive + client-config-dir
>Я пробовал внести например следующую запись в iptables
>-A INPUT -i tun0 -s clientAddres -d servAddres -j REJECT, далее сделал
>скрипт который автоматом бы подставлял нужные значения по запросу от администратора
>который мониторит клиентов.Но всё бы было хорошо - почему то сервер
>продолжает пинговаться с этого клиента.Ктонить может обьяснить в чем моя ошибка
>и почему iptables не реагирует на мою запись вроде бы я
>всё абсолютно правильно написал....
потому что это транзитные пакеты, которые идут через цепочку FORWARD!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "OpenVpn" +/–

Сообщение от Futurrama (ok) on 27-Авг-09, 15:37

>потому что это транзитные пакеты, которые идут через цепочку FORWARD!!!
Зы я и в этой цепочке пытался прописать подобное =) ничего не вышло....
А можно по подробнее про ccd-exclusive + client-config-dir

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "OpenVpn" +/–

Сообщение от Futurrama (ok) on 27-Авг-09, 15:46

>
>>потому что это транзитные пакеты, которые идут через цепочку FORWARD!!!
>
>Зы я и в этой цепочке пытался прописать подобное =) ничего не
>вышло....
>
>А можно по подробнее про ccd-exclusive + client-config-dir
А точнее просто про ccd-exclusive как перейти в этот режим? и что мне это дает ,то что клиент подключается и если у него нет прав ему отказывает сервер в авторизации ,допустим что у меня 1000 клиентов мне надо 1000 групп создовать чтоб если че убрать права на доступ к папке ccd и у конкретной группы пропадет доступ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "OpenVpn" +/–

Сообщение от ALex_hha (ok) on 27-Авг-09, 15:49

>
>>потому что это транзитные пакеты, которые идут через цепочку FORWARD!!!
>
>Зы я и в этой цепочке пытался прописать подобное =) ничего не
>вышло....
чудес не бывает :)
>А можно по подробнее про ccd-exclusive + client-config-dir
--ccd-exclusive
Require, as a condition of authentication, that a connecting client has  a  --client-config-dir file.
т.е. чтобы клиент смог подключиться должен быть файл в папке заданной с помощью --client-config-dir dir
Specify  a  directory  dir for custom client config files.  After a connecting client
has been authenticated, OpenVPN will look in this directory for  a  file  having  the
same  name  as  the client’s X509 common name.  If a matching file exists, it will be
opened and parsed for client-specific configuration options.  If no matching file  is
found,  OpenVPN  will  instead try to open and parse a default file called "DEFAULT",
which may be provided but is not required
У меня так сделанно, если надо быстро заблокировать клиента, то я просто удаляю его конфиг из client-config-dir, а потом уже отзываю его сертификат.
Вообщем man openvpn

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "OpenVpn" +/–

Сообщение от Futurrama (ok) on 27-Авг-09, 15:54

Спасиба друг!!!! выручил! =) буду щас перенастраивать опен впн =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "OpenVpn" +/–

Сообщение от Futurrama (ok) on 27-Авг-09, 15:55

А по поводу чудес я прямо щас попробую ещё раз ! =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "OpenVpn" +/–

Сообщение от Futurrama (ok) on 27-Авг-09, 18:32

--client-connect script
Run script on client connection. The script is passed the common name and IP address of the just-authenticated client as environmental variables (see environmental variable section below). The script is also passed the pathname of a not-yet-created temporary file as $1 (i.e. the first command line argument), to be used by the script to pass dynamically generated config file directives back to OpenVPN.
If the script wants to generate a dynamic config file to be applied on the server when the client connects, it should write it to the file named by $1.
See the --client-config-dir option below for options which can be legally used in a dynamically generated config file.
Note that the return value of script is significant. If script returns a non-zero error status, it will cause the client to be disconnected.

Спасибо  за подсказку другу диме но если кому нибудь будет интересно не делайте как он сказал ! Это не правильно!Правильнее включить функцию описанную выше

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "OpenVpn" +/–

Сообщение от Futurrama (ok) on 27-Авг-09, 19:39

>[оверквотинг удален]
>in a dynamically generated config file.
>
>Note that the return value of script is significant. If script returns
>a non-zero error status, it will cause the client to be
>disconnected.
>
>
>Спасибо  за подсказку другу диме!Но если кому нибудь будет интересно
>не делайте как сказал человек выше ! Это не правильно!Правильнее включить функцию
>описанную выше

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "OpenVpn"		+/–
Сообщение от ALex_hha (ok) on 27-Авг-09, 15:35
>Ситуация в следующем. >(система DEbian) >Есть openvpn iptables. >Необходимо блокировать клиентов на время,полностью отзывать ключ нету возможности,т.к. к клиенту пропадет >удаленный доступ,т.к. клиент сидит за прокси сервером.Необходимо как то на время >заморозить ключ ,подскажите как это можно сделать. как вариант использовать ccd-exclusive + client-config-dir >Я пробовал внести например следующую запись в iptables >-A INPUT -i tun0 -s clientAddres -d servAddres -j REJECT, далее сделал >скрипт который автоматом бы подставлял нужные значения по запросу от администратора >который мониторит клиентов.Но всё бы было хорошо - почему то сервер >продолжает пинговаться с этого клиента.Ктонить может обьяснить в чем моя ошибка >и почему iptables не реагирует на мою запись вроде бы я >всё абсолютно правильно написал.... потому что это транзитные пакеты, которые идут через цепочку FORWARD!!!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "OpenVpn"		+/–
	Сообщение от Futurrama (ok) on 27-Авг-09, 15:37
	>потому что это транзитные пакеты, которые идут через цепочку FORWARD!!! Зы я и в этой цепочке пытался прописать подобное =) ничего не вышло.... А можно по подробнее про ccd-exclusive + client-config-dir
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "OpenVpn"		+/–
	Сообщение от Futurrama (ok) on 27-Авг-09, 15:46
	> >>потому что это транзитные пакеты, которые идут через цепочку FORWARD!!! > >Зы я и в этой цепочке пытался прописать подобное =) ничего не >вышло.... > >А можно по подробнее про ccd-exclusive + client-config-dir А точнее просто про ccd-exclusive как перейти в этот режим? и что мне это дает ,то что клиент подключается и если у него нет прав ему отказывает сервер в авторизации ,допустим что у меня 1000 клиентов мне надо 1000 групп создовать чтоб если че убрать права на доступ к папке ccd и у конкретной группы пропадет доступ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "OpenVpn"		+/–
	Сообщение от ALex_hha (ok) on 27-Авг-09, 15:49
	> >>потому что это транзитные пакеты, которые идут через цепочку FORWARD!!! > >Зы я и в этой цепочке пытался прописать подобное =) ничего не >вышло.... чудес не бывает :) >А можно по подробнее про ccd-exclusive + client-config-dir --ccd-exclusive Require, as a condition of authentication, that a connecting client has a --client-config-dir file. т.е. чтобы клиент смог подключиться должен быть файл в папке заданной с помощью --client-config-dir dir Specify a directory dir for custom client config files. After a connecting client has been authenticated, OpenVPN will look in this directory for a file having the same name as the client’s X509 common name. If a matching file exists, it will be opened and parsed for client-specific configuration options. If no matching file is found, OpenVPN will instead try to open and parse a default file called "DEFAULT", which may be provided but is not required У меня так сделанно, если надо быстро заблокировать клиента, то я просто удаляю его конфиг из client-config-dir, а потом уже отзываю его сертификат. Вообщем man openvpn
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "OpenVpn"		+/–
	Сообщение от Futurrama (ok) on 27-Авг-09, 15:54
	Спасиба друг!!!! выручил! =) буду щас перенастраивать опен впн =)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "OpenVpn"		+/–
	Сообщение от Futurrama (ok) on 27-Авг-09, 15:55
	А по поводу чудес я прямо щас попробую ещё раз ! =)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "OpenVpn"		+/–
	Сообщение от Futurrama (ok) on 27-Авг-09, 18:32
	--client-connect script Run script on client connection. The script is passed the common name and IP address of the just-authenticated client as environmental variables (see environmental variable section below). The script is also passed the pathname of a not-yet-created temporary file as $1 (i.e. the first command line argument), to be used by the script to pass dynamically generated config file directives back to OpenVPN. If the script wants to generate a dynamic config file to be applied on the server when the client connects, it should write it to the file named by $1. See the --client-config-dir option below for options which can be legally used in a dynamically generated config file. Note that the return value of script is significant. If script returns a non-zero error status, it will cause the client to be disconnected. Спасибо за подсказку другу диме но если кому нибудь будет интересно не делайте как он сказал ! Это не правильно!Правильнее включить функцию описанную выше
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "OpenVpn"		+/–
	Сообщение от Futurrama (ok) on 27-Авг-09, 19:39
	>[оверквотинг удален] >in a dynamically generated config file. > >Note that the return value of script is significant. If script returns >a non-zero error status, it will cause the client to be >disconnected. > > >Спасибо за подсказку другу диме!Но если кому нибудь будет интересно >не делайте как сказал человек выше ! Это не правильно!Правильнее включить функцию >описанную выше
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору