openvpn besoin d'un expert

openvpn besoin d'un expert - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 11-02-2010 à 17:57:05    

bonjours,
je cherche un expert openvpn je vous explique mon problème que peut de personne semble resoudre que sa soit sur le forum de debian ou même ubuntu:
 
je veut créer un vpn avec un:
ca.crt
uniquement et non avec:
ca.crt
client01.crt
client01.key
je m'explique pourquoi j'ai créer sur debian 5.0 un vpn avec la méthode pam celle qui permet de s'authentifier par rapport au /etc/shadow bon sur se point je n'ai pas de problème je soucis c'est que je n'arrive pas a créer un vpn sans les authentification client cela signifie que je suis obliger de créer une clé pour chaque personne du vpn alors que je voudrais que tous le monde puis avoir son vpn avec son login et son mot de passe bien sur j'ai essayer la duplication des certificats avec "duplicate-cn", mais le problème c'est que si quelqu'un donne le mot de passe a un ami ou un forum tous le monde pourra se connecter se que je ne veut pas.
 
voila ma config serveur pour information le serveur et sur debian 5.0 et les client sur windows: (le vpn doit router le réseau vers les clients (dhcp))

Citation :

port 443
proto udp
dev tun
ca ca.crt
cert LeServeurVPN.crt
key LeServeurVPN.key
dh dh1024.pem
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push dhcp-option "DNS 213.186.33.99"
client-to-client
keepalive 10 120
comp-lzo
max-clients 10
persist-key
persist-tun
verb 3


Message édité par nitro-n2o le 11-02-2010 à 17:57:29
Reply

Marsh Posté le 11-02-2010 à 17:57:05   

Reply

Marsh Posté le 11-02-2010 à 18:41:38    

En utilisant l'authentification par certificat il me semble que tu es obligé d'utilisé ca.crt ainsi que client01.crt et client01.key puisque ces derniers sont verifiés par le ca.crt.
 
Sinon, sur le HOWTO de OpenVPN il y a plusieurs piste pour configurer ton authentification PAM plutot que par certificats.
 
http://openvpn.net/index.php/open- [...] howto.html


---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
Reply

Marsh Posté le 11-02-2010 à 18:54:55    

justement on peut utiliser que le ca.crt je l'ai vu sur un vpn déjà:
https://manage.s6n.org/accounts/login/?next=/tunnels/
tien mon identifiant:  
login: nitrogenteamn2o
pass: 007700. (avec le point)
tu vera que dans leur config et pour information j'utilise déjà l'authentification le problème c'est que je ne veux pas créer de certificat pour chaque client.alors comment faire ? :s

Reply

Marsh Posté le 11-02-2010 à 19:05:36    

Citation :


Using username/password authentication as the only form of client authentication
 
By default, using auth-user-pass-verify or a username/password-checking plugin on the server will enable dual authentication, requiring that both client-certificate and username/password authentication succeed in order for the client to be authenticated.
 
While it is discouraged from a security perspective, it is also possible to disable the use of client certificates, and force username/password authentication only. On the server:
 
    client-cert-not-required
 
Such configurations should usually also set:
 
    username-as-common-name
 
which will tell the server to use the username for indexing purposes as it would use the Common Name of a client which was authenticating via a client certificate.
 
Note that client-cert-not-required will not obviate the need for a server certificate, so a client connecting to a server which uses client-cert-not-required may remove the cert and key directives from the client configuration file, but not the ca directive, because it is necessary for the client to verify the server certificate.


Message édité par Neo_t3 le 11-02-2010 à 19:05:57

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
Reply

Marsh Posté le 11-02-2010 à 19:28:12    

j'ai pas de problème avec l'authentification j'ai un problème pour avoir juste le ca.crt coté client sans avoir d'autres certificat.

Reply

Marsh Posté le 11-02-2010 à 19:53:28    

up

Reply

Marsh Posté le 11-02-2010 à 20:07:35    

D'après premier post, j'avais compris que tu ne voulais utiliser que le couple login/pass.
 
Je n'ai jamais utilisé le ca.crt seul, par contre tu peux aussi utiliser une preshared key au lieu des certificat
 
A voir si la même peut etre utilisée pour tous tes users, en complément l'auth PAM.


Message édité par Neo_t3 le 11-02-2010 à 20:08:07

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
Reply

Marsh Posté le 11-02-2010 à 21:18:19    

peu importe la méthode que sa soit que le ca.crt ou que le ta.key sa ne me gene pas mais je n'est pas d'example pour le faire donc je ne sait pas comment le faire jai deja lu le howto plusieur fois il ne résout pas mes problèmes.
 
edit: avec un membre du forum debian nous avons réussi a faire une clé partagée voila les config:
 
config serv:
 
secret clefserveur.key
port 1194
proto udp
dev tap
ifconfig 10.8.1.1 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push dhcp-option "DNS 213.186.33.99"
 
config client:
 
remote 94.23.xxx.xxx 1194
proto udp
dev tap
secret clefserveur.key
ifconfig 10.8.1.3 255.255.255.0
route-gateway  10.8.1.1
redirect-gateway
 
maintenan est il possible de faire la même chose avec le ca.crt?


Message édité par nitro-n2o le 12-02-2010 à 09:49:02
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed