OpenVPN - Kilka pytań

[Jarosław Szmańda 42]

1. Skorzystałem z tego poradnika: https://raw.githubusercontent.com/Nyr/openvpn-install/master/openvpn-install.sh
Po wygenerowaniu klucza dla klienta jest to jeden plik - bez hasła - więc jeśli ktoś niepowołany dostanie ten plik to może łączyć się bez problem, tak?
2. Gdzie znajdę listę użytkowników - i jak cofać im uprawnienia?
3. Czy da się wyłączyć danym użytkownikom wypychanie trasy przez serwer? Np. user1 ma IP serwera, a user 2 może śmigać po adresach wewnętrznych i korzystać z ich usług, ale na Świat przedstawia się IP sowiego ISP
4. Jak z NATowaniem? Np. user1 ma urządzenia na porcie 88 - jak zrobić aby po adresie IP serwera i porcie np. 333 było ono dostępne?
5. Czy da się przydzielać użytkownikom stałe adresy IP?
6. Szukam poradników odnośnie zaawansowanej konfiguracji openvpn ale nic nie ma po polsku, może coś po EN podrzucicie?
7. Jak sprawdzać transfer per IP / użytkownika?
8. Czy za pomocą lokalnego squida jakoś mogę logować odwiedzane adresy przez użytkowników / blokować je?

 

 

[kafi 2425]

1. Klucz można zabezpieczyć passphrase.

2. Przy logowaniu certyfikatami - lista użytkowników to lista wydanych certyfikatów.

Cofnąć uprawnienia można standardowymi mechanizmami PKI.

3. Katalog ccd/

4. Skrypt post ustawiający regułkę DNATującą użytkownika w katalogu ccd/

5. Plik ipp.txt

 

7. Samym OpenVPN nie da się. Musisz zastosować jakieś linuxowe mechanizmy klasyfikacji ruchu.

8. Jeśli skonfigurujesz tego squida jako transparentne proxy, to tak.

[Jarosław Szmańda 42]

Nie mam katalogu ccd - masz gdzieś opis co w nim powinno być i w jakim formacie?

Masz jakiś przykład wpisów do tego pliku ipp?

[kafi 2425]

W katalogu ccd/ powinny się znajdować pliki o nazwach zgodnych z CN certyfikatu i w nich regułki konfiguracyjne dotyczące tylko niego - czyli albo push route albo redirect gateway.

 

Plik ipp.txt zawiera linie wg formatu cn_certyfikatu,adres_ip

[regdos 1848]

https://openvpn.net/index.php/open-source/documentation/howto.html tutaj masz w "Expanding the scope of the VPN to include additional machines on either the client or server subnet." o ccd

a https://openvpn.net/archive/openvpn-users/2007-04/msg00167.html jest przykład

 

Ja sobie dodałem własny skrypt autoryzujący gdzie oprócz certyfiaktu client musi podać usera i hasło podczas połączenia.