Perguntas[openvpn](server)

Parece que isso deveria ser fácil, mas não estou lembrando como fazer isso. Cada cliente sempre recebeu acesso a diferentes recursos (geralmente sub-redes) no servidor por meio do arquivo CCD que corresponde ao nome da conexão. Eu geralmente crio túneis "divididos" - especificando que apenas certas sub-redes privadas ou servidores sejam acessados ​​por meio do túnel por meio dos comandos push "route ..."

Em um computador, assumindo que eu tenha privilégios de administrador, eu manipulo as coisas adicionando uma rota específica para o endpoint através do gateway local, então excluindo a rota padrão, então adicionando uma rota padrão através do túnel. Tudo, EXCETO o endpoint (e quaisquer outras rotas específicas no cliente) é roteado através do túnel.

Existe um comando push de arquivo CCD que eu possa usar para fazer isso? Talvez onde as palavras-chave sejam substituídas pelos valores reais, como:

push "route <VPN_Endpoint> 255.255.255.255 <current_default_gateway>"
push "route 0.0.0.0 0.0.0.0"  

Como eu disse, estou acostumado a enviar rotas de sub-rede específicas usando o push no arquivo ccd, mas está sendo difícil descobrir como configurar para se tornar o gateway padrão.

Eu executo um servidor VPN experimental em um contêiner Docker .

Meu docker-compose.ymlarquivo:

version: '3'
services:
dockovpn:
    image: alekslitvinenk/openvpn
    cap_add:
        - NET_ADMIN
    ports:
        - 1194:1194/udp # Expose tcp if you defined HOST_TUN_PROTOCOL=tcp
    environment:
        HOST_ADDR: ${HOST_ADDR}
    volumes:
        - /var/lib/dockovpn:/opt/Dockovpn_data
    restart: always

onde HOST_ADDRestá meu endereço IP?

Eu executo o contêiner com

sudo docker-compose up -d

comando e consigo conectar-me à VPN a partir de dispositivos Windows, Android e iOS.

Não há client-to-clientopção em server.conf:

sudo docker exec -it dockovpn_dockovpn_1 bash
cd /opt/Dockovpn
cat config/server.conf

port 1194
proto %HOST_TUN_PROTOCOL%
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/MyReq.crt
key /etc/openvpn/MyReq.key
dh /etc/openvpn/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
duplicate-cn
keepalive 10 120
cipher AES-256-GCM
ncp-ciphers AES-256-GCM:AES-256-CBC
auth SHA512
persist-key
persist-tun
status openvpn-status.log
verb 4
tls-server
tls-version-min 1.2
tls-auth /etc/openvpn/ta.key 0
crl-verify /etc/openvpn/crl.pem

então, de acordo com a documentação do OpenVPN , os clientes não deveriam ver uns aos outros, mas eles realmente veem. Por exemplo, eu posso conectar via Remote Desktop a máquinas Windows remotas com endereços IP como 10.8.0.14, etc...

Como consertar isso?

EDITAR1

Foi encontrado o seguinte em scripts\start.sh :

# Allow traffic on the TUN interface.
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT

Provavelmente seria melhor remover iptables -A FORWARD -i tun0 -j ACCEPTem vez de adicionar iptables -A FORWARD -i tun0 -o tun0 -j REJECT?

O Openvpn3 parou de funcionar depois que atualizei meu laptop Ubuntu 20.04 de python3.8 para python 3.11

Recebo este erro:

openvpn3-systemd[9972]: ModuleNotFoundError: No module named '_dbus_bindings'

Descobri que import dbusfunciona bem com python3.8, mas não funciona com python3.11

Tentei fazer o openvpn3 funcionar alterando o sistema padrão python de volta para 3.8 usando

sudo update-alternatives --config python

E também verifiquei que quando uso python na linha de comando, ele encontra dbus,

python -c 'import dbus'

Reiniciar o serviço ainda falha com o mesmo erro. Editei o arquivo /usr/libexec/openvpn3-linux/openvpn3-systemdpara que ele imprima a versão python antes de tentar importar o dbus usando estas 2 linhas no topo do arquivo:

import sys
print ('openvpn3-python-version-used: ' + sys.version)

E vejo que está usando python3.11

Como posso alterar o arquivo de serviço para forçá-lo a usar a versão mais antiga do python3.8?/lib/systemd/system/[email protected]

Arquivo de serviço atual:

[Unit]
Description=OpenVPN 3 Linux - VPN session for %I
After=dbus.service network-online.target
Wants=dbus.service network-online.target
Documentation=man:openvpn3-linux(7)
Documentation=man:openvpn3-systemd(7)

[Service]
Type=notify
PrivateTmp=true
ProtectSystem=true
ProtectHome=true
Environment="PYTHONUNBUFFERED=on"
ExecStart=/usr/libexec/openvpn3-linux/openvpn3-systemd --start %i
ExecReload=/usr/libexec/openvpn3-linux/openvpn3-systemd --restart %i
ExecStop=/usr/libexec/openvpn3-linux/openvpn3-systemd --stop %i

[Install]
WantedBy=multi-user.target

Tenho um servidor OpenVPN em execução no Ubuntu 22.04.

Tudo está funcionando bem, mas quero registrar mais informações sobre dispositivos conectados ao meu servidor. Preciso enviar algumas informações personalizadas sobre o dispositivo usando meus servidores.

Eu integrei client-connect/ client-disconnectscripts com sucesso, mas quero ter mais variáveis ​​de ambiente sobre o dispositivo do cliente para usar nesses scripts.

Tentei enviar essas variáveis ​​do arquivo de configuração do cliente assim:

push-peer-info
setenv IV_TEST="test1"
setenv UV_TEST="test2"

Mas não consigo recuperar essas variáveis ​​do script. Nos logs, consigo ver algumas variáveis ​​sendo transmitidas:

2024-09-11 07:31:09 us=326572 192.168.175.1:49395 peer info: IV_VER=3.8.2connect3
2024-09-11 07:31:09 us=326583 192.168.175.1:49395 peer info: IV_PLAT=win
2024-09-11 07:31:09 us=326588 192.168.175.1:49395 peer info: IV_NCP=2
2024-09-11 07:31:09 us=326593 192.168.175.1:49395 peer info: IV_TCPNL=1
2024-09-11 07:31:09 us=326597 192.168.175.1:49395 peer info: IV_PROTO=990
2024-09-11 07:31:09 us=326601 192.168.175.1:49395 peer info: IV_MTU=1600
2024-09-11 07:31:09 us=326605 192.168.175.1:49395 peer info: IV_CIPHERS=xxxxxxxx
2024-09-11 07:31:09 us=326609 192.168.175.1:49395 peer info: UV_ASCLI_VER=3.4.4-3412
2024-09-11 07:31:09 us=326614 192.168.175.1:49395 peer info: UV_PLAT_REL= xxxxxx
2024-09-11 07:31:09 us=326618 192.168.175.1:49395 peer info: UV_UUID=xxxxxxxxxxx
2024-09-11 07:31:09 us=326635 192.168.175.1:49395 peer info: IV_GUI_VER=OCWindows_3.4.4-3412
2024-09-11 07:31:09 us=326638 192.168.175.1:49395 peer info: IV_SSO=webauth,crtext
2024-09-11 07:31:09 us=326641 192.168.175.1:49395 peer info: IV_HWADDR=xxxxxxxxxxx
2024-09-11 07:31:09 us=326645 192.168.175.1:49395 peer info: IV_SSL=OpenSSL_3.1.4_24_Oct_2023

Mas não as variáveis ​​que defini.

Verificando a documentação podemos ver isso:

EDITAR1:

--push-peer-info : Envie informações adicionais sobre o cliente para o servidor. Os seguintes dados são sempre enviados para o servidor:

Isso implica que, usando --push-peer-info, podemos permitir que o cliente envie variáveis ​​personalizadas adicionais, além das padrões, mas como fazer isso?

EDIT2: Eu até tentei substituir as variáveis ​​padrão e alterar a ordem, sem sorte:

setenv IV_HWADDR="test1"
push-peer-info

Qualquer ajuda é muito apreciada.

Estou executando o Ubuntu 22 e tenho configuração openvpn (cliente) para rodar como um serviço. Eu costumava ter um arquivo .conf em /etc/openvpn e recentemente adicionei outro.

Quando o openvpn inicia, ou eu o reinicio, ele só se conecta à VPN a partir do primeiro arquivo .conf e não do segundo.

Se eu executar, sudo openvpn --config secondvpn.confele funciona bem e se conecta.

O script do serviço, em /etc/init.d, diz

# Description: This script will start OpenVPN tunnels as specified
#              in /etc/default/openvpn and /etc/openvpn/*.conf

Não tenho nenhum túnel especificado em /etc/default/openvpn e ambos os arquivos de configuração estão em /etc/openvpn/ e possuem a extensão .conf.

Eu tentei systemctl daemon-reload, mas isso não pareceu ajudar.

Também tentei comentar a linha LimitNPROC em /lib/systemd/system/ [email protected] . (do OpenVPN não inicia como um serviço com arquivo de configuração ), mas isso não fez diferença.

Como faço para que o openvpn reconheça meu segundo arquivo de configuração?

Assumindo autenticação de par de chaves bidirecional com certificados válidos, como datas, etc., sem tls-crypt, sem CRL e sem verificações de nomes comuns.

Essa também é a razão para usar uma CA privada, em vez de pública?

Quero que todo o tráfego da minha Internet passe pela VPN, exceto alguns sites (por exemplo, para que eu possa transmitir shows normalmente, mas executar outras coisas pela VPN).

Meu provedor VPN me fornece um arquivo .ovnp. Devo mencionar rapidamente que tenho fibromialgia e não consigo pensar bem. Portanto, adicionei cegamente textualmente em algum lugar meio aleatório ao arquivo vnp o seguinte, que obtive de outros tópicos.

allow-pull-fqdn
route www.netflix.com 255.255.255.255 net_gateway
route www.disneyplus.com 255.255.255.255 net_gateway
route www.primevideo.com 255.255.255.255 net_gateway

Mas, infelizmente, quando visito o site listado, posso ver que passo pelo vpn porque eles não se comportam corretamente, com shows ausentes ou simplesmente não carregam (enquanto que, quando não uso o vpn, eles estão bem) . Espero que não seja porque esses domínios têm vários ips ou algo assim. Estou executando o arch linux. Existe um lugar especial no arquivo que eu preciso para colocar meu bloco? O arquivo se parece com isso (acho que esses arquivos são públicos de qualquer maneira, mas removi as chaves):

client
dev tun
proto udp
remote 89.47.234.171 1194
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0
comp-lzo no

<-- I tried here

remote-cert-tls server

auth-user-pass
verb 3
pull
fast-io
cipher AES-256-CBC
auth SHA512
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

Configurei um serviço OpenVPN em meu servidor com autenticação de nome de usuário e senha e nenhum certificado de cliente é necessário.

Eu defini o nome de usuário e a senha em /etc/passwd e /etc/shadow. agora, não há problema em conectar-se com um usuário específico para OpenVPN (que é client1 ), mas tentei root (um usuário linux), também é possível conectar-se.

A questão é: existe alguma maneira de armazenar esses usuários para OpenVPN em vez de passwd? É muito perigoso, eu acho, ou outro grupo (crie um grupo em /etc/gourp para OpenVPN) para limitá-los?

server.conf

port 20487
proto udp
dev tun
;dev-node MyTap
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
duplicate-cn
keepalive 10 120
tls-crypt ta.key 0 # This file is secret
data-ciphers AES-256-GCM
data-ciphers-fallback AES-256-GCM
max-clients 24
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
verb 5


explicit-exit-notify 1

plugin openvpn-plugin-auth-pam.so login
verify-client-cert none
username-as-common-name
script-security 2

cliente.ovpn

client
dev tun
proto udp
remote [destnation] 20487
auth-user-pass
#verify-client-cert none
#username-as-common-name
data-ciphers-fallback AES-256-GCM
data-ciphers AES-256-GCM
<ca>
-----BEGIN CERTIFICATE-----
ca.crt
-----END CERTIFICATE-----
</ca>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
ta.key
-----END OpenVPN Static key V1-----
</tls-crypt>

/etc/passwd

root:x:0:0:root:/root:/bin/bash
***
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
***
client1:x:1001:65534::/nonexistent:/usr/sbin/nologin

/etc/shadow

root:$y$*:19532:0:99999:7:::
***
nobody:*:19172:0:99999:7:::
***
client1:$y$j9T$K0ubESGFtXD2Imra5pMVJ/$ZUM2HNYn.0X9smrtKEAdgjIclQIdcURbI4xxlTU6tHB:19532:0:99999:7:::

Para definir IP estático para clientes com certificados distintos, podemos definir IP estático para clientes seguindo a resposta de jdmorei . No entanto, se duplicate-cnestiver definido no lado do servidor, para que muitos clientes compartilhem o mesmo certificado, como posso definir IP estático para um cliente específico?

 openvpnas.service - OpenVPN Access Server
     Loaded: loaded (/lib/systemd/system/openvpnas.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2022-04-10 09:28:12 UTC; 5h 2min ago
   Main PID: 14649 (python3)
      Tasks: 13 (limit: 1081)
     Memory: 199.1M
     CGroup: /system.slice/openvpnas.service
             ├─14649 python3 -c from pyovpn.sagent.sagent_entry import openvpnas ; openvpnas() --nodaemon --logfile=>
             ├─14667 /usr/bin/python3 -c from pyovpn.cserv.wserv_entry import start ; start() -no -u openvpn_as -g o>
             ├─14668 /usr/bin/python3 -c from pyovpn.log.logworker import start ; start()
             ├─14680 /usr/bin/python3 -c from pyovpn.sagent.iptworker import start6 ; start6()
             ├─14682 /usr/bin/python3 -c from pyovpn.sagent.iptworker import start ; start()
             ├─14686 openvpn-openssl --errors-to-stderr --config stdin
             ├─14689 openvpn-openssl --errors-to-stderr --config stdin
             ├─14696 openvpn-openssl --errors-to-stderr --config stdin
             ├─14698 openvpn-openssl --errors-to-stderr --config stdin
             ├─14704 openvpn-openssl --errors-to-stderr --config stdin
             ├─14713 openvpn-openssl --errors-to-stderr --config stdin
             └─14718 iptables-restore -n

Por que estou recebendo esses erros, mesmo que o openvpn esteja funcionando bem