主页 / server / 问题 / 899635
Accepted
WoJ
Asked: 2018-03-03 01:06:02 +0800 CST

如何从服务器推送脚本,在客户端运行?

  • 772

我有一个无法再连接的设备(ssh、salt、...),没有简单的物理访问权限 - 但它仍然打开到我的服务器的 OpenVPN 会话。为了尝试恢复它,我想:

  • 在服务器上强制重新连接此客户端
  • 当客户端重新连接时 - 推送客户端将执行的脚本(首先我会通过日志和配置的转储查看正在发生的事情,然后可能恢复正确的设置)

脚本在客户端连接后运行的解决方案,但都假设这是客户端的选择(= 配置在客户端)。我正在寻找相反的方式。

我可以看到这种方法存在安全问题(VPN 提供商可以接管客户端计算机),但也许有一种方法在文档中并不明显?

openvpn

1 个回答

  1. Best Answer

    要强制客户端重新连接,您可以:

    • OUTPUT链中使用iptables删除特定的源 IP 地址和源端口组合,或在INPUT中使用比 ping-restart 间隔更长的时间段的目标地址和目标端口,
    • 在 OpenVPN 的管理界面中杀死指定的客户端:见这里
    • 重启 OpenVPN 服务@服务器,以上所有将强制新的对称密钥交换、新的套接字和新的 dst 端口号。

    为什么不能执行脚本:

    • 你在这里不走运。脚本已配置并且必须位于客户端,AFAIK 甚至 OpenVPN 的 ccd 都不允许这样做,客户端也需要适当的“拉”配置指令 - 以允许服务器拉取最基本的隧道选项,例如:密码,缓冲区大小,压缩,路由等,但不是脚本配置指令。
    • 在默认配置中,OpenVPN 以任何人权限工作,
    • 这将是一个安全漏洞。
    • 3

相关问题