OpenVPN: Grundsätzliches
Mahlzeit, da meine Uni mittlerweile von Nortel-VPN auf OpenVPN umgestellt hat, kann ich somit nun zum ersten Mal auch unter Linux auf das uni-Netz zugreifen. Dabei stellen sich mir zwei Fragen: 1. Ich muß Username und Passwort eintippen, sonst geht nix. Das ist wohl so gewollt. Dann gibt es wohl keine Möglichkeit, das VPN beim Systemstart automatisch aufzubauen, außer openVPN neu zu kompilieren und "User/PW aus einer Datei einlesen" zu erlauben. Richtig? 2. Als Workaround hab ich eine Desktop-Verknüpfung in .kde/Autostart/, die ein Terminal öffnet, und dann per sudo den openVPN-Befehl aufruft. So kann ich die Passwörter eingeben, und trotzdem geht das einigermaßen komfortabel. Nach der Eingabe läuft der openVPN-Befehl ab, und das Terminal ist blockiert. Wie breche ich die Verbindung ab? Also wie ist das vorgesehn, STRG+C wirkt, aber ob das die feine englische Art bzw. vorgesehene Art ist? Wenn ich es als daemon laufen lasse, dann ist das Terminal wieder nutzbar, nur wüsste ich gern wie dann der "offizielle Weg" ist, den Daemon zu stoppen. Prozess-ID rausfinden und killen/Sigterm/Sighup schicken? Die Infos die ich gefunden habe schweigen sich darüber leider aus. Danke im Voraus, OJ P.S. Kann sein dass meine Systemzeit daneben ist, mein Windows XP stellt sich grad dämlich an. -- *garks* *röchel* *plumps* <Geräusch sich nähernder Schritte> <ein Mann läßt sich auf ein Knie nieder> "Er ist tot, Jim." "Gut; dann können wir ja jetzt wieder heim in die echte Serie. Bin ich froh! Hast Du ge- sehen? Hier haben die Weiber lange Hosen an"(aus drs.startrek.10vorne)
Am 27.03.2006 17:45 schrieb Johannes Kastl: [openvpn-Fragen] Hm, waren die Fragen zu schwer? Zu einfach? Schlecht gestellt? Oder wusste einfach niemand was dazu? Fragen über Fragen. OJ -- If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry. (Terry Pratchett)
[mal als Cc per Mail, weil's schon laenger her ist] On Mon, Mar 27, 2006 at 04:45:58PM +0100, Johannes Kastl wrote:
Mahlzeit,
da meine Uni mittlerweile von Nortel-VPN auf OpenVPN umgestellt hat, kann ich somit nun zum ersten Mal auch unter Linux auf das uni-Netz zugreifen.
Dabei stellen sich mir zwei Fragen:
1. Ich muß Username und Passwort eintippen, sonst geht nix. Das ist wohl so gewollt. Dann gibt es wohl keine Möglichkeit, das VPN beim Systemstart automatisch aufzubauen, außer openVPN neu zu kompilieren und "User/PW aus einer Datei einlesen" zu erlauben. Richtig?
Ist das eine compile-time Option? Hm, scheint in der Tat so. --enable-password-save muesste es sein.
2. Als Workaround hab ich eine Desktop-Verknüpfung in .kde/Autostart/, die ein Terminal öffnet, und dann per sudo den openVPN-Befehl aufruft. So kann ich die Passwörter eingeben, und trotzdem geht das einigermaßen komfortabel.
Auf der 10.1 gibt es ein Paket NetworkManager-openvpn, das openvpn in NetworkManager einbindet. Moeglicherweise hilft das auch mit der Passworteingabe -- nur so eine Idee... schau's Dir vielleicht mal an.
Nach der Eingabe läuft der openVPN-Befehl ab, und das Terminal ist blockiert. Wie breche ich die Verbindung ab? Also wie ist das vorgesehn, STRG+C wirkt, aber ob das die feine englische Art bzw. vorgesehene Art ist?
Ctrl-C ist durchaus okay.
Wenn ich es als daemon laufen lasse, dann ist das Terminal wieder nutzbar, nur wüsste ich gern wie dann der "offizielle Weg" ist, den Daemon zu stoppen. Prozess-ID rausfinden und killen/Sigterm/Sighup schicken?
Das waere wohl der "offizielle" Weg. Wenn openvpn mit einer Konfiguration /etc/openvpn/*.conf per 'rcopenvpn start' gestartet wurde, laesst es sich mit 'rcopenvpn stop' wieder stoppen (es geschieht auf die von Dir beschriebene Weise).
Die Infos die ich gefunden habe schweigen sich darüber leider aus.
Danke im Voraus,
OJ
Peter -- When in danger, or in doubt, run in circles, scream and shout. -- Robert A. Heinlein
Am 23.06.2006 09:34 schrieb poeml@cmdline.net:
[mal als Cc per Mail, weil's schon laenger her ist]
Ich lese hier schon noch mit, trotzdem danke fürs Ans-CC-Denken. ;-)
On Mon, Mar 27, 2006 at 04:45:58PM +0100, Johannes Kastl wrote:
Ist das eine compile-time Option? Hm, scheint in der Tat so. --enable-password-save muesste es sein.
Gut zu wissen dass meine Einschätzung der Lage korrekt war. Nicht dass es da noch einen einfachen Trick gibt, mit dem es doch gehen würde.
Auf der 10.1 gibt es ein Paket NetworkManager-openvpn, das openvpn in NetworkManager einbindet. Moeglicherweise hilft das auch mit der Passworteingabe -- nur so eine Idee... schau's Dir vielleicht mal an.
Werd ich machen, da ich aber noch 9.3 als Hauptsystem habe muss ich da ohne auskommen.
Daemon zu stoppen. Prozess-ID rausfinden und killen/Sigterm/Sighup schicken?
Das waere wohl der "offizielle" Weg.
OK.
Wenn openvpn mit einer Konfiguration /etc/openvpn/*.conf per 'rcopenvpn start' gestartet wurde, laesst es sich mit 'rcopenvpn stop' wieder stoppen (es geschieht auf die von Dir beschriebene Weise).
Mal schauen wie ich das löse. Danke aber mal für die Infos. OJ -- Jaja, als ihr noch junge, echte Kerle wart, da wurden die Bits noch einzeln in Handarbeit aus Mammutzähnen geschnitzt und im fahlen Mondlicht unter die Eichen verpflanzt... (Karsten Düsterloh in dcsm.n-b)
Am Freitag, 23. Juni 2006 15:43 schrieb Johannes Kastl:
Am 23.06.2006 09:34 schrieb poeml@cmdline.net:
[mal als Cc per Mail, weil's schon laenger her ist]
Ich lese hier schon noch mit, trotzdem danke fürs Ans-CC-Denken. ;-)
On Mon, Mar 27, 2006 at 04:45:58PM +0100, Johannes Kastl wrote:
Ist das eine compile-time Option? Hm, scheint in der Tat so. --enable-password-save muesste es sein.
Gut zu wissen dass meine Einschätzung der Lage korrekt war. Nicht dass es da noch einen einfachen Trick gibt, mit dem es doch gehen würde.
Was ist denn für die Authentifizierung und Identifizierung auf deinem Server eingestellt? OpenVPN kann da ja beliebige Auth-Mechanismen und Skripte, da sollte auch für dich was dabei sein. Verwendest du Zertifikate? Warum brauchst du username/password auf dem client, wenn du die dann in ner Datei ablegen willst? Das macht doch überhaupt keinen Sinn. Der Vorteild an Usernamen/Passworten ist ja in erster Linie, dass du das Password im Kopf und nicht auf der Maschine hast. den Bonus verlierst du dann halt komplett. Wenn du kein Passwort eingeben willst, dann verwende SSL-Zertifikate, die sind dann auf deinem Rechner. Der Unterschied ist wichtig: - Zertifikate oder auch ein Password in einer Datei (oder beides) => Laptop wird gestohlen => Ein Dieb hat Zugang bis Admin aktiv wird. - Zusätzlichen Schutz bieten dann Tokens, Smartcards oder wenns nicht anders geht auch Passworte - die an Mann/Frau oder im Kopf sind. Laptop wird gestohlen - Ein Dieb hats schwerer. Deshalb halte ich das für sehr sinnvoll, Passworte fürs VPN nicht in der Datei abzulegen. Dafür gibts dann bessere Lösungen. Wenn du das sauber löst, brauchst du auch deinen Workaround nicht mehr. Sorry, vielleicht habe ich ja was wichtiges in dem Thread nicht mitbekommen, ... :-) -- Best Regards - Mit freundlichen Grüßen Markus Feilner -------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Out now: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks ======================================= -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am 23.06.2006 17:32 schrieb Markus Feilner:
Was ist denn für die Authentifizierung und Identifizierung auf deinem Server eingestellt? ^^^^^^^^^^^^^
Sorry, vielleicht habe ich ja was wichtiges in dem Thread nicht mitbekommen, ... :-)
Es ist ja nicht mein Server. Es ist der von der Uni ;-) OJ -- Nein. Binnen-I ist deppert. "Liebe Dachrinnen und Dachren, ..." (Christian Gottschalk in d.r.s.s.10vorne)
Am Friday 23 June 2006 18:08 schrieb Johannes Kastl:
> Am 23.06.2006 17:32 schrieb Markus Feilner:
> > Was ist denn für die Authentifizierung und Identifizierung auf
> > deinem Server eingestellt?
>
> ^^^^^^^^^^^^^
>
> > Sorry, vielleicht habe ich ja was wichtiges in dem Thread nicht
> > mitbekommen, ... :-)
>
> Es ist ja nicht mein Server. Es ist der von der Uni ;-)
>
> OJ
OK.
Ein paar TIpps:
- Probiers mal mit dem SSH-Key deines users für deinen localen root und mach
das über ssh root@localhost <anwendung>... Damit bekommst du ohne Anmeldung
eine lokale root-shell und kannst Anwendungen ausführen lassen (FURCHTBAR!
DONT TRY THIS AT HOME!)
- es gibt einige perl-erweiterungen wie perl-net-telnet, damit haben wir schon
einige Appliances von Linux aus gesteuert. Sowas gibts sicher auch für die
SSH - und das kann dann anmeldedialoge und ähnliches auch mit abarbeiten (so
wie PAP/CHAP für Dialin-Verbindungen...
Sorry, für mehr reichts um die Zeit nicht mehr ... Ich hoffe das hilft...
:-)
--
Best Regards - Mit freundlichen Grüßen
Markus Feilner
--------------------------
Feilner IT Linux & GIS
Linux Solutions, Training, Seminare und Workshops - auch Inhouse
Kötztingerstr 6c 93057 Regensburg
fon regensburg +49 941 8107989
mobil +49 170 3027092
www: www.feilner-it.net mail: mfeilner@feilner-it.net
---------------------------------------
My new book - Out now: http://www.packtpub.com/openvpn/book
OPENVPN : Building and Integrating Virtual Private Networks
=======================================
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-unsubscribe@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-help@suse.com
Am 24.06.2006 00:57 schrieb Markus Feilner:
Ein paar TIpps: - Probiers mal mit dem SSH-Key deines users für deinen localen root und mach das über ssh root@localhost <anwendung>... Damit bekommst du ohne Anmeldung eine lokale root-shell und kannst Anwendungen ausführen lassen (FURCHTBAR! DONT TRY THIS AT HOME!)
Absolutes ACK, root-Rechte ohne Passwort für alle Anwendungen, aua aua.
- es gibt einige perl-erweiterungen wie perl-net-telnet, damit haben wir schon einige Appliances von Linux aus gesteuert. Sowas gibts sicher auch für die SSH - und das kann dann anmeldedialoge und ähnliches auch mit abarbeiten (so wie PAP/CHAP für Dialin-Verbindungen...
Hilft mir aber alles nicht, da ja der Server an der Uni ein Passwort von mir will. Also nicht openvpn auf meinem Rechner, das kann man ja wie du sagst lösen, oder mit sudo,... Es ging mir nur darum rauszufinden ob ich übersehen hatte dass man openvpn user/PW beim Start angeben kann. Hatte ich wohl nicht übersehen, geht wohl ohne Neukompilieren nicht.
Sorry, für mehr reichts um die Zeit nicht mehr ... Ich hoffe das hilft... :-)
Nicht viel ;-), trotzdem danke schön. OJ -- Deutsch ist eine der schönsten, präzisesten und poetischsten Sprachen überhaupt. Viel besser als Englisch. Sie hat sich nur das falsche Volk ausgesucht. (Harry Rowohlt, deutscher Schriftsteller)
Am Sunday 25 June 2006 20:41 schrieb Johannes Kastl:
Am 24.06.2006 00:57 schrieb Markus Feilner:
Ein paar TIpps: - Probiers mal mit dem SSH-Key deines users für deinen localen root und mach das über ssh root@localhost <anwendung>... Damit bekommst du ohne Anmeldung eine lokale root-shell und kannst Anwendungen ausführen lassen (FURCHTBAR! DONT TRY THIS AT HOME!)
Absolutes ACK, root-Rechte ohne Passwort für alle Anwendungen, aua aua.
- es gibt einige perl-erweiterungen wie perl-net-telnet, damit haben wir schon einige Appliances von Linux aus gesteuert. Sowas gibts sicher auch für die SSH - und das kann dann anmeldedialoge und ähnliches auch mit abarbeiten (so wie PAP/CHAP für Dialin-Verbindungen...
Hilft mir aber alles nicht, da ja der Server an der Uni ein Passwort von mir will. Also nicht openvpn auf meinem Rechner, das kann man ja wie du sagst lösen, oder mit sudo,...
Es ging mir nur darum rauszufinden ob ich übersehen hatte dass man openvpn user/PW beim Start angeben kann. Hatte ich wohl nicht übersehen, geht wohl ohne Neukompilieren nicht.
Sorry, für mehr reichts um die Zeit nicht mehr ... Ich hoffe das hilft...
:-)
Nicht viel ;-), trotzdem danke schön.
OJ OK. schau dir mal das management interface an - da startest du openvpn als root (beim systemstart) und er wartet, bis du mit telnet auf nen lokalen Port gehst, deine creds eingibst und dann wird der tunnel aufgebaut. Das nutzen auch ein paar GUIs, davon ist vielleicht kopvpn (http://www.kde-apps.org/content/show.php?content=37043) was für dich. viel spass! :-) -- Best Regards - Mit freundlichen Grüßen Markus Feilner
-------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Out now: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks ======================================= -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (3)
-
Johannes Kastl -
Markus Feilner -
poeml@cmdline.net