Hallo Liste. Ich habe mir gerade eine OpenVPN-Verbindung aufgebaut, und es funktioniert auch alles wunderbar. Nun frage ich mich aber, wie man das sinnvoll für den Alltagsgebrauch konfigurieren kann. Denn ich kann die Verbindung ja zunächst nur mit root-Rechten aufbauen. Wie stellt man es denn an, daß trotzdem ein User ohne root-Paßwort eine solche Verbindung aufbauen kann? Und noch eine Frage: auf einen Windows-Client kann ich ja per dhcp-option einen neuen DNS-Server pushen. Ein Linux-Client richtet sich aber danach nicht. Wie bringe ich also einer Linux-Kiste bei, daß sie ab sofort einen neuen DNS befragen soll? Kann ich das irgendwie serverseitig steuern, oder muß ich auf dem Client ein kleines Skript laufen lassen, welches die resolv.conf ändert? Das ginge ja auch nur mit root-Rechten, und obiges Problem stellte sich hier erneut. Wäre schön, wenn jemand ein paar Ideen hierzu äußern könnte. -- Andre Tann
Hallo Andre, also erstens, ich auch nix wissen, aber zweitens, bei uns ist das so eingerichtet, dass der "normale" User sich "unser" Certifikat auf seine Kiste laden muss und dann soll das "einfach so" gehen - aber nur mit openvpn >= Version 2 ! Und immer noch ist es nötig, auf dem Client-Host openvpn als root zu starten... z.B. so: openvpn --config /etc/openvpn/unser.conf So ein Beispiels-Configfile von uns sieht so aus: (und sollte natürlich am angegebenen Pfad zu finden sein...) client dev tun proto udp remote UNSER-OPENVPN-HOST.UNSERE.DOMAIN.DE redirect-gateway def1 ca /etc/openvpn/ca.crt auth-user-pass Vielleicht hilft Dir das ja als Einstieg? Bernt Christandl
Bernt Christandl, Montag, 29. Mai 2006 10:41:
aber zweitens, bei uns ist das so eingerichtet, dass der "normale" User sich "unser" Certifikat auf seine Kiste laden muss und dann soll das "einfach so" gehen - aber nur mit openvpn >= Version 2 !
Das funktioniert bei mir bestens.
Und immer noch ist es nötig, auf dem Client-Host openvpn als root zu starten... z.B. so:
Tja, und das würde ich gerne umgehen. Denn es soll ja nicht jeder gleich root-Rechte kriegen, nur um den Tunnel aufzubauen... -- Andre Tann
Hallo Andre,
Und immer noch ist es nötig, auf dem Client-Host openvpn als root zu starten... z.B. so:
Tja, und das würde ich gerne umgehen. Denn es soll ja nicht jeder gleich root-Rechte kriegen, nur um den Tunnel aufzubauen...
Ja, aber dann fallen mir doch sofort "suid root" für openvpn ein, ein neue Gruppe, die openvpn auch starten darf, in der der normale User dann sein sollte und/oder ein "wrapper-script", das im Prinzip das "suid root" übernimmt... Bloß daran hast Du sicher auch schon selber gedacht? Viele Grüße, Bernt Christandl
Bernt Christandl, Montag, 29. Mai 2006 10:55:
Ja, aber dann fallen mir doch sofort "suid root" für openvpn ein, ein neue Gruppe, die openvpn auch starten darf, in der der normale User dann sein sollte und/oder ein "wrapper-script", das im Prinzip das "suid root" übernimmt...
Hm, damit kenne ich mich nicht so gut aus, leider. Muß mir da mal was durchlesen dazu. Reicht es im Prinzip, wenn ich ein suid-root-Skript habe, welches openvpn startet? -- Andre Tann
Am Monday 29 May 2006 10:03 schrieb Andre Tann: > Hallo Liste. > > Ich habe mir gerade eine OpenVPN-Verbindung aufgebaut, und es > funktioniert auch alles wunderbar. > > Nun frage ich mich aber, wie man das sinnvoll für den > Alltagsgebrauch konfigurieren kann. Denn ich kann die Verbindung ja > zunächst nur mit root-Rechten aufbauen. Wie stellt man es denn an, > daß trotzdem ein User ohne root-Paßwort eine solche Verbindung > aufbauen kann? > > Und noch eine Frage: auf einen Windows-Client kann ich ja per > dhcp-option einen neuen DNS-Server pushen. > Ein Linux-Client richtet sich aber danach nicht. Wie bringe ich also > einer Linux-Kiste bei, daß sie ab sofort einen neuen DNS befragen > soll? Kann ich das irgendwie serverseitig steuern, oder muß ich auf > dem Client ein kleines Skript laufen lassen, welches die > resolv.conf ändert? Das ginge ja auch nur mit root-Rechten, und > obiges Problem stellte sich hier erneut. > > Wäre schön, wenn jemand ein paar Ideen hierzu äußern könnte. > > -- > Andre Tann Hallo Andre, 1) NON-root-Tunnel, Alltagsgebrauch es gibt für OpenVPN ein paar (grafische) admin programme, richtig gefallen hat mir aber keins davon. eine Lösung wäre: Starte openvpn mit management interface im suspended mode - dann kannst du mit telnet als normaler user den tunnel anschalten wann immer du willst. mit Perl-net-telnet kannst du das dann auch skripten oder sogar als Icon auf dem Desktop oder Menueintrag hinterlegen. Viel Spass! M.E. brauchst du root-rechte, als normaler User hab ichs noch nicht getestet - kannst mir ja infos schicken, was da raus kommt... :-) 2) Netzwerkconfig für VPN-client: Auf Linux Seite kannst du alles am besten mit client configs und skripten machen, incl. DNS Server etc. Leider geht das pushen von Netz-Infos meines Wissens nach unter Linux nicht so gut wie unter Windows als client (weniger optionen), dafür hast aber dann die skripte. :-) -- Best Regards - Mit freundlichen Grüßen Markus Feilner -------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Coming out soon: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks =======================================
participants (3)
-
Andre Tann -
Bernt Christandl -
Markus Feilner