Possibile? Server OpenVPN che richiede sia il login di certificato e password (tramite il firmware del router Tomato)

Ho usato la build di Tomato (64k NVRAM versione) sul mio router Asus N66U per eseguire un server OpenVPN.

Sono curioso se sia ansible impostare questo server OpenVPN per richiedere sia un certificato che un nome utente / password prima che un utente possa accedere.

Ho notato che c'è una voce di "challenge password" quando compila i dettagli del certificato, ma tutti dicono di lasciarlo vuoto "oppure"; Non ho idea del perché, e non riesco a trovare una spiegazione. Inoltre, ho fatto questo problema a un gruppo di Google e ho notato che la gente parlava di un module PAM per OpenVPN per poter autenticare tramite username / password, ma che sembrava un'opzione o un'opzione; in altre parole, posso forzare l'authentication tramite il nome utente / password OR certificato. Voglio richiedere entrambi.

È ansible? In caso affermativo, come?

  • Chiunque usa DD-WRT / OpenWRT ecc. Nel loro ufficio?
  • Apache ascolta, ma non risponde
  • dnsmasq & Tomato - Elimina la necessità di un punto finale per la risoluzione dei nomi
  • Doppia port WAN su un WRT54GL
  • OpenVPN e TomatoVPN
  • Firmware del pomodoro - visualizza il traffico della port 80
  • Modifica dei file di configuration del router a mano
  • Port forward localhost: port a lan: port utilizzando iptables - come?
  • 4 Solutions collect form web for “Possibile? Server OpenVPN che richiede sia il login di certificato e password (tramite il firmware del router Tomato)”

    La funzionalità OpenVPN che stai cercando, che consente al server di autenticare i client in base al loro certificato e una credenziale, è auth-user-pass-verify . Questa funzionalità consente al server di passare il nome utente / la password fornito dall'utente remoto in uno script che esegue l'authentication. A quel punto puoi validationre le credenziali contro qualsiasi cosa desideri: PAM, RADIUS, LDAP, segnali di fumo, ecc.

    Non so niente sui firmatari del "pomodoro", quindi non voglio nemless cercare di dare un passo avanti qui. Ho fatto qualche ricerca veloce e sospetto che tu possa utilizzare l'opzione "Configurazione personalizzata" di OpenVPN per includere un riferimento di auth-user-pass-verify . Avnetworking bisogno di uno script per eseguire l'authentication.

    Faccia qualche ricerca e sospetto che troverai i riferimenti "Tomato" -specifici.

    La password di sfida è una passphrase utilizzata per consentire la decrittazione della chiave. Questo è l'unico modo per fare davvero una "password" e una chiave.

    Puoi veramente verificare solo tramite password o chiave, non entrambi. Se entrambi i methods sono abilitati, proverà prima l'authentication chiave e, se ciò non riesce, ricadrà all'authentication della password.

    Non avere una passphrase su una chiave rende più facile per qualcuno imitare la vostra identity framework; se capita di get una presa della chiave.

    Ti suggerisco di scoprire perché l'interwebz dice che non dovresti usare le passphrase sulle chiavi e vedere se è in realtà un problema.

    auth-user-pass-verify è la cosa giusta da fare. Inoltre è ansible forzare il nome utente utente di auth-utente deve essere la CN certificata è ansible anche forzare openvpn per creare una sola connessione each certificato alla volta.

    In questo modo un "mimico" deve avere l'utente giusto rispetto al CNC e al pass di destra e deve accedere alla volta del proprietario vero e proprio

    Inoltre si può pensare ad un IDS, a seconda di quale si sceglie, è ansible anche restringervi come le intervalli ip esterne consentite, i tempi di accesso e così via.

    Qualsiasi esposizione esposta dovrebbe essere revocata immediatamente. Il server di firma dovrebbe essere fuori dalla chiave di trasferimento di networking da usb – allora hai un accesso sicuro e stretto sicuro.

    e no, non dovresti usare una password.

    1. Facile da bruteforce.
    2. Non puoi bloccare un utente (il pass di cert è solo offline).
    3. Le persone perdono le loro parole d'accesso per tutto il tempo costringendole a revocare e ricreare un certo each volta – grande rischio di avere un sacco di cert out là where forse a volte dimenticare la revoca.

    Ma se si vuole veramente è ansible utilizzare la password auth-user e cert la stessa volta non ci sarà fallback o qualcosa del genere.

    Innanzitutto, openvpn utilizzerà la password del cert per decrittografare la chiave privata per stabilire una connessione – allora l'utente di authorization si esegue in server – se le credenziali sono sbagliate uscite.

    Tuttavia se un attaccante ottiene le credenziali regolari che hai già in difficoltà e le probabilità sono alte, ha anche ottenuto la password del cert.

    Quindi non vedo bene bene qui solo un sacco di disagi e una sensazione sbagliata di maggiore sicurezza.

    Ho seguito questo tutorial (con TomatoUSB Shibby 1.28 sul mio Asus N66U): http://www.dd-wrt.com/wiki/index.php/OpenVPN Ciò può aiutare molto.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.