Sada je: 31 svi 2020, 21:42.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Otvaram temu iz razloga što sličnu nisam uspio naći na forumu.Neka bude opća tema o VPN-u ako se moderatori slože pa nek svatko sa sličnim pitanjima piše ovdje.Naime,problem slijedeći ; OpenVPN instaliran na Wheezy,sve radi uredno,IP,DNS itd.... ali nikako da pronađem rješenje za ručnu konfiguraciju DNS-a na client PC-u jer ne želim da bude onaj koji server dodijeli,već OpenDNS.Jel zna netko kako to naštimati?
Postovi: 15
Postovi: 15
Pridružen/a: 30 pro 2014, 14:10
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Wheezy KDE CentOS
Želiš na klijentu ručno upisati DNS postavke za tun0 interface ili želiš da tvoj OpenVPN server pusha svim klijentima da koriste OpenDNS?
Postovi: 42
Postovi: 42
Pridružen/a: 08 svi 2014, 02:17
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 2 puta
Spol: M
OS: Ubuntu 14.04
rkaracic je napisao/la:Želiš na klijentu ručno upisati DNS postavke za tun0 interface

Upravo to.Postavit ručno DNS na klijentu za tun interface.Već sam mislio da sam pogrešno postavio pitanje :hihi
Postovi: 15
Postovi: 15
Pridružen/a: 30 pro 2014, 14:10
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Wheezy KDE CentOS
Pa malo mi je nejasno pitanje, pa je trebalo dok suzim opcije na što si mislio :)

Ako si iskonfigurirao OpenVPN putem NetworkManagera i njegovog OpenVPN plugina, trebao bi moći uredno putem njega urediti svoju OpenVPN vezu i tu odrediti sve parametre koje želiš.

Jedino što me muči, ako nisi u postavkama servera namjestio da pusha dns servere svim klijentima (ili određenim), na koji način ti server ubacuje postavke DNS-a u klijent računalo ?

EDIT:

Novi sam u svijetu OpenVPN-a, ali po svemu što sam ja shvatio, tvoj klijent će resolvati adrese pomoću svojih lokalno iskonfiguriranih DNS-ova uvijek, osim u slučaju kada redirektaš sav promet kroz VPN, tako da nikako ne uspijevam shvatiti kako tebi klijent resolva preko DNS-ova od servera.
Postovi: 42
Postovi: 42
Pridružen/a: 08 svi 2014, 02:17
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 2 puta
Spol: M
OS: Ubuntu 14.04
Server dodjeljuje DNS putem DHCP-a (koliko je meni poznato) i sa strane servera postavke su ok.Klijent se može spojiti bez problema i konekcija na server bude uspješno odrađena ali mene zanima kako sa strane klijenta podesiti ručno DNS,gdje vidjeti te postavke i kako ih podesiti na klijent PC-u?Ovdje je npr pojašnjeno dosta toga https://wiki.debian.org/OpenVPN ali nema ono što ja tražim.Spajam se putem terminala.Ne znam jel bi bilo lakše iskonfigurirati putem Gadmina ili dodavanjem VPN konekcije u network manager?Opet sam malo zakomplicirao :nee
Postovi: 15
Postovi: 15
Pridružen/a: 30 pro 2014, 14:10
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Wheezy KDE CentOS
Konfiguriraj VPN konekciju preko network managera. Prije toga instraliraj ovaj paket, ako ga već nemaš: network-manager-openvpn

U konfiguraciji VPN-a preko network managera, možeš mu ručno podesiti koje DNS servere da koristi, samo odaberi opciju "Automatic (VPN) addresses only" na tabu IPv4 Settings kod kreiranja konekcije.
Postovi: 9
Postovi: 9
Pridružen/a: 23 svi 2013, 10:21
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 1 puta
U pravu si, server dodjeljuje DNS putem svog DHCP-a, ali ako ti serveru nisi rekao koji DNS da pusha klijentima, on neće ništa pushati.

U serverskoj konfiguraciji negdje moraš imati ovakav neki red :

push "dhcp-option DNS 10.66.0.4"

da bi ti server progurao neki DNS koji odrediš klijentima.

Prouči si baš od OpenVPN-a dokumentaciju, dosta je iscrpnija od ove Debianove.

https://openvpn.net/index.php/open-sour ... howto.html

EDIT:

Da bi ti Linux klijenti prihvatili konfiguraciju koju gura server, moraju u svom client.confu imati ove redove :
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

To je skripta od OpenVPN-a koja koliko sam skužio "nasilno" ugura postavke koje pusha server jer linuxi to ne podržavaju nativno (nisam baš najbolje shvatio taj dio u svom istraživanju).
Postovi: 42
Postovi: 42
Pridružen/a: 08 svi 2014, 02:17
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 2 puta
Spol: M
OS: Ubuntu 14.04
Malo sam improvizirao pa nakon što sam pokrenuo vpn konekciju,ubacio OpenDNS postavke u resolv.conf i dobio ono što sam htio :thmbs-up ali to je samo privremeno riješenje jer nakon reboota,network manager vrati DNS na staro tako da pri svakom pokretanju OpenVPN-a treba ručno upisati DNS u resolv.conf.Moram to još dosta proučavat dok ne nađem pravo rješenje.Ipak sam i ja još novi u tom svemu.Hvala na pomoći.
Postovi: 15
Postovi: 15
Pridružen/a: 30 pro 2014, 14:10
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Wheezy KDE CentOS
Da li imaš u resolv.conf ove redove
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
?

Malo sam pronjuškao i vidim da taj fajl editira paket resolvconf i koliko sam skužio po njegovom manualu, taj paket je posrednik za neke više aplikacije i niže slojeve. Ako sam dobro shvatio, on čupa svoje podatke iz /etc/network/interfaces fajla, pa možeš probati tamo unijeti ručno DNS-ove, ali možda bolje da pričekaš nekoga iskusnijeg od mene da ti tu pomogne. Nisam se previše petljao sa networking dijelom.

Sad malo redirekcija sa tvog pitanja pošto mi se sviđa ideja da imamo temu za raspravu o OpenVPN-u. Da li netko zna kako podesiti uz autentifikaciju certifikatima još dodatni sloj provjere sa username-om i passwordom ?

Na netu sam našao par primjera, ali u njima se može samo 1 username i 1 password unijeti (ili ja nisam dobro shvatio), a ja bi volio da svaki klijent ima svoj unikatni username i password uz certifikat. Da li to uopće ima smisla u smislu sigurnosti ?

Ako se netko više bavio sa OpenVPN-om, kakve imate savjete za "podebljavanje" sigurnosti kod autentifikacija, ali i prijenosa ?

Evo moje server konfe :

Kod: Označi sve
port 1194

proto tcp

dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key

dh /etc/openvpn/keys/dh4096.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

client-to-client

keepalive 10 120

tls-auth /etc/openvpn/keys/ta.key 0

cipher AES-256-CBC

comp-lzo

max-clients 20

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

verb 3



a evo i moje klijentske konfe :

Kod: Označi sve
client

dev tun

proto tcp

remote xxx.xxx.xxx.xxx 1194

resolv-retry infinite
 
nobind

user nobody
group nogroup
 
persist-key
persist-tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key

ns-cert-type server
 
tls-auth /etc/openvpn/keys/ta.key 1

cipher AES-256-CBC

comp-lzo

verb 3


Našao sam na jednoj stranici par savjeta
http://resources.infosecinstitute.com/cloud-vpn-security-recommendations-2/

ali baš ne shvaćam što točno te opcije rade pa ih nisam uposlio.
Postovi: 42
Postovi: 42
Pridružen/a: 08 svi 2014, 02:17
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 2 puta
Spol: M
OS: Ubuntu 14.04
rkaracic je napisao/la:Da li imaš u resolv.conf ove redove
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
?

Malo sam pronjuškao i vidim da taj fajl editira paket resolvconf i koliko sam skužio po njegovom manualu, taj paket je posrednik za neke više aplikacije i niže slojeve. Ako sam dobro shvatio, on čupa svoje podatke iz /etc/network/interfaces fajla, pa možeš probati tamo unijeti ručno DNS-ove, ali možda bolje da pričekaš nekoga iskusnijeg od mene da ti tu pomogne. Nisam se previše petljao sa networking dijelom.

Jel misliš update.resolv.conf skriptu od openvpn-a ili resolv.conf?Kako god,sve je po default-u.Jedino postavke DNS u resolv.conf sam mjenjao,tako da sam postavio OpenDNS umjesto onog koji dodjeljuje server
Kod: Označi sve
nameserver 208.67.222.222
nameserver 208.67.220.220
Postovi: 15
Postovi: 15
Pridružen/a: 30 pro 2014, 14:10
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Wheezy KDE CentOS

Na mreži
Trenutno korisnika/ca: / i 1 gost.