Serwer openvpn działa. Certyfikaty wygenerowane dla 10 userów. Jednakże z pewnych przyczyn muszę jednemu użytkownikowi usunąć dostęp. Można to jakoś szybko zrobić czy muszę wszystko generwoać od początku?
najprościej w tym przypadku skorzystać z opcji uwierzytelniania po loginie i haśle. Chcesz komuś zablokować dostęp to usuwasz jego konto z listyi ważny certyfikat na nic mu się nie zda
Router:Unifi Cloud Gateway Max Switch:Netgear MS510TXPP Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+ VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
W dalszej perspektywie zazwyczaj okazuje się, że będzie potrzebne odwołanie jednego z certyfikatów. Może się tak zdarzyć przy zagubieniu lub kradzieży sprzętu, a także wtedy kiedy dana osoba nie potrzebuje już dostępu do tunelu VPN. Odwołany certyfikat (a razem z nim i klucz) tracą ważność i od tego momentu nie mogą być wykorzystywane do autoryzacji.
Wykorzystujemy do tego polecenie revoke-full podając jako parametr nazwę certyfikatu, który chcemy odwołać. Przed jego wywołaniem oczywiście uruchamiamy source vars, aby wczytać parametry konfiguracyjne.
easyrsa-revoke
Od tego momentu w pliku /etc/mojeCA/keys/crl.pem znajduje się lista odwołanych certyfikatów. Musimy o niej jeszcze poinformować serwer OpenVPN, a robimy to dodając poniższą linię do konfiguracji:
crl-verify crl.pem
Po jego dodaniu konieczny będzie restart demona OpenVPN. Od tego momentu przy każdym połączeniu będzie sprawdzana obecność certyfikatu klienta w pliku crl.pem i jeśli się tam znajdzie, połączenie zostanie odrzucone, nawet jeśli wciąż istnieje plik konfiguracyjny dla danego klienta. Co ważne przy odwoływaniu następnych certyfikatów nie będzie już konieczny restart demona, będzie on samoczynnie odczytywał nową wersję pliku crl.pem.
Hermes - zgadza się ale nie na tomato ... Potrzebne by do tego było utrzymywanie kompletnego pliku crl.pem na routerze, tak by daemon ovpn miał do niego stały dostęp. Narzędzi do revoke też nie ma.
Router:Unifi Cloud Gateway Max Switch:Netgear MS510TXPP Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+ VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
Jest jeszcze na to inna rada - należy do konfiguracji openvpn dodać opcje:
--client-config-dir dir
--ccd-exclusive
Pierwsza opcja włączy obsługę konfiguracji per-użytkownik. Daemon openvpn będzie szukał w katalogu 'dir' konfiguracji dla danego klienta (rozpoznawanego na podstawie pola common name w certyfikacie).
Druga opcja powoduje, że dostęp będzie przyznany jedynie klientom, dla których istnieje taka konfiguracja.
Na starcie należy więc dla tych 10 klientów założyć puste pliki w katalogu 'dir'. Jeżeli trzeba komuś usunąć dostęp, to wystarczy usunąć jego plik z tego katalogu.
I własnie m.in z tego powodu dd-wrt jest lepsze. Tak samo wersja AC i radio 5GHz działa na dd-wrt znacznie lepiej/stabilniej niż to co jest pod tomato. To samo z routingiem ipv6, gdzie pod tomato jest on skopany (potwierdzone wielokrotnie na zagranicznych forach) to w dd-wrt działa jak należy. Sorry, ale taka jest prawda.
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
