Consiglio OpenVPN
275 views
Skip to first unread message
luca.c...@virgilio.it
Sep 21, 2020, 10:34:32 AM9/21/20
to lug...@googlegroups.com
Ciao a tutti!
chiedo un consiglio su OPENVPN se qualcuno ha affrontato questo problema.
Abbiamo un server Openvpn che accetta le connessioni da N client remoti, che utilizzano lo stesso certificato client.crt.
Il certificato è scaduto e quindi nessun client riesce ad entrare in VPN. Esiste, secondo voi, qualche opzione per forzare il server OpenVPN ad accettare un certificato scaduto? Ovviamente sarebbe una soluzione temporanea per permettere il rinnovo dei certificati.
Grazie mille
Luca Capisani
Alessandro Rubini
Sep 21, 2020, 11:43:09 AM9/21/20
to lug...@googlegroups.com
> Ovviamente sarebbe una soluzione temporanea per permettere il
> rinnovo dei certificati.
In giro trovo questo:
> rinnovo dei certificati.
If a client certificate is expired (i.e. out of date) then there is no
way that the client should be able to connect to the server . Your
only chance might be to set the clock back for the (entire) openvpn
server but I doubt that you want to do that ... If it were possible
to connect using an outdated certificate it should be considered a
breach of security.
Che mi sembra demenziale. Dovrebbe esserci un'opzione da riga di comando
o config file, che il comportamento predefinito sia di rifiutarli ha
senso, ma non permettermi di abbassare la sicurezza del mio sistema
e` un sopruso.
Odio gli informatici, perche` pretendono di sapere loro cosa vogliono
gli utenti, avendo il coltello dalla parte del manico. [1]
apt-get source openvpn
patch
debian/rules binary
/rubi che ha abbandonato i bit ed e` tornato ai transistor
[1] esclusi i presenti (caso mai ce ne sia qualcuno, chi puo` dirlo)
Alessandro Rubini
Sep 21, 2020, 12:02:22 PM9/21/20
to lug...@googlegroups.com
Presidente, perdona loro perche` non sanno quello che dicono.
Da "man openvpn"
--client-cert-not-required
Don't require client certificate, client will authenticate using
username/password only. Be aware that using this directive is
less secure than requiring certificates from all clients.
--secret file [direction]
Enable Static Key encryption mode (non-TLS). Use pre-shared
secret file which was generated with --genkey.
[...]
The OpenVPN distribution contains a set of scripts for managing RSA
certificates & keys, located in the easy-rsa subdirectory.
E il problema dei certificati mi pare di capire che non sono gestiti internamente
da opnvpn, ma si appoggiano su un'infrastruttura esterna.
Sempre sui vari posto openvpn ho trovato questo:
You can create a new certificate authority and user certificates
from System: Trust. It should be relatively easy to mimic the
settings of the expired certificates. You can view them from there,
too.
Generating new certificate authorities entails switching user
certificates, or finding the right options to ignore the expiry
within OpenVPN itself. We, however, don't recommend this.
Questo signore spiega bene il problema (coincide con quanto leggo sul
manuale), ma nessuno gli ha risposto:
https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn
Quest'altro tipo invece si e` gia` bruciato e ora fa certificati che espirano piu` tardi:
https://delphinus.qns.net/xwiki/bin/view/Blog/Mikrotik%20expired%20certificate
/rubi 'gnurant che dovrebbe star zitto invece di dire boiate
Da "man openvpn"
--client-cert-not-required
Don't require client certificate, client will authenticate using
username/password only. Be aware that using this directive is
less secure than requiring certificates from all clients.
--secret file [direction]
Enable Static Key encryption mode (non-TLS). Use pre-shared
secret file which was generated with --genkey.
[...]
The OpenVPN distribution contains a set of scripts for managing RSA
certificates & keys, located in the easy-rsa subdirectory.
E il problema dei certificati mi pare di capire che non sono gestiti internamente
da opnvpn, ma si appoggiano su un'infrastruttura esterna.
Sempre sui vari posto openvpn ho trovato questo:
You can create a new certificate authority and user certificates
from System: Trust. It should be relatively easy to mimic the
settings of the expired certificates. You can view them from there,
too.
Generating new certificate authorities entails switching user
certificates, or finding the right options to ignore the expiry
within OpenVPN itself. We, however, don't recommend this.
Questo signore spiega bene il problema (coincide con quanto leggo sul
manuale), ma nessuno gli ha risposto:
https://superuser.com/questions/1521168/how-to-allow-some-expired-client-certificates-in-openvpn
Quest'altro tipo invece si e` gia` bruciato e ora fa certificati che espirano piu` tardi:
https://delphinus.qns.net/xwiki/bin/view/Blog/Mikrotik%20expired%20certificate
/rubi 'gnurant che dovrebbe star zitto invece di dire boiate
luca.c...@virgilio.it
Sep 22, 2020, 10:54:00 AM9/22/20
to lug...@googlegroups.com, Alessandro Rubini
Ciao Alessandro,
ti ringrazio per le risposte.
Proverò a fare l'autenticazione tramite username/password, anche se ho qualche dubbio perchè i client erano stati configurati forse senza un nome utente e sicuramente senza una password.
Forse riusciremo ad avere un'altra via d'accesso sugli impianti interessati.
Vi tengo aggiornati se ho novità
grazie ancora!
Luca
> --
> LUGMan - La mailing list ufficiale del Linux Users Group MANtova
> ---
> Hai ricevuto questo messaggio perché sei iscritto al gruppo "GNU/Linux Users Group Mantova - Italy" di Google Gruppi.
> Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a lugman+un...@googlegroups.com.
> Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/lugman/20200921160219.GA19429%40mail.gnudd.com.
ti ringrazio per le risposte.
Proverò a fare l'autenticazione tramite username/password, anche se ho qualche dubbio perchè i client erano stati configurati forse senza un nome utente e sicuramente senza una password.
Forse riusciremo ad avere un'altra via d'accesso sugli impianti interessati.
Vi tengo aggiornati se ho novità
grazie ancora!
Luca
> LUGMan - La mailing list ufficiale del Linux Users Group MANtova
> ---
> Hai ricevuto questo messaggio perché sei iscritto al gruppo "GNU/Linux Users Group Mantova - Italy" di Google Gruppi.
> Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a lugman+un...@googlegroups.com.
> Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/lugman/20200921160219.GA19429%40mail.gnudd.com.
Stefano Gemma
Sep 22, 2020, 11:03:51 AM9/22/20
to lug...@googlegroups.com
Si usa la VPN anche per avere una maggiore sicurezza negli accessi;
sarebbe meglio risolvere il problema senza abbassare il livello di
sicurezza.
Stefano Gemma
Il 22/09/2020 16:53, luca.capisani via GNU/Linux Users Group Mantova -
Italy ha scritto:
sarebbe meglio risolvere il problema senza abbassare il livello di
sicurezza.
Stefano Gemma
Il 22/09/2020 16:53, luca.capisani via GNU/Linux Users Group Mantova -
Italy ha scritto:
luca.c...@virgilio.it
Sep 24, 2020, 4:04:35 PM9/24/20
to lug...@googlegroups.com, Stefano Gemma
Ciao Stefano,
sicuramente hai ragione, però faccio due considerazioni:
1) Sei tu che amministri il server a decidere che in un dato momento necessiti di una sicurezza inferiore;
2) Ci sono casi in cui per un certificato scaduto sei chiuso fuori da un sistema e non hai modo semplice di ripristinare la situazione.
Ovvio che in questo caso conta l'esperienza di chi amministra il sistema: e la mia esperienza è troppo bassa :-)
In ogni caso abbiamo avuto, al momento e per pura fortuna, una seconda possibilità di accedere ai router coinvolti su un persorso diverso... per cui stiamo riuscendo a recuperare la situazione anche se non siamo ancora a campo vinto.
Grazie mille!
Luca
> Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/lugman/5f7cc1e3-d7fc-1dab-c28e-96f089e15584%40millesimo.com.
sicuramente hai ragione, però faccio due considerazioni:
1) Sei tu che amministri il server a decidere che in un dato momento necessiti di una sicurezza inferiore;
2) Ci sono casi in cui per un certificato scaduto sei chiuso fuori da un sistema e non hai modo semplice di ripristinare la situazione.
Ovvio che in questo caso conta l'esperienza di chi amministra il sistema: e la mia esperienza è troppo bassa :-)
In ogni caso abbiamo avuto, al momento e per pura fortuna, una seconda possibilità di accedere ai router coinvolti su un persorso diverso... per cui stiamo riuscendo a recuperare la situazione anche se non siamo ancora a campo vinto.
Grazie mille!
Luca
Reply all
Reply to author
Forward
0 new messages