web-dev-qa-db-ja.com

ユーザー名/パスワード認証を使用する場合のOpenVPNクライアント固有のルーティング

だから私はdebianマシンでopenvpnを実行していて、提供されているサンプルスクリプトではなく、pamモジュールを介してPAM認証で動作するように設定しました。ただし、要件が変更されたため、特定のクライアント構成をユーザーにプッシュし始める必要があります。少し掘り下げた後、client-config-dirディレクティブとusername-as-common-nameを使用しましたが、残念ながら、クライアント固有の設定はプッシュされません。これは、username-as-common-nameがauth-user-pass-verify auht-pam.pl via-file設定で使用された場合にのみ機能する可能性があるためだと思います。ここに構成ファイルを貼り付けています:

port 1194
proto udp
daemon
dev tun
keepalive 5 15
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.10.11.0 255.255.255.0
;Push "redirect-gateway def1"
Push "route 87.121.59.0 255.255.255.0"
Push "route 77.95.0.0 255.255.0.0"
Push "route 72.233.0.0 255.255.0.0"
Push "route 193.47.74.0 255.255.255.0"
Push "route 72.233.107.0 255.255.255.0"
Push "route 184.107.160.211 255.255.255.255"
Push "route 85.17.103.0 255.255.255.0"
Push "route 173.201.97.0 255.255.255.0"
Push "route 95.211.34.0 255.255.255.0"
Push "route 80.72.68.217 255.255.255.255"
Push "route 87.121.59.0 255.255.255.0"
Push "route 85.14.44.0 255.255.255.0"
;route-gateway 10.10.11.5
verb 5
log /var/www/random_log
;client-to-client
status openvpn-status.log 7200
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
client-cert-not-required
;auth-user-pass-verify auth-pam.pl via-file
username-as-common-name
client-config-dir ccd
#comp-lzo

本質的には、クライアント固有の設定が機能し、提供されたスクリプトではなくPAMモジュールを使用してログを保持する必要があります。

3
LordDoskias

私にとっても同じですが、サーバークライアントシナリオで証明書なしでそれを行う方法を見つけるためにあなたの投稿を使用しました

openvpn設定ファイルに配置されました:

  • vpnserverがルートを管理するためのルート(まだクライアントにルートをプッシュしていないため、プッシュではありません)

  • プラスこれらの2行

username-as-common-name

client-config-dir /etc/openvpn/ccd

ユーザー名と呼ばれるファイルのccdディレクトリにある同様のirouteコマンド。

1
Erwin