URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3710
[ Назад ]

Исходное сообщение
"OpenVPN"
Отправлено bopurod , 18-Мрт-08 13:10

добрый день, возникла такая проблема. уже очень давно пользуюсь openvpn, имеется некоторый набор ключей клиентов и клиенты с помощью этих ключей подсоединяются к серверу.
но теперь возникла такая необходимость удалить некоторых пользователей, сделать так чтобы некоторые клиентские ключи были более не действительны, чтобы с помощью этого ключа более невозможно было подключится.
пробовал -revoke
получаю:
revoking sertifikate такойто
datbase updated
но пользователь всеравно свободно может подключится даже после перезагрузки.
ключи в директории /usr/local/etc/openvpn/keys удалять тоже не получается, всеравно работает.
как же можно обезопасить систему?
еще пробовал просто сгенерировать ключи пользователя заново с помощью скрипта build-key
всеравно никаких результатов

Содержание

OpenVPN,simple, 17:30 , 22-Мрт-08
OpenVPN,www.guruperl.net, 15:13 , 08-Окт-08
- OpenVPN,zick, 15:54 , 09-Ноя-08
  - OpenVPN,anchovy, 10:19 , 22-Дек-08

Сообщения в этом обсуждении

"OpenVPN"
Отправлено simple , 22-Мрт-08 17:30

Почитайте тут http://www.opennet.me/base/sec/ssl_cert.txt.html (Разделы "Создание списка отзыва" (CRL) и "Отзыв сертификата").

"OpenVPN"
Отправлено www.guruperl.net , 08-Окт-08 15:13

Всё на самом деле очень просто.
1. Делаешь: ./revoke-full client1
а) если выводит ошибку такого типа: error on line 282 of config file '....openvpn/easy-rsa/openssl.cnf', то делаешь следующее:
vi openssl.cnf
#[ pkcs11_section ]
#engine_id = pkcs11
#dynamic_path = /usr/lib/engines/engine_pkcs11.so
#MODULE_PATH = $ENV::PKCS11_MODULE_PATH
#PIN = $ENV::PKCS11_PIN
#init = 0
т.е. комментируешь все эти строчки. И снова выполняешь пункт 1.
2. Если такой ошибки небыло, то ты должен увидеть следующее: Revoking Certificate ...
Data Base Updated
3. Копируешь только что создавшийся файл crl.pem в папку с конфигом твоего впн сервера (server.conf), например: cp keys/crl.pem /etc/openvpn/
4. Редактируешь server.conf, и смотришь, что бы там была раскоментирована эта строчка:
crl-verify crl.pem
5. Делаешь рестарт: service openvpn restart
Всё. Теперь клиент client1 твой впн сервер использовать не сможет.

"OpenVPN"
Отправлено zick , 09-Ноя-08 15:54

>[оверквотинг удален]
>3. Копируешь только что создавшийся файл crl.pem в папку с конфигом твоего
>впн сервера (server.conf), например: cp keys/crl.pem /etc/openvpn/
>
>4. Редактируешь server.conf, и смотришь, что бы там была раскоментирована эта строчка:
>
>crl-verify crl.pem
>
>5. Делаешь рестарт: service openvpn restart
>
>Всё. Теперь клиент client1 твой впн сервер использовать не сможет.
Здравствуйтею, а возможно ли просто приостановка пользователя или нескольких пользователей, потому что как описано в этом методе, даже после удаления crl.pem пользователь не может зайти обратно через опенвпн.

"OpenVPN"
Отправлено anchovy , 22-Дек-08 10:19

>Здравствуйтею, а возможно ли просто приостановка пользователя или нескольких пользователей, потому что
>как описано в этом методе, даже после удаления crl.pem пользователь
>не может зайти обратно через опенвпн.
Вот здесь описано как
http://openvpn.net/archive/openvpn-users/2005-12/msg00087.html