суббота, 15 декабря 2007 г.




Молния
А что в логах сервера и клиента во время невозможности переподключения? Если там нет ничего интересного - увеличьте параметр verb

Добавление от 27.06.2007 05:57:

islink
Вот скрипт аутентификации auth.vbs. Использование:

В конфиге клиента указать:
auth-user-pass

В конфиге сервера указать:
auth-user-pass-verify "auth.vbs" via-file
У процесса openvpn.exe должно хватать прав для создания временного файла в текущем каталоге, скорее всего это будет "c:\Program Files\OpenVPN\config"

Вероятнее всего там же, в "c:\Program Files\OpenVPN\config" надо положить файл users.pw (если не там или иное имя - изменить это в скрипте). Файл состоит из требуемого количества пар строк:
имя
пароль
Между этими парами пустые строки (именно абсолютно пустые) игнорируются. Например:

код
user01
pass01
user02
pass02

TEST-client01
1

example_of_user_with_blank_password

user03
pass03

Вот сам скрипт auth.vbs:
код (во всю высоту: 55 строк)
'VBscript auth.vbs для аутентификации в OpenVPN - auth-user-pass-verify auth.vbs via-file
'(c) 2007 vinni http://forum.ixbt.com/users.cgi?id=info:vinni
'Support: http://forum.ixbt.com/topic.cgi?id=14:40906#1

' в скрипте производится сравнение имени пользователя без учёта регистра.
' Если нужно иначе - уберите UCase(...) в 2 или 4 местах

On Error Resume Next

' открываем файл, имя которого передано OpenVPN-ом в скрипт через параметр
Set fso = CreateObject("scripting.filesystemobject")
Set CurrentUserPasswordFile = fso.OpenTextFile(WScript.Arguments(0),1) '1 = for reading
if Err.Number<>0 Then WScript.Quit(1)

' читаем из этого файла 2 строки - имя и пароль, которые ввёл пользователь "на том конце"
if CurrentUserPasswordFile.AtEndOfStream then WScript.Quit(1)
UserName=CurrentUserPasswordFile.ReadLine
if CurrentUserPasswordFile.AtEndOfStream then WScript.Quit(1)
Password=CurrentUserPasswordFile.ReadLine
CurrentUserPasswordFile.Close

' открываем переменную окружения common_name (это CN предъявленного клиентом сертификата)
' и сравниваем её с введенным именем пользователя.
' если это сравнение не нужно, то следующие 2 строки удалить или закомменировать
CurrentCommonName = CreateObject("Wscript.Shell").ExpandEnvironmentStrings("%common_name%")
if UCase(CurrentCommonName) <> UCase(UserName) then WScript.Quit(1)

' открываем наш файл с базой логинов и паролей
' по умолчанию это Users.pw в текущем каталоге
Set UserPasswordFileBase = fso.OpenTextFile("Users.pw",1) '1 = for reading
if Err.Number<>0 Then WScript.Quit(1)

' читаем в цикле пары строк, пропуская пустые МЕЖДУ ЭТИМИ ПАРАМИ,
' и сравниваем их с тем, что ввёл пользователь.
Do while not(UserPasswordFileBase.AtEndOfStream)
NextUserName=UserPasswordFileBase.ReadLine
if Err.Number<>0 Then WScript.Quit(1)
if NextUserName<>"" then
' если имя пользователя надо сравнивать с учётом регистра, то удалите здесь UCase(...)
if UCase(UserName)=UCase(NextUserName) then
if Password=UserPasswordFileBase.ReadLine then
' если имя и пароль совпали с парой из базы, то завершаем скрипт с результатом 0
' так нужно для OpenVPN'a, это признак успешной аутентификации
UserPasswordFileBase.Close
WScript.Quit(0)
end if
else
UserPasswordFileBase.ReadLine
end if
end if
Loop

' если поиск завершился безуспешно, то завершаем скрипт с результатом 1
' так нужно для OpenVPN'a, это признак НЕуспешной аутентификации
UserPasswordFileBase.Close
WScript.Quit(1)

Опция для пропуска по common name в Openvpn

Переведи всех на сертификаты и используй crl, например. Еще один вариант, есть
опция ccd-exclusive, если файла с именем пользователя нет в ccd-подкаталоге, то
доступ ему запрещается, если есть - то там могут быть дополнительные настройки
(но могут и не быть - пустого файла достаточно чтоб пускало). Hо crl действует
на момент обновления ключей (то есть и в начале сессии и в середине),
ccd-exclusive - только в начале, то есть что делать с теми, кто уже соединился,
надо решать отдельно.

суббота, 8 декабря 2007 г.

Настройка сети в Virtualbox

Настройка сети

Если нам нужно использовать для настройки сети не NAT, а host interface с явным IP адресом, то нужно проделать следующие операции. Договоримся, что все команды будем отдавать из-под пользователя root, а не из под sudo. Так как последняя команда не пройдёт из-под sudo.

Первым делом нам понадобится пакет bridge-utils. Далее создаём файл /etc/sysconfig/network-scripts/ifcfg-br0 следующего содержания:

DEVICE=br0
TYPE=Bridge
BOOTPROTO=dhcp
ONBOOT=yes

Добавляем в файл /etc/sysconfig/network-scripts/ifcfg-eth0 последней строкой BRIDGE=br0 и перезапускаем сеть

/etc/init.d/network restart

После этого отдаём команду

VBoxAddIF vbox0 пользователь(из-под которого будет запускаться VirtualBox) br0

Осталось только выбрать в настройках сети вместо NAT хост-интерфейс и в поле “Имя интерфейса” указать vbox0. Последнюю команду судя по всему придётся пускать каждый раз после перезагрузки системы (не гостевой).

воскресенье, 2 декабря 2007 г.

Скрипты для создания SSL сертификатов Под Openvpn сервер

Для сервера
-------------------------------------------------------------------------------------------------------
#!/bin/sh
#cp /etc/ssl/openssl2.cnf ./openssl.cnf
vim openssl.cnf
touch serial
echo 01 > serial
mkdir crl newcerts private
touch index
echo -n "введите имя хоста(Имя сгенерированного сертификата) "
read HOST
echo -n "введите имя сервера(Имя Linux компьютера) "
read MOST
export MOST="$MOST"
openssl req -new -nodes -config openssl.cnf -x509 -keyout private/ca-key.pem -out ca-cert.pem -days 3650
openssl genrsa -out $HOST.key
openssl req -new -nodes -config openssl.cnf -key $HOST.key -out $HOST.csr
openssl ca -batch -config openssl.cnf -in $HOST.csr -out $HOST.cert
openvpn --genkey --secret ta.key
openssl dhparam -out dh1024.pem 1024
mkdir $HOST
cp $HOST.* $HOST
cp ca-cert.pem $HOST
cp ta.key $HOST
cp dh1024.pem $HOST
rm $HOST.*


--------------------------------------------------
Для клиента
--------------------------------------------------
#!/bin/sh
#cp /etc/ssl/openssl2.cnf ./openssl.cnf
#vim openssl.cnf
echo Сколько сертификатов делать?
read CEND
SU=1
MOST=0
#export MOST="$MOST"
mkdir ./client-sert
while test $MOST -lt $CEND
do
MOST=$SU
export MOST="$MOST"
openssl genrsa -out client_$MOST.key
openssl req -new -nodes -config openssl.cnf -key client_$MOST.key -out client_$MOST.csr
openssl ca -batch -config openssl.cnf -in client_$MOST.csr -out client_$MOST.cert
mkdir ./client-sert/$MOST
mv ./client_$MOST.* ./client-sert/$MOST
cp ./dh1024.pem ./client-sert/$MOST
cp ./ta.key ./client-sert/$MOST
cp ./ca-cert.pem ./client-sert/$MOST
let SU=$MOST+1
done
echo Всё готово

-----------------------------------------------------------------------------------------------------------------------
Необходимо немного отредактировать файл openssl.cnf
В моём пакете используется уже отредактированный и адоптированный файл конфигурации.

Создание Deb пакета

dpkg --build DIRECTORY ovpncreat.deb
Необходим файл ./DEBIAN/control
в нём описываются данные о пакете
После первого слова обозначающего раздел описания ставим двоеточию.
Система сама скажет чего ей не хватает в этом файле.

четверг, 29 ноября 2007 г.

Включение звука и wifi в ноутбуке Acus A6RP Включение mp3 в kubunta и настройка впн.

Накопилось много не записанной информации. Включение звука и wifi в ноутбуке Acus A6RP Включение mp3 в kubunta и настройка впн.

Во первых включение звука на ноутбуке asus A6RP.
Проблема данной модели в отсутствии специфичного драйвера. Но для работы звука можно использовать стандартный выявляемый по умолчанию драйвер snd-hda-intel. Данный драйвер необходимо подстроить указав в файле /etc/modprobe.d/alsa-base (это для ubunta, в red-hat дистрах в другом месте а в мандриве вообще в мандривовском дрейке)
Так вот нужно прописать в вышеуказанном конфиге или просто прописать следующие параметры options snd-hda-intel model=uniwill-m31 (как видите важно указать модель карты, что по неизвестной причине автоматически определяется неправильно)
Всё после перезагрузки будет работать звук, правда только через встроенные динамики так как внешний выход как то не врубается. Микрофон и линейный вход не пробовал но всёже лучше чем ничего/

Для поднятия звука в полном объёме с наушникаи и всем всем всем надо скачать c
http://www.alsa-project.org/
последнею версию alsa-drivers скомпилить и поставить(она попросит заголовки ядра и компилятор для компиляции). В моём случае версия алсы была 1.0.0.14rs4 а вместо hda-intel model=uniwill-m31
пишем hda-intel model=asus
У меня всё заработало!


Во вторых для ноута asus A6RP для включения wi-fi необходимо подсунуть системе бинарный драйвер от виндузов. Основная сложность надо знать как он называется.
BCMWL5.sys
А лежит он в папке windows/system32/drivers
Но всё просто в мандриве. В ней вам автоматически предложат указать на файл драйвера.

В ubunta всё несколько сложнее. Придётся прикручивать специальную програмулину для поднятия вайфайных нестандартных дров.
Для начала скачаем по адресу
http://boredklink.googlepages.com/wl_apsta.o
файл wl_apsta.o
После чего установим bcm43xx-fwcutter
sudo apt-get install bcm43xx-fwcutter
После чего командой
sudo bcm43xx-fwcutter -w /lib/firmware ~/Desktop/wl_apsta.o
скопируем через программу данные из ранее скаченного файла wl_apsta.o (в данном случае он у меня лежал на рабочем столе) в папку прошивок.
Далее делаем
sudo bcm43xx-fwcutter -w /lib/firmware/`uname -r` ~/Desktop/wl_apsta.o

В принципе всё. После данного шаманства и махания бубном карточка завелась и нормально работает. Дальнейшее управление производиться стандартными убунтовскими средствами.



Включение в кубунте проигрывания mp3 после установки.
просто
apt-get install libxine-extracodecs




Дальнейшая информация только для меня и касается она настройки доступа в инет по впн, в моей сетке.
Устанавливаем клиент для ВПН pptp
sudo apt-get install pptp-linux
Меняем содержимое двух файлов
В options.pptp
пишем
lock noauth nobsdcomp nodeflate

И создаём файл с настройками впн подключения, который пихаем в
/etc/ppp/peers/

а в нём пишем
pty "pptp 192.168.0.3 --nolaunchpppd"
name имя пользователя
remotename PPTP
#require-mppe-128
file /etc/ppp/options.pptp
ipparam i-net

Ну и канешна прописываем в chap-secrets
логин и пароль юзера
Ну дальше по необходимости прописываем шлюзы и т.п.

Включаться ВПН будет по команде
sudo pon i-net
(будет создано соединение ppp0
ну и последний штришок указание впн подключения дефолтным
sudo route add default ppp0
данная штука указывает соединение дефолтным. Можно конечно прописать в конфиге впн подключения чтобы ppp0 было автоматом дефолтным но я так не люблю.
Выключение делаем по команде
sudo poff i-net

Настройка раскладок и смены языков в XORG+индикатор

Добавить в Xorg.conf

Option "XkbLayout" "us,ru"
Option "XkbVariant" "basic,winkeys"
Option "XkbOptions" "grp:ctrl_shift_toggle"

Индикатор включенного языка называется
kkbswitch

Создание OpenSSL Сертификатов для Openvpn

Сперва необходимо подготовить почву

Отредактировать файл openssl.cnf
Необходимо подправить дефолтные настройки сертификатов(чтоб не забивать каждый раз руками, и ОБЯЗАТЕЛЬНО увеличить срок действия сертификата)

Создаем файл /usr/local/openssl/serial c содержимым '01'

# touch serial
# echo 01 > serial


Создаем каталоги /crl, /newcerts, /private

# mkdir crl newcerts private


Для каталога private, в целях безопастности частного ключа сервера,
рекомендую установить права только для пользователя root

# chmod go-rwx private


Создаем пустой файл /usr/local/openssl/index:

# touch index


И наконец создаем сертификат CA

openssl req -new -nodes -x509 -keyout private/CA_key.pem -out CA_cert.pem -days 3650

Команда req заставляет OpenSSL создать сертификат, ключи: -new - cоздать запрос на сертификат, -nodes - не шифровать закрытый ключ, -x509 (совместно с -new) - создать самоподписной сертификат (CA), -keyout - задает местонахождение закрытого ключа, -out - задает местонахождение самоподписного сертификата, -days - задает время действия сертификата (365x10 дней, что приблизительно равно десяти годам). В процессе выполнения команды на экран будут выданы запросы о вводе таких параметров как: Country Name, State or Province Name; Locality Name; Organization Name; Organizational Unit Name; Common Name; Email Address. Самым важным параметром является значение Common Name. В данном случае оно должно совпадать с FQDN-именем сервера.

Теперь, когда мы имеем CA, мы можем создавать сертификаты и ключи для
машин, образующих туннель. Вместо host_x и client_x рекомендую
указывать осмысленное имя вашей машины-сервера и клиентов, что бы потом
не запутаться самому.

Сгенерируем частный ключ для сервера, его настоятельно рекомендуется
хранить в тайне:

# openssl genrsa -out host_x.key


Генерируем сертификат:

# openssl req -new -nodes -key host_x.key -out host_x.csr
# openssl ca -batch -config openssl.cnf -in host_x.csr -out host_x.cert


Теперь повторим то же самое, но только для клиента:

# openssl genrsa -out client_x.key
# openssl req -new -nodes -key client_x.key -out client_x.csr
# openssl ca -batch -config openssl.cnf -in client_x.csr -out client_x.cert


И в конце создаем ключик ta.key. Этот ключ используется для
предотвращения DoS атак и UDP port flooding

# openvpn --genkey --secret ta.key


Таким образом мы получили подписанный нами же сертификат X.509.
Необходимо повторить эти действия для всех имеющихся у нас машин.


Далее создать ключ Диффи Хельман
# openssl dhparam -out dh1024.pem 1024