OpenVpn mit „auth-user-pass-verify“

[MichaK82]

Als Allererstes
ein „HI TO ALL“

und dann einen RIESIGEN DANK an die Freetz Entwickler
und alle die sich mit dem erstellen von Skripten zum Modden der FritzBox beschäftigen.

Das ist echt ein Supergeniales Forum hier.

Bisher konnte ich meine fragen durch die „Beiträge“ Oder die „How To´s“
„beantworten lassen“
Aber jetzt komm ich nicht mehr weiter.

Ich habe einen Speedport W701V Version 4.

Diesen hatte ich bisher mit dem Skript von japanscher gefritzt und habe über die Debug.cfg ein Etherwake Skript, SSH und OpenVpn eingespielt.

Etherwake Starten des PC´s
SSH als Ferzugang zum starten des PC´s
OpenVpn einmal als Server für mein VPN-Netz und
OpenVpn einmal als Client zum verbinden mit dem Netz meines
Kollegen (gleiche Hardware)

Es lief alles super bis wir die Serverconfigoption „auth-user-pass-verify“
einrichten wollten.

Die Abfrage ließ sich Problemlos einrichten mit dem „Passwortabfrage Skript“ von

http://www.vpnforum.de/wiki/index.ph...rung_am_Server

Nur müsste ich nach dem Reboot der Box ja davor sitzen um das Passwort für das Netz meines Kollegen einzugeben. Um das zu umgehen wollten wir die Automatische Passworteingabe des Clients nutzen und dazu müsste OpenVpn mit
„--enable-password-save“
kompiliert werden.

Also bin ich über das suchen nach nem Kompilierer auf Freetz gestoßen und war begeistert.

Gleich aufgespielt und nun möchte ich das „auth-user-pass-verify“ realisieren.


Meine Fragen sind nun:

- Ist OpenVpn hier gleich mit „--enable-password-save“ kompiliert
oder muss ich das noch machen (Nach tipp von Olistudent im
Freetz Wiki hier:
root/branches/freetz-stable-1.0/make/openvpn/openvpn.mk
zu gucken hab ich es zwar gefunden weiß aber nicht ob es mit
ausgeführt wir, da mir die tiefgehenderen Linux und Skriptkentnisse
feheln)

- Kann ich das Passwortabfrageprogramm der Weboberfläche nutzen,
da ich ja dann durch Freetz ganz einfach Benutzer hinzufügen bzw
entfernen kann.

- Kann dazu das LDAP Skript Von:
http://www.radiotux.de/index.php/Art...urationgenutzt werden

- Und kann man das ins Freetz integrieren um dann z.B. unter
Einstellungen in der Weboberfläche einen Menüpunkt OpenVpn
Nutzer hat indem man die Nutzer und Skripte für die Einzelnen VPN
Verbindungen verwalten kann.
Richtig klasse währe es wenn man dann auch noch ein Häckchen in
Packete/OpenVpn für das „auth-user-pass-verify“ hat mit dem
Eingabefeld des Auth.bat namens

Der letzte Punkt ist nicht ganz so wichtig, da man ja in der Weboberfläche durchs „Rudi Shell“ viel machen kann und bei OpenVpn nen zusätzlichen befehl mit anhängen kann.

Ich hoffe das der Text verständlich ist und ich ne Antwort bekomme.
Danke im Vorraus.

Gruß

Michael

[MaxMuster]

Hi,

- OpenVPN wird im Freetz mit --enable-password-save compiliert
- Was meinst du mit dem "Passwortabfrageprogramm der GUI"???
- Ich habe hier für einen User mal die openLDAP Client Tools gebaut (selbst nie getestet), wenn dir das reicht für das Skript...
- Die weiteren Punkte sind schon recht speziell, da wirst du wohl selbst dran basteln müssen : Die GUI ist schon mit den jetzigen Möglichkeiten (Server/Client, TUN/TAP, Zertifikate/stat. Key, mehrere Clients mit Zertifikaten) recht "voll" und eigentlich überfrachtet...


Jörg

[MichaK82]

Vielen Dank für deine Antwort

mit „--enable-password“ kompiliert ist super dann hab ich das skript ja doch n bisschen verstanden.

Mit Passwortabfrageprogramm meinte ich die Passwortabfrage des Freets Webportals (admin Passwort).
Wie wird das gemacht?
Währe super wenn man diese Abfrage nutzen könnte und im Skript den verweis auf diese abfrage legen könnte. Mann kann dann nämlich den Usergenerator von Freetz nutzen wobei man da dann auch auf die Sicherheit achten muss (ist Zugang zum WebPortal möglich etc.).


zu Ldap: Klingt interessant arbeite ich mich mal durch. ( Skripte verstehen )

und bei der Integrierung muss man halt ma schauen, da muss ich mich noch mehr einarbeiten um Überhaupt was ändern zu können.

Gruß

Michael

[MaxMuster]

Die Passwortabfrage wird vom Webbrowser gemacht (HTTP authentication). Dem wird mitgeteilt dass man sich authentifizieren muss, um auf bestimmte Seiten zuzugreifen, in diesem Fall schon auf die "oberste Ebene", sprich: Immer.

Du könntest dich z.B. beim Freetz z.B. auch mit "http://admin:<deinpasswd>@fritz.box:81" anmelden....

Das hilft dir vermutlich also nicht wirklich.

Jörg

[MichaK82]

Also wird das Passwort was man eingibt auf dem Computer ausgewertet?

Oder wird auf dem Computer ein Hash errechnet der zur Fritzbox geschickt wird und dann dort ausgewertet?

Ich kann mir das irgendwie grad nicht vorstellen.

Die User werden ja mit

adduser picard
passwd picard
modsave flash

angelegt oder mit deluser etc gelöscht.

wie werden die den abgefragt was wird genutzt?
Oder wo kann ich das finden.

Gruß

Michael

[matze1985]

der Benutzer und das PW der Weboberfläche hat nix mit den Benutzter des Linux systems zu tun. es sind Benutzer, die in der /mod/etc/httpd.conf definiert werden, ähnlich wie beim apache in der .htaccess datei.

Das Password wird also zur Box geschickt per http und dort vom Websever mit der config verglichen.

[MichaK82]

Wofür ist dann der user Picard und die anderen user die man so erstellen kann ?

Und wie werden die abgefragt ?

Gruß

Michael

[matze1985]

die kann man z.b. für einen telnet oder ssh zugang erstellen, abgefragt werden die durch den jeweiligen Server, der den Konsolenzugriff stellt.
Das sind halt Benutzer, wie bei Linux, Windows usw auch.

[MichaK82]

Jetzt währe halt interessant wie das Programm das macht bzw. auf was es zurückgreift und ob man das auch für die OpenVpn Autorisierung nutzen kann,
da man dann nicht noch mehr aufspielen muss.
Ansonsten muss ich n separates Programm aufspielen


Gruß


Michael

[MaxMuster]

Wäre es denn nicht einfacher, ihr nehmt für die Verbindung einen Key oder Zertifikate? Warum denn unbedingt User / Passwort?

Jörg

[MichaK82]

Wir authentifizieren schon mit Zertifikaten.
Ich gebe teilweise Clients an Arbeitskollegen um mit dem z.B. Anno 1701
zu zocken. Ich möchte aber nicht, dass sie dauerhaft in mein Netz können.
Deshalb die Passwortabfrage. Ich kann dann einfach das Passwort ändern bzw.
den kompletten User löschen.
Ich hab das eine Skript ja schon gehabt, aber das find ich irgendwie unkomfortabel und deswegen versuch ich das ins Freetz möglichst komfortabel zu integrieren.

Ich hab übrigens versucht das Programm unter Ubuntu mit Freetz zu kompilieren aber er bringt mir einen Mipsel Fehler.
Da ich Arbeitsbedingt auf eine Dienstreise muss kann ich erst in ca. 3 Wochen wieder an dem Problem arbeiten.

Interessant währe es wirklich die Freetz User Nutzen zu können. Falls jemandem dazu was einfällt oder mir erklären kann wie die abgefragt werden oder genutzt werden kann bitte ich um einen Post.

Auf jeden fall schon mal vielen dank für die bisherige Hilfe!


Gruß Michael

[MaxMuster]

Das Integrieren kannst du ja weiter versuchen, ansonsten könntest du ja zum einen, wenn keiner "rein" soll, den Dienst stoppen, oder (für einzelne User) die Zertifikate, die "nicht dürfen" in die CRL (Liste der zurückgezogenen Zertifikate) eintragen.

Jörg