[Frage] OpenVPN zusätzlich mit user/password Auth

[duffy6]

Hallo zusammen,

auf meiner freetz-1.1.4-Fritzbox läuft erfolgreich OpenVPN mit Zertifikaten.
ich würde gerne noch zusätzlich (nicht anstatt) vor dem connect noch eine id/pw Abfrage haben.

In der OpenVPN Doku hab ich die Option "--auth-user-pass-verify" gefunden.

Hat das jmd in Verbdindung mit der Fritzbox zum Laufen gebracht? Wenn ja wie?
Da läuft ja irgendein Skript ab. Aber wie soll denn das Skript aussehen, und wo legt man es ab? Auf dem USB-Stick?

Danke und Gruß
duffy6

 

[waldoo]

hattest du deine Schlüssel ohne passwort generiert?
Dann generierst Du entweder neue Schlüssel oder versuchst den aktuellen Schlüsseln nachträglich ein passwort zu geben

 

[duffy6]

Hab die Keys ohne Passwort generiert. Aber hat das wirklich mit dieser Option zu tun? Da läuft doch ein Skript ab "via-env", oder?

 

[MaxMuster]

Wie wäre es, das Stichwort "auth-user-pass-verify" mal oben rechts neben das Feld mit der Lupe einzutragen und dann auf die Lupe zu klicken? ;-)
Menno, nach über 175 Beiträgen...

 

[waldoo]

EDIT:
Ursprüngliche Behauptung wird erst mal gelöscht

Mit einem richtigen Keypaar, das mit Passwort generiert wird erreicht man wahrscheinlich mehr...

 

[duffy6]

Wie wäre es, das Stichwort "auth-user-pass-verify" mal oben rechts neben das Feld mit der Lupe einzutragen und dann auf die Lupe zu klicken? ;-)
Menno, nach über 175 Beiträgen...

Hab ich NATÜRLICH gemacht, da waren keine Beiträge dabei, die mein Problem abdecken. *zurückmotz*

Das hat mit deiner erwähnten option nichts zu tun, aber wenn der client die "zusätzliche Authentisierung: auth-user-pass" in der client konfiguration weglässt, dann wird der User/pass nicht abgefragt und die Sicherheit ist total dahin...

Versteh ich nicht, kannst du das nochmal ausführen?

Auf dem Server aktiviere ich doch "auth-user-pass-verify /path/to/auth-script.sh via-env", dann kann ein CLient wenn er die Option weglässt ja nicht plötzlich OHNE user/pass-verify connecten, oder? Das wär ja unnütz!

 

[waldoo]

doch kann der client - wenn er sich dessen bewusst ist

p.s
Ich würde nie andere leute via VPN auf mein Heimnetz zugreifen lassen. Das ist ein offenes Tor zu allem, was bei Dir steht.
Wenn du das vor hast, würde ich es lieber noch einmal überdenken


Da mein Systemaufbau daheim gerade ein paar probleme macht bin ich mir mit meiner Aussage nicht mehr so sicher.
Vielleicht kann das jemand anderes verifizieren.

 

[MaxMuster]

Hab ich NATÜRLICH gemacht, da waren keine Beiträge dabei, die mein Problem abdecken. *zurückmotz*

*zurückzurückmotz* Sorry, ich dachte, alle User bekommen die gleichen Suchergebnisse, bei mir war das dritter gefundener Thread, Beitrag #10 ;-)

Wenn das dort (oder die allgemeine Info zu dem Eintrag) nicht reicht, müsstest du schon genauer beschreiben, was du versucht hast und was dann nicht geht...

Jörg

EDIT @waldoo Bist du sicher? Laut Openvpn.net steht dort "requires":

[B]--auth-user-pass-verify script method[/B]
    Require the client to provide a username/password (possibly in addition to a client certificate) for authentication.

    OpenVPN will execute script as a shell command to validate the username/password provided by the client.

 

[waldoo]

ich bin gerade auch ein wenig verwirrt. aktuell habe ich ein paar probleme mit meinem setup und es geht gar nichts mehr...
ich streiche die behauptung oben lieber mal, bis ich es retesten kann

sorry für die verwirrung...

 

[MaxMuster]

Nur wer nix tut, macht keine Fehler ;-). Testergebnisse sind aber immer willkommen, es kann ja durchaus mal was anders realisiert sein, als beschrieben.