OpenVPN - файл с логином и паролем.

[Катя.]

В офф документации сказано что ключ auth-user-pass с путем указывает на файл логина и пароля в формате:

Код:

%логин%
%Пароль%

Если быть по-точнее эта строка у меня выглядит так

Код:

auth-user-pass	"C:\\Program Files\\OpenVPN\\config\\test\\pass.txt"

И все равно я при подключении получаю ошибку

Цитата:

Fri Apr 22 22:20:22 2011 Sorry, 'Auth' password cannot be read from a file

Перекодировки файла между cp1251 и utf8 результата не меняют.
Так что же ему надо?

[Hip-Hop]

Цитата:

Сообщение от Катя.

Так что же ему надо?

Лучше пользуй mpd5.

[Катя.]

Hip-Hop, сервер не мой
Сервер - под линуксом. Клиент - под виндовсом.

[Hip-Hop]

Цитата:

Сообщение от Катя.

Сервер - под линуксом. Клиент - под виндовсом.

Цитата:

Сообщение от Катя.

В офф документации сказано что ключ auth-user-pass с путем указывает на файл логина и пароля в формате

Цитата:

Сообщение от Катя.

Hip-Hop, сервер не мой

И по какому способу там аутентификация проходит?

[Xelas]

этот файл c шифрованным паролем генерироваться должен утилей ssh-keygen.
man ssh

[Катя.]

Цитата:

Сообщение от Hip-Hop

И по какому способу там аутентификация проходит?

видимо tls-auth

Цитата:

Сообщение от Xelas

этот файл c шифрованным паролем генерироваться должен утилей ssh-keygen.

Так.. стоп-стоп.. Есть сервер под линуксом, есть куча windows-клиентов. ssh-keygen - это unix-only, т.е. сервер помимо ключей должен был раздать и файлы с паролем?

[Hip-Hop]

Катя., Эээ.. ну, я точно не скажу (не знаю просто ), но..

OpenVPN предлагает пользователю несколько видов аутентификации.

* Предустановленный ключ, — самый простой метод.
* Сертификатная аутентификация, — наиболее гибкий в настройках метод.
* С помощью логина и пароля, — может использоваться без создания клиентского сертификата (серверный сертификат всё равно нужен).

[VitohA]

Цитата:

Сообщение от Катя.

ssh-keygen - это unix-only

ssh-keygen входит в состав того-же OpenSSH для Win32, но файл с паролем создаёт утилитка mkpasswd.

[dmn]

Цитата:

Сообщение от Катя.

В офф документации сказано что ключ auth-user-pass с путем указывает на файл логина и пароля в формате:

Код:

%логин%
%Пароль%

Если быть по-точнее эта строка у меня выглядит так

Код:

auth-user-pass	"C:\\Program Files\\OpenVPN\\config\\test\\pass.txt"

И все равно я при подключении получаю ошибку

Перекодировки файла между cp1251 и utf8 результата не меняют.
Так что же ему надо?

по умолчанию openvpn-клиент (под windows точно, про остальные ОС не помню), скомпилированы без опции --enable-password-save.
соответственно, ключ auth-user-pass в конфиге будет обрабатываться с вышеуказанной ошибкой, т.е. клиент не будет в упор видеть файла.

вам необходимо либо самому скомпилировать под себя клиент с этой опцией, либо найти готовый дистрибутив с включенной опцией.

Пример поиска

[Hip-Hop]

dmn, ага, вы права:

-auth-user-pass [up]
Authenticate with server using username/password. up is a file containing username/password on 2 lines (Note: OpenVPN will only read passwords from a file if it has been built with the --enable-password-save configure option, or on Windows by defining ENABLE_PASSWORD_SAVE in config- win32.h).
If up is omitted, username/password will be prompted from the console.
The server configuration must specify an --auth-user- pass-verify script to verify the username/password provided by the client.

Получает эт он из файлика брать не может, я думал вообще аутентификация с паролями не проходит.

Там же ещё нужен этот.. какой-то master Certificate Authority, как я понял? генерируется на сервере и передаётся на клиенты.

[dmn]

Цитата:

Сообщение от Hip-Hop

Там же ещё нужен этот.. какой-то master Certificate Authority, как я понял? генерируется на сервере и передаётся на клиенты.

смотря как организовать сервер.

Цитата:

OpenVPN предлагает пользователю несколько видов аутентификации.

• Предустановленный ключ, — самый простой метод.
• Сертификатная аутентификация, — наиболее гибкий в настройках метод.
• С помощью логина и пароля, — может использоваться без создания клиентского сертификата (серверный сертификат всё равно нужен).

пруфлинк, ну и эта же цитата была в ответах выше

[Hip-Hop]

Цитата:

Сообщение от dmn

смотря как организовать сервер.

С помощью пароля и логина, но ca (Certificate Authority) и в этом случаи должен быть у клиентов. Насколько я понял.

Note that client-cert-not-required will not obviate the need for a server certificate, so a client connecting to a server which uses client-cert-not-required may remove the cert and key directives from the client configuration file, but not the ca directive, because it is necessary for the client to verify the server certificate.

[dmn]

Цитата:

Сообщение от Hip-Hop

С помощью пароля и логина, но ca (Certificate Authority) и в этом случаи должен быть у клиентов. Насколько я понял.

да, если правильно я вас понял, то в таком случае на вашей стороне должны быть 3 файла - 2 сертификата (один пользовательский, другой сертификат сервера) и ключ.

если используете сборки серверов со встроенными модулями openvpn (первое что пришло в голову в качестве примера clearos, он же clarkconnect), то сертификаты можно получить в профиле пользователя.

если сами прикручиваете к уже рабочей машине - то как и писали выше openssl в руки.
либо альтернативные методы.

[Hip-Hop]

Цитата:

Сообщение от dmn

да, если правильно я вас понял, то в таком случае на вашей стороне должны быть 3 файла - 2 сертификата (один пользовательский, другой сертификат сервера) и ключ.

ну, насколько я понял на стороне клиента должен быть ca и пароли. А на сервере тоже есть сертификаты и ключи, но они серверные + он настроен на аутентификацию по паролю и логину. Клиентский ключ и сертификат (генерируемые тоже на сервере) не нужны. Но ca должен быть на клиенте.. так как через него:

client to verify the server certificate.

[Hip-Hop]

Цитата:

Сообщение от dmn

если используете сборки серверов со встроенными модулями openvpn (первое что пришло в голову в качестве примера clearos, он же clarkconnect), то сертификаты можно получить в профиле пользователя.

если сами прикручиваете к уже рабочей машине - то как и писали выше openssl в руки.
либо альтернативные методы.

ды, imho, openvpn ерунда. Если нельзя стандартным vpn-клиентом windows получить линк.

Лучше использовать vpn-сервера которые это могут + простенькие. Например mpd5 Ж)

[Катя.]

Цитата:

Сообщение от dmn

вам необходимо либо самому скомпилировать под себя клиент с этой опцией, либо найти готовый дистрибутив с включенной опцией.

спасибо. второй вариант оказался проще. для первого пришлось бы скачать кучу какого-то еще хлама.