OpenVPN pro stovky klientů

[Darkhunter]

Ahoj,
potřeboval bych radu ohledně VPNky. Klienti ode mě dostávají raspberry a já potřebuju mít k nim přístup, takže je připojuju na svůj openvpn server.
Zatím to mám tak, že umožňuju multiple connect z jednoho certiifkátu.
Mohl bych pro každého klienta vygenerovat nový, ale zabere mi to čas a vpnka se musí reloadovat že?
Klienti nemají na linux přístup. Samozřejmě se to dá nějak hacknout, ale nemyslím si, že je tam bezpečností riziko.
Asi bych ale potřeboval, aby klientovi občas expiroval ceritifkát.
Jaké je pro mě asi nejlepší řešení?

[Reklama]

[Jenda]

Zatím to mám tak, že umožňuju multiple connect z jednoho certiifkátu.

To je špatné, protože 1) nejde neposlušného klienta revokovat, 2) nejde přes client-config-directory nastavit pevná IP adresa klientovi, takže se ti budou špatně na první pohled rozlišovat.

Mohl bych pro každého klienta vygenerovat nový, ale zabere mi to čas

Na mém 4 roky starém notebooku trvá vystavení certifikátu 6 milisekund.

a vpnka se musí reloadovat že?

Podle mě ne. VPNka ví jaké CA věřit a klient jí poskytne certifikát podepsaný touto CA. VPNka ho nikdy předtím nemusela vidět a prostě jen ověří, že je podepsaný (+ případně musí zkontrolovat revokaci, tam už se to možná bez reloadu neobejde).

[Palo M.]

a vpnka se musí reloadovat že?

Podle mě ne. VPNka ví jaké CA věřit a klient jí poskytne certifikát podepsaný touto CA. VPNka ho nikdy předtím nemusela vidět a prostě jen ověří, že je podepsaný (+ případně musí zkontrolovat revokaci, tam už se to možná bez reloadu neobejde).

Ani pri revokácii sa nemusí VPNka zakaždým reloadovať. V konfiguračnom súbore je nastavená len cesta na CRL, pri revokovaní certifikátu treba akurát vygenerovať nový CRL súbor a ten nakopírovať do príslušnej cesty (konfigurácia VPN sa pritom nemení, teda nie je dôvod reloadovať). Server kontroluje pri každom pokuse klienta o pripojenie, či je daný certifikát revokovaný, alebo nie.

[Tuxik]

Zcela bez urážky, zdá se ti vhodné, aby někdo s takovými (ne)znalostmi o použité technologii řešil takový problém v produkci pro reálné zákazníky a navíc v takovém množství? Pokud se nepletu, je to zase nějaká EET supr čupr krabičkárna. Jsi připravenej za svoje stovky zákazníků platit Bábišce pokuty, až ti to někdo škaredě rozbije?

[BobTheBuilder]

A není pro takovéto účely lepší autentizace jménem/heslem? Každý klient může mít svůj login, je to krásně přehledné (víte z logu, kdo je kdo, s jakou IP adresou) a pod kontrolou (nezaplatí? zablokuj, zaplatí? odblokuj).

[Reklama]

[ZAJDAN]

A není pro takovéto účely lepší autentizace jménem/heslem? Každý klient může mít svůj login, je to krásně přehledné (víte z logu, kdo je kdo, s jakou IP adresou) a pod kontrolou (nezaplatí? zablokuj, zaplatí? odblokuj).

Takto bych to resil i já. neni potreba tolik certifikatu, staci jeden a dalsi overeni jmeno-heslo

[Darkhunter]

Super, tak to funguje s two phase autorizací.
Jinak Tuxik nemyslím si, ež se v tom nevyznám. Pár let jsem dělal sysadmina. Jen se ptám na názory ostatních, jak by to vyřešili. Myslím, že k tomu to fórum tady slouží. BTW Babišce nic platit nebudu. Takhle to nefunguje. Zákazník si je zodpovědný sám za to, jaký přístroj na to pořídil. My se to snažíme vylazovat. Zatím to ještě ani neprodáváme.

[Darkhunter]

A ještě jedna věc. Dal jsem si ifconfig-pool-persist a v ipp.txt má teď připojený klient jinou IP, než kterou skutečně má. Možná je to tím, že se mu změnilo common name.

[Lol Phirae]

Kolego, nic ve zlém, ale kurva přečti si dokumentaci než začneš nějakej produkt nabízet lidem. Dost neuvěřitelný, tohle. :-(

[Darkhunter]

Tak ještě jsem neviděl nikoho číst celou openvpn dokumentaci a to jsem dělal ve firmách, které nabízely full solutions pro servery.
Kdybych měl číst celou dokumentaci ke každé library nebo každému programu, který pro svůj produkt používám, tak bych na to potřeboval tak sto životů....

[Tuxik]

Super, tak to funguje s two phase autorizací.
Jinak Tuxik nemyslím si, ež se v tom nevyznám. Pár let jsem dělal sysadmina. Jen se ptám na názory ostatních, jak by to vyřešili. Myslím, že k tomu to fórum tady slouží. BTW Babišce nic platit nebudu. Takhle to nefunguje. Zákazník si je zodpovědný sám za to, jaký přístroj na to pořídil. My se to snažíme vylazovat. Zatím to ještě ani neprodáváme.

Já neřekl, že nerozumíš ničemu, ale je jasné, že s openvpn moc zkušeností nemáš. A ano, zákazník si za to odpovídá sám, ale jde o pokuty až půl mega, takže počítej s tím, že když bude mít někdo kvůli tvému řešení problémy, pravděpodobně to skončí u soudu a líbit se ti to nebude. I kdyby jsi to ustál bez placení, s tímto podnikáním můžeš skončit. Nechci ti to úplně vymlouvat, jenom by možná nebylo od věci si k tomu něco nastudovat vlastníma silama, čímž se člověk většinou nejvíc naučí. Trošku z toho vyznívá "nejde o moje prachy, tak to kašlu a nějak to splácám". Já vím, Bábiška si to vymyslela blbě a finální specifikace byly celkem pozdě, takže to tak nějak museli splácat všichni, ale někteří nabízí i pojištění proti ztrátám, které by jejich řešení mohlo způsobit. Nevím, jak jsi zavedená firma a nechci to hodnotit, ale je mi až smutno, kolik nových firem vzniklo jen kvůli EET. Mimochodem, těch dotazů na bezpečnost (někdy i nesmyslných) už jsi tu měl víc, takže to není jen o neznalosti OVPN, ale spíš o neznalosti základních bezpečnostních principů. Takže nechci tě odradit, ale zamysli se pořádně, nejen, že i když si to nepřipouštíš, tak jde pravděpodobně i o tvoje peníze, ale hlavně jde o tvoji pověst a tu budeš případně získávat zpátky špatně. Na tvém místě bych trochu víc studoval a trochu míň se ptal a asi bych si být tebou najmul časem někoho na nějaký alespoň vzebrubný audit.

[Darkhunter]

My jsme nevznikli kvůli EET. S kamarády jsme dělali na něčem, co usnadní chod hospod/obchodů atd už dávno předtím, tak nás prosím nehaž do stejného pytle.
Samozřejmě v tomhle máš pravdu a já se snažím zjistit co nejvíc to jde.
Přečetl jsem si spoustu věcí a vím, jak se vyvarovat tomu, aby zákazníkům systém nefungoval.
Strávil jsem na tom několik měsíců a snažil jsem se to vyřešit co nejlépe.
Ono s prací se toho ale moc nestíhá.
Audit stoprocentně si chci udělat, ale stojí kolem sto tisíc korun a ty bohužel teď nemám, ale chci na něj dát první peníze, co vyděláme.

[Tuxik]

Říkám, že nechci posuzovat, jak jsi, nebo nejsi zavedená firma a pokud už v oboru něco děláš, rozumím i tomu, že chceš přidat i EET, protože to k tomu prostě patří. Jinak teda jedna praktická rada... jestli jsi tou two phase autorizací myslel, že mají všichni stejný cert a k tomu jména a hesla, tak se na to vykašli. Certifikát vygeneruješ skriptem za pár vteřin i s přihlašovacími údaji a zvládne to i poučená studenta sluníčkářství na brigádě, která by to prodávala někde ve stánku na náměstí. Pokud budou mít všichni jeden cert a různá jména a hesla, tak to není two phase, protože stačí hacknout jednu krabičku (což jsi sám uznal, že nevylučuješ) a když už si někdo ten jeden certifikát vytáhne, pro všechny ostatní účty už stačí "jen hádat jméno a heslo".

[Darkhunter]

Samozřejmě. To je jasné. Ale pochybuji, že by to někdo chtěl hackovat. A když už, tak je tam spoustu dalších zranitelných věcí...
Jakmile má zákazník krabičku u sebe, tak pokud se vyzná, tak se tam dostane v jakémkoliv případě.
Já se to snažím zabezpečit, aby se tam nedostalo těch 99,5% lidí.

[kolemjdoucí]

Samozřejmě. To je jasné. Ale pochybuji, že by to někdo chtěl hackovat. A když už, tak je tam spoustu dalších zranitelných věcí...

Moc často sem nepřispívám, ale když vidím tvoje odpovědi nedá mi to.
Bez urážky, ale pokud tvrdíš, že v tom dělaš několik let tak o tom víš pořád kulový. S tímto přístupem do toho nechoď a argument že pochybuješ  si snad děláš srandu?
Jak jsi sám zmínil je to nerizikovejší místo a podle toho se zařiď a nepochybuj.