| Autor |
Sõnum |
DaStoned
Pingviini aktivist
Vanus: 43
Liitunud: 11.01.2007
Postitused: 392
Asukoht: Tallinn
Distributsioon: Debian
|
|
Olukord: hakkab olema paras kogus Linuxiga seadmeid (ütleme paarsada) mis hoiavad üleval tunnelit OpenVPN jumphostiga. Eesmärk on see, et ma saaksin igaühte neist vajadusel hõlpsalt üle SSH sisse logida ja hooldust teha. Plaani järgi hoian ma oma arvutist üles ühendust sama VPN-iga ja vajaduse tekkimisel võtan üles ssh ühenduse vajaliku seadmega.
Kui ma tahan ühendust seadmega "seade0193" (see on tema seerianumber ja hostname) siis tahaks ma tema nime järgi teda seal OpenVPN võrgus ka leida ja lahendada VPN-i tunneli IP-ks. Ideaalis võiks toimida minu arvutis käsk (eeldusel et VPN ühendus on üleval):
| Kood: | | $ ssh seade0193.vpn.lan |
Nimed ei ole üleilmses DNS-is (ja ei saa seal olema) vaid piirduvad mingi kohaliku privaatse domeeniga (näiteks *.vpn.lan). Seadmeid on palju, nad on üle ilma laiali ja enamuses mobiil-Interneti kaudu netis. Muidu ma laseksin nad üle ethernet bridge-i kokku ühte virtuaalsesse LANi ja seal toimiks edasi bonjour/avahi, aga piiratud andmemahuga mobiiliühendus hästi ei sobi broadcasti pakettide levitamiseks nii suures võrgus. Lahendus peab toimima autonoomselt ja dünaamiliselt, st kui uus seade VPN-i otsa ilmub, saan ma oma masinas kohe tema kohaliku nime tunneli IP-ks lahendada. Kindlasti ei huvita mind hosts faili käsitsi uuendamine ega muu käsitöö (mingi automaatne variant võiks isegi kõne alla tulla, kui OpenVPN-il mingid sobivad hookid oleksid).
Seega otsin huvilistelt ideid, kuidas saaks üle OpenVPN tunneli ("dev tun") teiste klientide kohalikke nimesid lahendada ilma ülevõrgulist broadcasti kasutamata. Kas tõesti tuleb panna Samba NetBIOS server käima vms?
|
|
|
|
_________________
When the shit hits the fan, keep your mouth shut!
|
|
|
  |
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
Tundub huvitav teema olevat  Ise pole sellega kokku puutunud, kuid mõtted hakkasid jooksma. Kas kuidagi post-auth scriptiga ei saa midagi lahendada, et kui masin OpenVPN-i püsti lööb, siis saadetakse selle post-auth skriptiga kuskile tema täpsemad andmed?
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
 |
DaStoned
Pingviini aktivist
Vanus: 43
Liitunud: 11.01.2007
Postitused: 392
Asukoht: Tallinn
Distributsioon: Debian
|
|
Hea vihje, sealt võikski alustada, kui OpenVPN "basic" seda ka toetaks. Mulle tundub, et post-auth on OpenVPN Access Server funktsionaalsus, seda nad jagavad raha eest 
Aga kui ma natuke edasi kaevan, siis openvpn-il on neid konkse rohkem kui ma jaksan man-i lugeda. See siin tegelikult aitaks, kui mul oleks mingi nimelahendusteenus, kuhu aadressi ja nime paare käsitsi saab lisada ja kustutada.
| Kood: | | --learn-address cmd
Run command cmd to validate client virtual addresses or routes.
Three arguments will be appended to any arguments in cmd as follows:
[1] operation -- "add", "update", or "delete" based on whether or not the address is being added to, modified, or deleted from OpenVPN's internal routing table.
[2] address -- The address being learned or unlearned. This can be an IPv4 address such as "198.162.10.14", an IPv4 subnet such as "198.162.10.0/24", or an ethernet MAC address (when --dev tap is being used) such as "00:FF:01:02:03:04".
[3] common name -- The common name on the certificate associated with the client linked to this address. Only present for "add" or "update" operations, not "delete". |
Hea küll. Ma panen vpn serverisse käima mingi nimelahendusteenuse ja kirjutan ülaltoodud konksu otsa skripti, mis muudab tolle andmebaasi iga kord kui seade külge või lahti ühendub (add, "10.8.0.7", "seade0193.vpn.lan"). Ja siis suunan oma arvuti selle nimelahendusteenuse pihta kui too omakorda VPNi toru külge tuleb. Hmm, võiks teoorias toimida.
Mis selline lihtsalt muditav nimelahendusteenus võiks olla? "Päris" DNS teenust ei viitsiks VPN serveris käima ajada.
|
|
|
|
_________________
When the shit hits the fan, keep your mouth shut!
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
| aga äkki kuidagi nii, et iga kord kirjutad või muudad vastavat kirjet VPN serveri hosts failis. Ehk klient saadab andmed, mis server kirjutab hosts faili. Siis pole sul enda dns serverit vaja.
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
DaStoned
Pingviini aktivist
Vanus: 43
Liitunud: 11.01.2007
Postitused: 392
Asukoht: Tallinn
Distributsioon: Debian
|
|
| spott kirjutas: | | aga äkki kuidagi nii, et iga kord kirjutad või muudad vastavat kirjet VPN serveri hosts failis. Ehk klient saadab andmed, mis server kirjutab hosts faili. Siis pole sul enda dns serverit vaja. |
Ok. Pmst saab kirjutada paar rida pythonit mis seda enam-vähem usaldusväärselt teeb. Kui ma nüüd rahulduks sellega, et server ise suudab neid nimesid lahendada, siis piisaks.
Aga ma olen ekstra laisk ja ei viitsi jumphosti SSH ühendust lahti võtta, et sealt edasi hüpata. Ma tahaks et minu arvuti, kui üks järjekordne VPN klient, suudaks nimesid lahendada seni kuni mul tunnel püsti on. Siis ma saaks otse oma arvutist seadmesse SSH-d teha läbi kahe tunneli otsa. OpenVPN server ju ei paku mulle tunneli loomisel enda hosts faili, ega?
|
|
|
|
_________________
When the shit hits the fan, keep your mouth shut!
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
|
|
DaStoned
Pingviini aktivist
Vanus: 43
Liitunud: 11.01.2007
Postitused: 392
Asukoht: Tallinn
Distributsioon: Debian
|
|
Jep, saab kindlasti midagi välja mõelda. See läheb juba tummisemaks häkkimiseks. Tulemust ei saa ainult openvpn client.conf-i kirja panna, peab mingi portsu väliseid skripte ja konffi tekitama jne. Seda portsu tuleb omakorda teistele opsiga tegelevatele inimestele üles seada. Hmm. Kui keeruline ühe kohaliku bind serveri paigaldamine ikka olla saab? 
Aitäh kaasa mõtlemast, ideid tekkis.
|
|
|
|
_________________
When the shit hits the fan, keep your mouth shut!
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
| tegelikult ei ole - ise kasutan Zentyal serveri lahendusi - saad ühte masinasse nii OpenVPN serveri kui ka BIND-i.
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
|
|
