Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
DaStoned
Pingviini aktivist
Pingviini aktivist


Vanus: 38
Liitunud: 11.01.2007
Postitused: 314
Asukoht: Tallinn
Distributsioon: Debian
estonia.gif
postituspostitatud: 08.08.2019, 14:46  postituse pealkiri:  OpenVPN kliendi kohaliku nime lahendamine  

Olukord: hakkab olema paras kogus Linuxiga seadmeid (ütleme paarsada) mis hoiavad üleval tunnelit OpenVPN jumphostiga. Eesmärk on see, et ma saaksin igaühte neist vajadusel hõlpsalt üle SSH sisse logida ja hooldust teha. Plaani järgi hoian ma oma arvutist üles ühendust sama VPN-iga ja vajaduse tekkimisel võtan üles ssh ühenduse vajaliku seadmega.

Kui ma tahan ühendust seadmega "seade0193" (see on tema seerianumber ja hostname) siis tahaks ma tema nime järgi teda seal OpenVPN võrgus ka leida ja lahendada VPN-i tunneli IP-ks. Ideaalis võiks toimida minu arvutis käsk (eeldusel et VPN ühendus on üleval):

Kood:
$ ssh seade0193.vpn.lan


Nimed ei ole üleilmses DNS-is (ja ei saa seal olema) vaid piirduvad mingi kohaliku privaatse domeeniga (näiteks *.vpn.lan). Seadmeid on palju, nad on üle ilma laiali ja enamuses mobiil-Interneti kaudu netis. Muidu ma laseksin nad üle ethernet bridge-i kokku ühte virtuaalsesse LANi ja seal toimiks edasi bonjour/avahi, aga piiratud andmemahuga mobiiliühendus hästi ei sobi broadcasti pakettide levitamiseks nii suures võrgus. Lahendus peab toimima autonoomselt ja dünaamiliselt, st kui uus seade VPN-i otsa ilmub, saan ma oma masinas kohe tema kohaliku nime tunneli IP-ks lahendada. Kindlasti ei huvita mind hosts faili käsitsi uuendamine ega muu käsitöö (mingi automaatne variant võiks isegi kõne alla tulla, kui OpenVPN-il mingid sobivad hookid oleksid).

Seega otsin huvilistelt ideid, kuidas saaks üle OpenVPN tunneli ("dev tun") teiste klientide kohalikke nimesid lahendada ilma ülevõrgulist broadcasti kasutamata. Kas tõesti tuleb panna Samba NetBIOS server käima vms?

_________________
When the shit hits the fan, keep your mouth shut!

spott
Admin
Admin


Vanus: 38
Liitunud: 04.06.2005
Postitused: 8778

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 08.08.2019, 16:47  postituse pealkiri:  (teema puudub)  

Tundub huvitav teema olevat Very Happy Ise pole sellega kokku puutunud, kuid mõtted hakkasid jooksma. Kas kuidagi post-auth scriptiga ei saa midagi lahendada, et kui masin OpenVPN-i püsti lööb, siis saadetakse selle post-auth skriptiga kuskile tema täpsemad andmed?

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

DaStoned
Pingviini aktivist
Pingviini aktivist


Vanus: 38
Liitunud: 11.01.2007
Postitused: 314
Asukoht: Tallinn
Distributsioon: Debian
estonia.gif
postituspostitatud: 08.08.2019, 17:06  postituse pealkiri:  (teema puudub)  

Hea vihje, sealt võikski alustada, kui OpenVPN "basic" seda ka toetaks. Mulle tundub, et post-auth on OpenVPN Access Server funktsionaalsus, seda nad jagavad raha eest Neutral

Aga kui ma natuke edasi kaevan, siis openvpn-il on neid konkse rohkem kui ma jaksan man-i lugeda. See siin tegelikult aitaks, kui mul oleks mingi nimelahendusteenus, kuhu aadressi ja nime paare käsitsi saab lisada ja kustutada.

Kood:
       --learn-address cmd
              Run command cmd to validate client virtual addresses or routes.

              Three arguments will be appended to any arguments in cmd as follows:

              [1] operation -- "add", "update", or "delete" based on whether or not the address is being added to, modified, or deleted from OpenVPN's internal routing table.
              [2] address -- The address being learned or unlearned.  This can be an IPv4 address such as "198.162.10.14", an IPv4 subnet such as "198.162.10.0/24", or an ethernet MAC address (when --dev tap is being used) such as "00:FF:01:02:03:04".
              [3] common name -- The common name on the certificate associated with the client linked to this address.  Only present for "add" or "update" operations, not "delete".


Hea küll. Ma panen vpn serverisse käima mingi nimelahendusteenuse ja kirjutan ülaltoodud konksu otsa skripti, mis muudab tolle andmebaasi iga kord kui seade külge või lahti ühendub (add, "10.8.0.7", "seade0193.vpn.lan"). Ja siis suunan oma arvuti selle nimelahendusteenuse pihta kui too omakorda VPNi toru külge tuleb. Hmm, võiks teoorias toimida.

Mis selline lihtsalt muditav nimelahendusteenus võiks olla? "Päris" DNS teenust ei viitsiks VPN serveris käima ajada.

_________________
When the shit hits the fan, keep your mouth shut!

spott
Admin
Admin


Vanus: 38
Liitunud: 04.06.2005
Postitused: 8778

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 08.08.2019, 18:41  postituse pealkiri:  (teema puudub)  

aga äkki kuidagi nii, et iga kord kirjutad või muudad vastavat kirjet VPN serveri hosts failis. Ehk klient saadab andmed, mis server kirjutab hosts faili. Siis pole sul enda dns serverit vaja.

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

DaStoned
Pingviini aktivist
Pingviini aktivist


Vanus: 38
Liitunud: 11.01.2007
Postitused: 314
Asukoht: Tallinn
Distributsioon: Debian
estonia.gif
postituspostitatud: 08.08.2019, 19:24  postituse pealkiri:  (teema puudub)  

spott kirjutas:
aga äkki kuidagi nii, et iga kord kirjutad või muudad vastavat kirjet VPN serveri hosts failis. Ehk klient saadab andmed, mis server kirjutab hosts faili. Siis pole sul enda dns serverit vaja.


Ok. Pmst saab kirjutada paar rida pythonit mis seda enam-vähem usaldusväärselt teeb. Kui ma nüüd rahulduks sellega, et server ise suudab neid nimesid lahendada, siis piisaks.

Aga ma olen ekstra laisk ja ei viitsi jumphosti SSH ühendust lahti võtta, et sealt edasi hüpata. Ma tahaks et minu arvuti, kui üks järjekordne VPN klient, suudaks nimesid lahendada seni kuni mul tunnel püsti on. Siis ma saaks otse oma arvutist seadmesse SSH-d teha läbi kahe tunneli otsa. OpenVPN server ju ei paku mulle tunneli loomisel enda hosts faili, ega?

_________________
When the shit hits the fan, keep your mouth shut!

spott
Admin
Admin


Vanus: 38
Liitunud: 04.06.2005
Postitused: 8778

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 09.08.2019, 05:55  postituse pealkiri:  (teema puudub)  

Kuid sinu masin saab endale tõmmata serveri hosts faili sisu - siis isegi serveri hosts faili pole vaja näppida - seal mingi hostide fail ja sinu masinas võetakse sellest failist lisaandmed lokaalsele hosts failile. Kiire otsing andis hosts failide kohta selle tulemuse veel:
https://unix.stackexchange.com/questions/60549/etc-hosts-file-refer-to-another-configuration-file

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

DaStoned
Pingviini aktivist
Pingviini aktivist


Vanus: 38
Liitunud: 11.01.2007
Postitused: 314
Asukoht: Tallinn
Distributsioon: Debian
estonia.gif
postituspostitatud: 09.08.2019, 08:55  postituse pealkiri:  (teema puudub)  

Jep, saab kindlasti midagi välja mõelda. See läheb juba tummisemaks häkkimiseks. Tulemust ei saa ainult openvpn client.conf-i kirja panna, peab mingi portsu väliseid skripte ja konffi tekitama jne. Seda portsu tuleb omakorda teistele opsiga tegelevatele inimestele üles seada. Hmm. Kui keeruline ühe kohaliku bind serveri paigaldamine ikka olla saab? Smile

Aitäh kaasa mõtlemast, ideid tekkis.

_________________
When the shit hits the fan, keep your mouth shut!

spott
Admin
Admin


Vanus: 38
Liitunud: 04.06.2005
Postitused: 8778

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 09.08.2019, 11:11  postituse pealkiri:  (teema puudub)  

tegelikult ei ole - ise kasutan Zentyal serveri lahendusi - saad ühte masinasse nii OpenVPN serveri kui ka BIND-i.

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group