openVPN GUI v KDE4
Zdravím, potřebuji se občas připojit přes openvpn do firmy, ale nedaří se mi najít nějaké šikovné klikátko na připojování. O vlastní nastavení openvpn mi nejde, z terminálu se přes openvpn --config myconf.ovpn připojím, ale neumím to ukončit jinak, než CTRL+C a vůbec je to takové nekomfortní. KNetworkManager, v kterém by snad nějaké gui na vpn mělo být, mi už v základu nefunguje dobře, neukazuje vůbec žádné připojení (akorát po najetí myší "eth0 aktivován"), i když internet funguje, o vpn v menu ani zmíňka. Doinstaloval jsem všechno, co vypadalo, že by mohlo pomoci (věci k openvpn, networkmanager-openvpn-kde(4), ale nic. Zkoušel jsem i gadmin-openvpn-client, ale vyžaduje práci pod rootem. Ideální by byla GUI aplikace jako je ve Win, která jen vyhledá ovpn configy v daném umístění a umí connect/reconnect/disconnect, GUI v tom smyslu, abych tam přímo vyplňoval ve formuláři porty atd je zbytečný.
Používám 11.1 RC1 KDE4
Díky
Jde to v Knetworkmanageru,
jak píšete doinstaloval jste networkmanager-openvpn-kde a ještě je potřeba networkmanager-openvpn. Pak kliknete na ikonu knetworkmanageru a dáte upravit připojení -> tam volba nové připojení -> VPN a spustí se průvodce ...
To samé by mělo jít v novém apletu pro KDE4 (balíček NetworkManager-kde4), ale nemám odzkoušeno ... (pozor je to plasmoid) přidáte ho do lišty nebo na plochu pomocí přidat widgety a ne v programech jako starý knetwormananger ...
To mám nainstalované, viz.
pavel@main-desktop:~> zypper se --installed-only openvpn
Načítání dat repozitáře...
Načítají se nainstalované balíčky...
S | Jméno | Shrnutí | Typ
--+-----------------------------+--------------------------------------+--------
i | NetworkManager-openvpn | NetworkManager VPN support for Ope-> | balíček
i | NetworkManager-openvpn-kde | KNetworkManager aplikace pro Netwo-> | balíček
i | NetworkManager-openvpn-kde4 | NetworkManager client for KDE 4 | balíček
i | openvpn | Full-featured SSL VPN solution usi-> | balíček
pavel@main-desktop:~> zypper se --installed-only networkmanager
Načítání dat repozitáře...
Načítají se nainstalované balíčky...
S | Jméno | Shrnutí | Typ
--+-----------------------------+--------------------------------------+--------
i | NetworkManager | Network Link Manager and User Appl-> | balíček
i | NetworkManager-glib | Libraries for adding NetworkManage-> | balíček
i | NetworkManager-kde | KNetworkManager aplikace pro Netwo-> | balíček
i | NetworkManager-kde4 | NetworkManager client for KDE 4 | balíček
i | NetworkManager-kde4-lang | Languages for package NetworkManag-> | balíček
i | NetworkManager-openvpn | NetworkManager VPN support for Ope-> | balíček
i | NetworkManager-openvpn-kde | KNetworkManager aplikace pro Netwo-> | balíček
i | NetworkManager-openvpn-kde4 | NetworkManager client for KDE 4 | balíček
ale uplně jsem přehlédl, že přibyla ta možnost v upravit připojení / nové připojení. Mezi widgety jsem našel akorát "Networks" (jestli to teda je ten nový knetworkmanager-kde4), tam možnost přidat vpn připojení je taky, ale ani ten widget nezobrazuje moje připojení, je to takové polofunkční. V GNOME (které mi ale nevyhovuje) mi networkmanager normálně funguje, ukáže adresu, jakou jsem od dhcp dostal a ostatní info, s KDE4 si ten můj počítač nějak nerozumí :(
Dal jsem ty výpisy do tagu code v domnění, že to bude nějak inteligentně vypadat, ale dopadlo to takhle, sorry. Co použít, když tu není pre?
test cite
123
Ano ten applet se jmenuje "Networks" a ano je zatím polofunkční :) Proto také zatím používám knetworkmanager z KDE3 ...
Teď když máte v upravit připojení / nové připojení v Knetworkmanageru funguje vám to ?
Nefunguje, nastavil jsem to v tom z KDE3 (ten aplet má možnosti podobné), jenže já v configu mám ještě spoustu parametrů, které v těch okýnkách není/nevím kam narvat. Zkrátka když dám potom spustit vpn připojení, nestane se nic. No asi se budu muset připojovat z té command lajny..
Rozumím,
i s tím jsem se setkal. Více poradit v tuto chvíli neumím. Bohužel tato Gui nástavba plnohodnotně nenahradí klasický konfigurák :( Uvidíme jak se bude vyvíjet ten applet v KDE4 ...
Ještě mě napadlo,
udělejte si klasického zástupce s konkrétní příkazem a s požadavkem na přihlášení pod rootem...
Ještě si u něj nastavte, aby se spouštěl automaticky v konzoli ...
Nějak takto:
[Desktop Entry]
Comment[cs]=
Comment=
Exec=openvpn --config openvpn.conf
GenericName[cs]=
GenericName=
Icon=yast-remote
MimeType=
Name[cs]=
Name=
Path=/etc/openvpn
StartupNotify=true
Terminal=true
TerminalOptions=
Type=Application
X-DBUS-ServiceName=
X-DBUS-StartupType=none
X-KDE-SubstituteUID=true
X-KDE-Username=root
X-SuSE-translate=true
Zástupce mě taky napadl, ale asi by to neřešilo to hlavní, a sice abych viděl v oznamovací oblasti, že jsem někam připojen, aby mě "nepřekáželo" okno terminálu a nehrozilo, že si ho omylem zavřu a zároveň abych se ale mohl podívat, jak připojování proběhlo, případně jestli se mi to samo nerekonektí atd. Jako není to nic neřešitelného, terminál si můžu dát na nepoužívanou plochu nebo něco takového, připojení/nepřipojení si holt pohlídám, jen jsem chtěl vědět, jestli existuje nějaké elegantní řešení, podobné jaké mám ve Win.
Vím, že to není nejelegantnější řešení, ale pořád lepší než to dělat ručně.
Schválně to vyzkoušejte, není to tak špatné ...
Po kliknutí na ikonu se otevře konzole a hned čeká na heslo roota, po zadání okamžitě dojde ke spuštění příkazu s klasickým výpisem a můžete posléze sledovat i stav. Nakonec klasickým ctrl+c ukončit...
Více zatím bohužel neporadím :(
Pokud by jste přišel na to jak donutit knetworkmanager, aby bral konfigurák openvpn, bylo by to asi nejlepší řešení ...
Ikonku teď nevyzkouším, opět se po.. XPčka, přes které mi to jede, ale principielně to je jasné, díky. Jen se zeptám, proč to pouštět jako root? Mám dojem, že se mi to předtím normálně spojilo pod userem pavel.
No ve výchozím režimu má právo spouštět openvpn jen root a myslím, že je to kvůli bezpečnosti i lepší...
Máte pravdu, že to běželo pod normálním uživatelem se mi asi zdálo, když to nepustím pod rootem, nenahodí TUN/TAP interface. Mě se to ale zdá docela problém :( Připojit se VPNkou někam může chtít přece kdokoliv a určitě běžnému uživateli nebudu chtít na stanici dávat heslo roota - nějak v tom vůbec nevidím smysl, navíc na certifikáty má mít práva jen vlastník a ne root, to může být uplně jiná osoba. Možná to jde nějak pořešit, teprve začínám.
Samozřejmě,
jde jen o nastavení práv... Pokud konkrétního uživatele přiřadíte do definované skupiny a nebo přímo openvpn nastavíte tak, že ho může spouštět kdokoli...
Záleží na situaci a počtu uživatelů ...
Neumím si ani teoreticky představit situaci, kdy by se hodilo, aby uživatel nemohl spustit openvpn. Samotné openvpn mu bude bez configu, certifikátů a heslu k nim stejně k ničemu. A pokud již toto všechno má, evidentně mu někdo někam kvůli něčemu ten přístup dal.
Mohu tedy poprosit o nastavení, aby openvpn mohl pustit kdokoliv? Jak jsem psal výše, on ho kdokoliv pustí, zeptá se to na heslo k certifikátu a jede dál, ale na konci (pokud to nepustím pod rootem) připojování skončí takto:
Note: Cannot ioctl TUNSETIFF tap: Operation not permitted (errno=1)
Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Cannot allocate TUN/TAP dev dynamically
Exiting
Neni to jen o tom, ze ty se pripojis nekam, ale i ty lidi otamtud se muzou pripojit k tobe. A problem v nastaveni je stvoreni a manipulace se sitovym interface na coz uzivatelem nema prava aby na siti nezlobil...
Jednoduchy reseni je nepouzivat klikatko, ale poustet daemona na pozadi pri startu systemu. Uzivatele stejne typicky nezajima co VPN dela, ale jen ze se muze/nemuze pripojit k intranetu. Dalsi jednoducha alternativa co me napada je nastavit vhodne sudo. Networkmanagera sem nikdy nepouzival, tak nevim.
Nejde mi vůbec o daemona, jen o klienta. Tím jsme ale asi narazili na to v čem je asi problém - a sice, že pro server i client je stejné executable openvpn. Server nemám nastaven, nikdo se ke mě nemůže připojit, ať kvůli nenastavenému serveru tak kvůli dvěma NATům a jednomu FW za kterým jsem. Takže jsem nechápal, proč to takhle komplikovat, ale ono je to tím, že v případě openvpn je "firefox"-client i "apache"-server v jednom. To mi komplikuje situaci.
Jediné co chci, aby se uživatel mohl připojit vpnkou ven a nepotřeboval kvůli tomu vědět root heslo, možná by to šlo nějak tím sudo, že by zadal jen svoje heslo, ale nevím jak to nastavit.
Pěkné vysvětlení nastavení práv je zde:
www.nti.tul.cz/wiki/images/3/33/OPS-LinuxPrava.pdf
a také zde :
http://www.abclinuxu.cz/ucebnice/zaklady/principy-prace-se-systemem/pristupova-prava
Ve výše uvedeném je nastavení pomocí příkazů v konzoli, v grafické podobě to jde naklikat pomocí yastu -> Bezpečnost a uživatelé - > správce uživatelů a skupin.
A práva u konkrétních souborů třeba pomocí programu Krusader.
Díky, teď už se s tím asi nějak poperu a dám to dohromady.
daemon neznamena nutne server - jedna se o proces bezici na pozadi a neco delajici, cili i klient muze bezet jako daemon. Tak provozuju VPN klienta ja - zapne se pri startu a pak bezi sam od sebe bez jakekoliv interakce s uzivatelem.
Jakmile navazes spojeni se serverem, tak je jedno za kolika ses naty a kolika firewally, ale utocnik ktery je na serveru ke kteremu se pripojujes muze primo k tobe a roli hraje jen tvuj lokalni firewall vuci VPN (kterej je typicky dost "propustnej")
sudo se nastavuje editaci souboru /etc/sudoers. Je tam celkem hezka napoveda a da se povolit uzivateli spousteni pouze konkretniho prikazu jako root a to klidne i bez jakyhokoliv hesla
Mrknu ty sudoers, díky. Jde jen o terminologii, já daemon chápu spíš jako server (ať už čehokoli), pro mě proces běžící na pozadí je každý kromě aktivního okna - proto jsem psal i tu poznámku, že se ke mě nikdo nedostane, myslel jsem pokud bych měl openvpn jako server a čekal na připojení. Že ke mě může ten z druhého konce navázané vpn linky je jasné, ale tam odtud mi nic nehrozí.
No duvod proc nedavat uzivateli moznost pustit si vpn s kdekym je ze uzivatele jsou typicky naivni a duverivi a na internetu klikaj na kdovico a kdyby meli pravo vytvorit si tunel a tedy i nastavovat sitove interface, tak jeden takovej uzivatel v zabezpecenym intranetu dokaze lehce do firmy pozvat utocnika...
Doporucoval bych dat nastaveni vpn do /tec/openvpn a nechat vpn startovat se systemem (v editoru urovni behu sluzba openvpn). Kdyz tam date konfigurak od klienta, tak to zadny server poustet nebude, jen se to pokazde automaticky pripoji do VPN a uzivatel o tom nemusi ani vedet a nemusi (respektive ani nemuze) nic nastavovat.
Pouštění při startu není vhodné, jsem v jiné situaci: dejme tomu počítač, u kterého se střídají 3 lidé a každý se připojuje někam jinam. Toto připojení přitom potřebují tak jednou za týden na 1/2h, možná i méně. Proto jsem configy a certifikáty dal každému do $home/openvpn místo etc. Jen jeden z těch uživatelů by mohl mít heslo roota, ostatní ne. Proto se mi to pouštění pod rootem nelíbilo, ale ty sudoers to snad vyřeší (budu řešit asi až přes vánoce, dám čistou 11.1).
S tím "pozváním" útočníka máte pravdu, s tím klikáním to je asi trochu přehnané, ono mít config a pustit klienta je trochu složitější, ale nedá se vyloučit např. záškodník ve firmě, co by to pustil záměrně.. To by asi měl řešit FW, aby nepovolil jiná vpn připojení než ty žádoucí, protože i uživatel co má možnost pustit oficiální config by mohl zaškodit a pustit config jiný.
Aha, no sudoers by resili i problem aby uzivatele nemohli skodit - konfiguraky a certifikaty budou patrit rootovi a uzivatele k nim nebudou mit pristup. VPN nahodi volanim sudo /usr/sbin/opevnp /naky optiony/ (da se na to udelat alias ci shell script) a vpn se spusti pod rootem klidne se ani nebude ptat na heslo. Pokud neznate syntaxi sudoers, tak vezte, ze se tam da nastavit i ze parametry spousteneho programu musi vypadat nejak - napr uplna cesta ke konfiguraku ktery uzivatel nema pravo ani cist. A s jinymi parametry to uzivateli openvpn spustit proste nedovoli a navic to posle rootovi mail s tim kdo zlobil.
Tak to je super, toto řešení s napevno danými parametry je přesně ono. To budu mít o vánocích o studium postaráno :) Sice se v mém případě uživatelů bát nemusím, ale je dobré se to naučit nastavit pořádně. Díky.
(snad bude nová verze fóra normální a ne odsazovaný strom)
Ono by stačilo, kdyby se dalo vybrat, jestli to chci naklikat formulářem a nebo použít konfigurák - to by se dalo naprogramovat za chvilku, případně okno pro zadání dodatečných parametrů (nebo pro jistotu obojí :)) No KDE4 je teprve na začátku cesty, takže se třeba dočkáme. Chtěl jsem to dát někam jako návrh na zlepšení, ale zatím si jen dopisuji s webmasterem, mají u Novellu nějak po... registrační formulář.
V každém případě děkuji za snahu.
Poslední komentáře
6 hodin 27 min zpět
1 den 6 hodin zpět
1 den 7 hodin zpět
2 dny 16 hodin zpět
5 dnů 2 hodiny zpět
1 týden 1 den zpět
1 týden 1 den zpět
2 týdny 2 dny zpět
2 týdny 2 dny zpět
2 týdny 2 dny zpět