😏 🚴🏿 📂 उन्नत प्रमाणीकरण और प्राधिकरण के साथ OpenVPN 🍆 🤶🏻 ⚾️

लेख अतिरिक्त सुविधाओं के साथ OpenVPN के विन्यास पर चर्चा करता है:

प्राथमिक प्रमाणीकरण के लिए टोकन प्रमाणपत्र (उदाहरण के रूप में रुतोकन)
LDAP माध्यमिक प्रमाणीकरण के लिए बैकएंड (उदाहरण के रूप में ActiveDirectory का उपयोग करके)
उपयोगकर्ताओं के लिए उपलब्ध आंतरिक संसाधनों को फ़िल्टर करना (iptables के माध्यम से)

यह लिनक्स, विंडोज और मैकओएस के लिए क्लाइंट को कॉन्फ़िगर करने का तरीका भी बताता है।

सर्वर सेटअप

OpenVPN स्थापित करें

स्क्रिप्ट Nyr / openvpn- इंस्टॉल करें , रूट से चलाएं।

git clone https://github.com/Nyr/openvpn-install.git cd openvpn-install

स्टार्टअप प्रक्रिया कुछ सवाल पूछेगी।

udp प्रोटोकॉल
पोर्ट 1194
DNS सर्वर - स्थानीय
बाहरी आईपी - इंटरनेट पर प्रवेश द्वार का पता जिसके माध्यम से वीपीएन सर्वर उपलब्ध होगा

मूल स्क्रिप्ट का एक सुरक्षा-वर्धित संस्करण भी है - github.com/Angristan/OpenVPN-install । इसकी स्पष्टीकरण के साथ अधिक एन्क्रिप्शन सेटिंग्स हैं।

उपयोगकर्ता प्रबंधन

इसके अलावा
यदि टोकन का उपयोग नहीं किया जाता है, तो उपयोगकर्ता को उसी स्क्रिप्ट के माध्यम से जोड़ा जाता है। स्क्रिप्ट अनिवार्य रूप से एक कस्टम ovpn कॉन्फिगरेशन उत्पन्न करता है और वहां रूट सर्टिफिकेट द्वारा हस्ताक्षरित एक प्रमाणपत्र सम्मिलित करता है।

यदि टोकन का उपयोग किया जाता है (नीचे दिए गए टोकन पर अनुभाग देखें), तो प्रमाणपत्र मैन्युअल रूप से टोकन के लिए उत्पन्न प्रमाण पत्र के अनुरोध के आधार पर लिखा जाता है। उपयोगकर्ता कॉन्फ़िगरेशन को मौजूदा टेम्पलेट से मैन्युअल रूप से किया जाना चाहिए (उसी से जिसमें से कॉन्फ़िगर स्क्रिप्ट उत्पन्न होती है)। टेम्प्लेट यहां /etc/openvpn/client-common.txt । यह ओपेनवोन पैकेज में शामिल नहीं है और कॉन्फ़िगरेशन प्रक्रिया के दौरान स्क्रिप्ट द्वारा उत्पन्न होता है।

निष्कासन
उपयोगकर्ताओं को निकालना उसी इंस्टॉलेशन स्क्रिप्ट के माध्यम से किया जाता है। प्रमाणपत्र CRL में जोड़ा जाता है, नया CRL vpn सर्वर पर धकेल दिया जाता है। सर्वर उन सभी प्रमाणपत्रों पर विचार करता है जो CRL में अमान्य हैं और स्वीकार करने से इनकार करते हैं।

प्रमाणपत्र को मैन्युअल रूप से कैसे निरस्त करें:

 cd /etc/openvpn/easyrsa #   ./easyrsa revoke $CLIENT #   crl ./easyrsa gen-crl #   crl rm -rf /etc/openvpn/crl.pem #    cp /etc/openvpn/easy-rsa/pki/crl.pem /etc/openvpn/crl.pem # openvpn    crl,       nobody chown nobody:nobody /etc/openvpn/crl.pem

ग्राहकों के लिए उपलब्ध मेजबान छानना

मेजबानों द्वारा ग्राहकों को सीमित करने की आवश्यकता होती है जो वे नेटवर्क पर पहुंच सकते हैं जब वे ओपनवैप से कनेक्ट होते हैं।

मैन्युअल रूप से

यह विचार tun0 इंटरफेस पर भी पैकेट को पकड़ने का है, जिसमें वे क्लाइंट से आते हैं और एनएटी में जाने से पहले उन्हें फ़िल्टर करते हैं। NAT के बाद, उन्हें फ़िल्टर करने का कोई कारण नहीं होगा - वे सभी आंतरिक नेटवर्क पर एक Openvpn सर्वर आईपी पता होगा। NAT में जाने से पहले, प्रत्येक उपयोगकर्ता के लिए पैकेट का अपना विशिष्ट आईपी-पता (IP- पतों और उपयोगकर्ताओं के पत्राचार के लिए, /etc/openvpn/ipp.txt देखें) होता है।

पैकेट जो सिस्टम से गुजरते हैं (सीधे से नहीं आते हैं और आने वाले नहीं हैं, यानी, वास्तव में सिस्टम द्वारा रूट किए गए हैं) फॉरवर्ड टेबल द्वारा प्रोसेस किए जाते हैं। Iptables में टेबल्स को ऊपर से नीचे तक संसाधित किया जाता है, यदि तालिका में कोई भी नियम पैकेट के भाग्य के बारे में निर्णय नहीं लेता है, तो डिफ़ॉल्ट नियम शुरू हो जाता है।

फॉरवर्ड टेबल तैयार करना:

 #   iptables -F FORWARD #     FORWARD -    iptables -P FORWARD DROP #     iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

एक विशिष्ट ग्राहक के लिए उदाहरण के नियम। चूंकि तालिका के लिए डिफ़ॉल्ट नियम DROP है, यह केवल उन होस्ट + पोर्ट जोड़े की अनुमति देने के लिए रहता है जहां आप कर सकते हैं। होस्ट पर पोर्ट तक पहुँचने की अनुमति दें + होस्ट को ही पिंग करें:

 iptables -I FORWARD -s 10.8.0.3 -i tun0 -d 10.0.2.3 -p tcp --dport 443 -j ACCEPT iptables -I FORWARD -s 10.8.0.3 -i tun0 -d 10.0.2.3 -p icmp --icmp-type echo-request -j ACCEPT

उपरोक्त उदाहरण में, मेजबान 10.8.0.3 को मेजबान 10.0.2.3 के पोर्ट 443 तक पहुंच की अनुमति है।

पहुँच कैसे बंद करें:

 #         iptables -L FORWARD --line-numbers #     iptables -D FORWARD { }

फिर आपको किसी विशेष ग्राहक के लिए सभी नियमों को खोजने और उन्हें हटाने की आवश्यकता है।

डिबगिंग के दौरान, यह देखना आसान है कि कौन से नियम काम करते हैं। प्रत्येक नियम में संसाधित पैकेट का एक काउंटर होता है।

 #  ,      watch iptables -nvL FORWARD #     iptables -Z FORWARD

स्वचालित रूप से

एक Openvpn सर्वर में कुछ कार्यों के लिए स्क्रिप्ट निष्पादित करने की क्षमता होती है। विशेष रूप से, जब कनेक्टिंग और डिस्कनेक्टिंग क्लाइंट। लिपियों को किसी भी चीज पर लिखा जा सकता है यदि केवल वे निष्पादन योग्य हों। स्क्रिप्ट के अंदर, पर्यावरण चर मौजूदा कनेक्शन के सभी प्रकार के मापदंडों को पारित करते हैं। हम चर में रुचि रखते हैं:

common_name (प्रमाणपत्र के स्वामी का नाम; प्रमाणपत्र बनाते समय सामान्य नाम फ़ील्ड में क्या ड्राइव करता है)
ifconfig_pool_remote_ip (tun0 पर ग्राहक का आईपी पता)
script_type (जो ईवेंट हुआ - कनेक्ट या डिस्कनेक्ट करें)।

Iptables को प्रबंधित करने के लिए आपको रूट विशेषाधिकार की आवश्यकता होती है। Openvpn किसी को भी रीसेट अधिकार जोड़ने के बाद और इससे स्क्रिप्ट चलाता है। सूडो के तहत किसी को कुछ भी करने की अनुमति देना बुरा है, और नियमों में तारांकन का उपयोग नहीं करना बेहतर है, लेकिन किसी तरह आपको उपयोगकर्ता को iptables को नियंत्रित करने की अनुमति देने की आवश्यकता है।

 # /etc/sudoers.d/50_openvpn # #    nobody ALL = NOPASSWD: /sbin/iptables -A FORWARD* #     nobody ALL = NOPASSWD: /sbin/iptables -L FORWARD* #    nobody ALL = NOPASSWD: /sbin/iptables -D FORWARD*

सर्वर कॉन्फ़िगरेशन में, आपको तृतीय-पक्ष फ़ाइलों को निष्पादित करने और उपयोगकर्ता को कनेक्ट करने और डिस्कनेक्ट करने के लिए जिम्मेदार दो हुक को सक्षम करने की आवश्यकता है।

 script-security 2 client-connect /etc/openvpn/bin/hosts.rb client-disconnect /etc/openvpn/bin/hosts.rb

स्क्रिप्ट ही, जो विन्यास पढ़ता है और iptables के लिए नियम लागू करता है। स्क्रिप्ट उसी सिद्धांतों पर काम करती है जो पिछले अनुभाग में वर्णित है।

/openvpn/bin/hosts.rb

 #!/usr/bin/ruby # -*- coding: utf-8 -*- require 'pp' def log(string) puts 'hosts.rb: ' + string end def parse_config_file(name) config_path = "hosts/#{name}" unless File.exist?(config_path) puts "There is no specific configuration for #{name}." p name exit 0 end config_source = IO.read(config_path).split("\n") config = config_source.inject([]) do |result,line| ip, port, protocol = line.split(/\s+/) result << { ip: ip, port: port, protocol: protocol || 'tcp' } end end def get_config(name) user_config = parse_config_file(name) if user_config everybody_config = parse_config_file('everybody') end everybody_config + user_config end def apply_rule(rule) command = "sudo iptables #{rule}" log(command) system(command) end def remove_rule(number) command = "sudo iptables -D FORWARD #{number}" log(command) system(command) end def allow_target(source_ip, options) #         . apply_rule("-A FORWARD -s #{source_ip} -i tun0 -d #{options[:ip]} -p #{options[:protocol]} --dport #{options[:port]} -j ACCEPT") #       apply_rule("-A FORWARD -s #{source_ip} -i tun0 -d #{options[:ip]} -p icmp --icmp-type echo-request -j ACCEPT") end def clear_targets(source_ip) #      FORWARD,  source_ip. rules_exist = true while rules_exist table = `sudo iptables -L FORWARD --line-number`.split("\n") the_line = table.find do |line| fields = line.split(/\s+/) ip = fields[4] ip == source_ip end if the_line number = the_line.split(/\s+/)[0] remove_rule(number) else rules_exist = false end end end ################################################################################ script_type = ENV['script_type'] log(script_type) name = ENV['common_name'] source_ip = ENV['ifconfig_pool_remote_ip'] case script_type when 'client-connect' config = get_config(name) config.each{|target| allow_target(source_ip, target)} when 'client-disconnect' clear_targets(source_ip) else puts "Unknown script type #{script_type}." end

नियमों को /etc/openvpn/hosts फ़ोल्डर में प्रमाणपत्र के सामान्य नाम के अनुरूप फाइलों में संग्रहीत किया जाता है। वे वास्तव में निर्दिष्ट करते हैं कि कौन से आईपी पते किसी विशेष ग्राहक के लिए उपलब्ध हैं। विभाजक - रिक्त स्थान की एक मनमानी संख्या। आईपी एड्रेस, पोर्ट और प्रोटोकॉल (tcp या udp) विभाजक के माध्यम से लिखे जाते हैं।

 10.0.0.24 53 udp 10.0.0.25 53 udp 10.0.2.3 443 tcp

परिणामस्वरूप, निम्न संरचना /etc/openvpn फ़ोल्डर में /etc/openvpn देनी चाहिए

├── बिन
S. s. hosts.rb
├── यजमान
1 1 user1
2 2 उपयोगकर्ता 2
└── └── हर कोई
F server.conf
└── ...

उपर्युक्त प्रारूप में User1 और User1 फाइलें हैं। वे वर्णन करते हैं कि संबंधित सामान्य नाम के साथ उपयोगकर्ता को कौन होस्ट करता है।

एक और अतिरिक्त everybody फ़ाइल है, इसमें सभी क्लाइंट के लिए लागू होने वाले नियम हैं, बशर्ते कि इन क्लाइंट के लिए एक अलग कॉन्फ़िगरेशन फ़ाइल हो। यही है, अगर उपयोगकर्ता के पास मेजबानों की एक सूची है जहां वह जा सकता है, तो यह सूची और उन everybody में सूचीबद्ध मेजबानों everybody लागू किया जाता है। यदि नहीं, तो everybody कोई लागू नहीं है। उदाहरण के लिए, इस फ़ाइल में डीएनएस सर्वर रखना सुविधाजनक है।

लॉगिंग

स्थापना स्क्रिप्ट में केवल वर्तमान कनेक्शन ( status) पैरामीटर status) का लॉगिंग शामिल है। प्रकट होने के लिए एक नियमित लॉग के लिए, आपको सर्वर कॉन्फ़िगरेशन ( /etc/openvpn/server.conf ) पर एक पंक्ति जोड़ने की आवश्यकता है:

 log-append /var/log/openvpn.log

एलडीएपी

एक Openvpn-Cort-ldap प्लगइन है जो आपको एक उपयोगकर्ता को LDAP के माध्यम से फिर से प्रमाणित करने की अनुमति देता है।

वितरित पैकेज:

 sudo yum install openvpn-auth-ldap

Server.conf में जोड़ें:

 plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so "/etc/openvpn/ldap.conf"

/etc/openvpn/ldap.conf में ldap के लिए एक विन्यास बनाएँ:

 <LDAP> URL ldaps://{LDAP_DOMAIN_HERE} Timeout 15 TLSEnable no FollowReferrals yes BindDN "BIND_DN_HERE" Password "BIND_PASSWORD_HERE" </LDAP> <Authorization> BaseDN "{BASE_DN_HERE}" SearchFilter "(&(sAMAccountName=%u)(objectClass=organizationalPerson)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))" RequireGroup false </Authorization>

कस्टम ovpn config में लाइन जोड़ें:

 auth-user-pass

इस प्रकार, उपयोगकर्ता को पहले डोमेन से उपयोगकर्ता नाम और पासवर्ड पूछा जाएगा, फिर टोकन से पिन। यदि इनमें से एक चरण विफल हो जाता है, तो कनेक्शन स्थापित नहीं किया जाएगा।

Ldap.conf के विकल्पों का विवरण प्लगइन रिपॉजिटरी में है । यह समूह सदस्यता द्वारा प्रमाणीकरण का समर्थन करता है, लेकिन मैंने इसका परीक्षण नहीं किया है।

गति

गति में सबसे बड़ी वृद्धि udp मोड को शामिल करने की सुविधा देती है। यह सभी मैनुअल में सलाह दी जाती है। मुद्दा यह है कि tcp चैनल में tcp क्लाइंट कनेक्शन शुरू करने का कोई मतलब नहीं है। पैकेट पर सही वितरण करने के लिए क्लाइंट पर एक tcp पर्याप्त है। यदि पैकेट udp चैनल में खो जाते हैं, तो क्लाइंट tcp कनेक्शन वितरण समायोजन को नियंत्रित करेगा।

गति कम से कम बढ़ जाएगी क्योंकि चैनल में प्रत्येक पैकेट के वितरण की पुष्टि के लिए प्रतीक्षा करने की आवश्यकता नहीं है। Tcp के साथ एक दूसरी समस्या है - एक ग्राहक tcp पैकेट जो सबसे अधिक संभावना है वह vpn चैनल के एक पैकेट में फिट नहीं होता है। एमटीयू एक ही है, लेकिन हेडर को क्लाइंट पैकेज में जोड़ा जाना चाहिए। परिणामस्वरूप, आपको प्रति उपयोगकर्ता पैकेट vpn चैनल के भीतर दो पैकेट भेजने होंगे।

जब यह दूसरे तरीके से असंभव हो तो टीसीपी उपयोग करने के लिए समझ में आता है। उदाहरण के लिए, जब vpn ssh चैनल के माध्यम से काम करता है।

एक पूर्ण सर्वर कॉन्फ़िगरेशन का उदाहरण

उदाहरण-server.conf

 port 1194 proto tcp dev tun sndbuf 0 rcvbuf 0 ca ca.crt cert server.crt key server.key dh dh.pem tls-auth ta.key 0 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 10.0.0.25" push "dhcp-option DNS 10.0.0.24" keepalive 10 120 cipher AES-256-CBC comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 3 crl-verify crl.pem log-append /var/log/openvpn.log script-security 2 client-connect /etc/openvpn/bin/hosts.rb client-disconnect /etc/openvpn/bin/hosts.rb

टोकन सेटअप

PKCS # 11 लाइब्रेरी

टोकन के साथ काम करने के लिए, आपको एक विशेष पुस्तकालय की आवश्यकता है। मुख्य जोड़े और वास्तविक संबंध बनाने के लिए पुस्तकालय की आवश्यकता है। लिंक द्वारा सभी प्लेटफार्मों के लिए डाउनलोड करें ।

जहाँ भी librtpkcs11ecp.so बाद में पाया जाता है - यह एक बहुत ही पुस्तकालय है जिसे डाउनलोड करने और कहीं सुविधाजनक जगह पर रखने की आवश्यकता है।

टोकन पर प्रमाण पत्र बनाना

टोकन पर एक प्रमुख जोड़ी बनाएं। आईडी पैरामीटर यहां टोकन के स्लॉट की क्रम संख्या है जहां कुंजी जोड़ी फिट होती है।

 pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 01

सार्वजनिक कुंजी के लिए एक प्रमाणपत्र अनुरोध करें। प्रमाणपत्र अनुरोध बनाने की प्रक्रिया में, जीवनकाल प्रमाणपत्र और सामान्य नाम सेट किया जाता है, जिसका उपयोग नेटवर्क के भीतर उपलब्ध आईपी-पते को फ़िल्टर करने के लिए किया जाता है। सामान्य नाम ActiveDirectory में लॉगिन से मेल खाना चाहिए ताकि कोई भ्रम न हो।

 openssl openssl> engine -t dynamic -pre SO_PATH:/usr/lib64/openssl/engines/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so openssl> req -engine pkcs11 -new -key slot_0-id_01 -keyform engine -out /home/john/good.req

प्राप्त अनुरोध को /etc/openvpn/easy-rsa/pki/reqs/ ले जाना चाहिए। फ़ाइल एक्सटेंशन को req होना चाहिए।
किसी प्रमाणपत्र के लिए अनुरोध प्रस्तुत करना:

 cd /etc/openvpn/easy-rsa/ ./easyrsa sign-req client good

उसके बाद, उसी नाम वाला एक प्रमाणपत्र लेकिन एक्सटेंशन crt साथ /etc/openvpn/easy-rsa/pki/issued/ फ़ोल्डर में दिखाई देगा।

रिकॉर्डिंग से पहले, प्रमाण पत्र को डीईआर में परिवर्तित किया जाना चाहिए:

 openssl x509 -in /home/user/user-cert.pem -out /home/user/user-cert.crt -outform DER

टोकन के लिए एक प्रमाण पत्र लिखना:

 pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w /home/user/user-cert.crt --id 45 --label TEST

यह "ओपनएसएसएल (आरएसए) के साथ रुटोकन ईडीएस का उपयोग" लेख के आधार पर लिखा गया है।

प्रमाणीकरण के लिए टोकन का उपयोग करना

सर्वर को प्रस्तुत किए जाने वाले प्रमाणपत्र की आईडी खोजें:

 $ openvpn --show-pkcs11-ids /usr/lib64/librtpkcs11ecp.so The following objects are available for use. Each object shown below may be used as parameter to --pkcs11-id option please remember to use single quote mark. Certificate DN: /CN=User1 Serial: 490B82C4000000000075 Serialized id: aaaa/bbb/41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600

हम यहां सीरियलाइज्ड आईडी में रुचि रखते हैं।

ऐसे विकल्प जो ओवपर्न कॉन्फिगर में दर्ज किए जाने चाहिए ताकि टोकन उठाएं:

 pkcs11-providers /usr/lib64/librtpkcs11ecp.so pkcs11-id 'aaaa/bbb/41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'

pkcs11-id विकल्प को एकल उद्धरणों में संलग्न किया जाना चाहिए।

यह मैनुअल सभी प्लेटफार्मों पर समझ में आता है। आपको लाइब्रेरी के लिए पथ और टोकन पर प्रमाणपत्र आईडी निर्दिष्ट करने की आवश्यकता है। पुस्तकालय को थोड़ा अलग कहा जा सकता है, .dll , not .so , लेकिन अर्थ समान है।

इस मामले में, आपको ovpn फ़ाइल से cert और key अनुभाग निकालने की आवश्यकता है, क्योंकि प्रमाणपत्र और निजी कुंजी टोकन से ली जाएगी।

पूरी तरह से क्लाइंट कॉन्फिग (विंडोज़ के लिए) इस तरह दिखता है:

client.ovpn

client
dev tun
proto tcp
sndbuf 0
rcvbuf 0
remote 78.47.37.247 22222
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3

pkcs11-providers "c://Windows//System32//rtPKCS11ECP.dll"
pkcs11-id 'Aktiv\x20Co\x2E/Rutoken\x20ECP/342b871d/Rutoken/01'

-----BEGIN CERTIFICATE-----
{CERT_HERE}
-----END CERTIFICATE-----


<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
{KEY_HERE}
-----END OpenVPN Static key V1-----
</tls-auth>

क्लाइंट-साइड स्मार्ट कार्ड का उपयोग करके OpenVPN कॉन्फ़िगरेशन में दोहरे-कारक प्रमाणीकरण कैसे जोड़ें, इसके आधार पर लिखा गया है।

ग्राहक सेटअप

लिनक्स

Openvpn में एक बग है जो उपयोगकर्ता को पिन कोड में टोकन से प्रवेश करने से रोकता है अगर पैकेज को सिस्टमड सपोर्ट के साथ बनाया गया है। चूंकि सिस्टमड हर जगह हाल ही में हुआ है, सभी पैकेज जो पहले से रिपॉजिटरी में उपलब्ध हैं, इसके समर्थन के साथ संकलित किए गए हैं। लिनक्स पर ग्राहकों को अपने दम पर पैकेज एकत्र करने की आवश्यकता है। यहाँ एक उदाहरण विन्यास है जो आर्क लिनक्स पर मेरे लिए काम करता है:

 ./configure \ --prefix=/usr \ --sbindir=/usr/bin \ --enable-iproute2 \ --enable-pkcs11 \ --enable-plugins \ --enable-x509-alt-username

आप सत्यापित कर सकते हैं कि ओपनवपन को निम्न कमांड का उपयोग करके सिस्टमड के साथ या उसके बिना बनाया गया है:

 openvpn --version | grep --color enable_systemd

मास ओस

मैक ओएस के तहत, केवल एक मुफ्त ग्राहक है - टनलब्लिंक ।

वह नहीं जानता कि गुई से टोकन से पिन कोड कैसे दर्ज किया जाए। बग का वर्णन यहाँ किया गया है - https://groups.google.com/forum/# .topic / tunnelblick-discuss / f_Rp_2nV-x8 कंसोल से ओपनवैप लॉन्च करके बायपास किया गया। यह आश्चर्य की बात नहीं है, यह देखते हुए कि विंडोज़ के लिए आधिकारिक क्लाइंट को यह भी नहीं पता है।

मैक ओएस के तहत (विंडोज़ के विपरीत) नेटवर्क को कॉन्फ़िगर करने के लिए अतिरिक्त स्क्रिप्ट की आवश्यकता होती है। यदि आप बस कंसोल से ओपेनवोन चलाते हैं, तो DNS काम नहीं करेगा (शायद कुछ और, केवल DNS दिखाई देगा)।

टनलब्लिक में इन नेटवर्क कॉन्फ़िगरेशन स्क्रिप्ट हैं, उन्हें केवल कनेक्शन की स्थापना और डिस्कनेक्ट करते समय कॉल करने की आवश्यकता होती है। आपको ovpn config में जोड़ने की आवश्यकता है:

 script-security 2 up "/Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw" down "/Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw"

एक ओपनवैप कनेक्शन को लॉन्च करने के लिए एक उदाहरण स्क्रिप्ट, जिसे डेस्कटॉप पर रखा जा सकता है और माउस के साथ पोक किया जा सकता है:

 #!/bin/bash tunnelblick=/Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.4.2-openssl-1.0.2k sudo $tunnelblick/openvpn --config $tunnelblick/user.ovpn

विंडोज

खिड़कियों के नीचे, सब कुछ काम करने लगता है। आधिकारिक क्लाइंट को पता नहीं है कि टोकन से पिन कोड कैसे दर्ज किया जाए, यह कंसोल से हाथ से ओपनवैप करने का प्रबंधन करता है।

सबसे महत्वपूर्ण बात यह है कि व्यवस्थापक के तहत सब कुछ करना है। व्यवस्थापक के रूप में क्लाइंट इंस्टॉलर चलाएँ। एक टर्मिनल लॉन्च करें जिसमें Openvpn भी व्यवस्थापक अधिकारों के साथ शुरू होता है, अन्यथा यह नेटवर्क इंटरफ़ेस को नियंत्रित करने में सक्षम नहीं होगा।

विंडोज के तहत, टोकन के साथ काम करने के लिए पुस्तकालय का मार्ग डबल स्लैश के माध्यम से दर्ज किया जाना चाहिए। यह ovpn config और --show-pkcs11-ids दोनों कमांड लाइन पर विकल्प पर लागू होता है।

 pkcs11-providers "c://Windows//System32//rtPKCS11ECP.dll" pkcs11-id 'Aktiv\x20Co\x2E/Rutoken\x20ECP/342b871d/Rutoken/01'

उन्नत प्रमाणीकरण और प्राधिकरण के साथ OpenVPN