openvpn & subjectAltName

[vitus_wagner]

Задумался над идеей назначать клиентам OpenVPN ip-адреса по значению поля subjectAltName в их сертификатах.
RFC 5280 предусматривает тип поля IP в SubjectAltName, и OpenSSL его вполне поддерживает.

Идея хороша тем, что при подключении нового клиента не нужно вообще ничего делать на сервере. Удостоверяющий центр, выписывая клиенту сертификат (что все равно надо сделать) выделяет ему IP и DNS-имя и прописывает иъ в этот сертификат. А задача сервера - просто согласиться с тем что подписано удостоверяющим центром.

Правда, похоже просто так не получится. Что-то я не вижу там, чтобы client-connect скрипто получил доступ ко всему сертификату или хотя бы к subjectAltName.

Upd Благодаря dzz родилось более простое решение:
Сейчас у меня в скрипте client-connect соответствие CN сертификата клиента и выданного ему IP записывается в динамическую зону DNS. Чтобы на того клиента логиниться по имени.

Так вот - сначала надо в DNS посмотреть, и если там это CN есть, то сказать openvpn-у "этому дай вот этот адрес". А вот уж если адреса такого в DNS нет - назначать первый свободный.
Это, конечно, не гарантирует от того что адрес будет переисиользован пока клиент будет в оффлайне. но все же.

Comments

[alexkuklin]

а тебе так надо привязать фиксированные ip?

[vitus_wagner]

А меня достало что ssh каждый раз ругается, когда IP изменился.

[dzz]

У тебя так часто меняются IP-адреса серверов?

[vitus_wagner]

Серверов? Почему серверов? SSН это протокол для выполнения команд и копирования файлов. Поэтому он на пользовательских устройствах нужнее, чем на серверах.

Сервером можно и через веб-панель порулить. А при необходимости синхронизировать библиотеку электронных книг между десктопом и смартфоном ничего удобнее rsync over ssh не придумано.

[dzz]

sshd - SSH-server
ssh - SSH-client :)

Я не имел в виду обязательно промышленные серверы.

[vitus_wagner]

ну тогда любой windows- компьютер является SMB-сервером.
Там, правда нет таких проверок аутентичнрости сервера как в ssh.

[dzz]

> тогда любой windows- компьютер является SMB-сервером

Таки да :)

[vitus_wagner]

Тогда вопрос так ли часто меняются IP-адреса серверов кажется странным.

На самом деле проблема в том, что openvpn-сервер отдает адреса из пула в порядке прихода клиентов. Это не dhcp, никакого leases-файла она не хранит.

Поэтому если вдруг два клиента отключились, а потом подключились в другом порядке. то все плохо.

[dzz]

> Тогда вопрос так ли часто меняются IP-адреса серверов кажется странным.

Ну, я не знал твоей специфики. Теоретически, могут быть "медленно меняющиеся" адреса.

> отдает адреса из пула в порядке прихода клиентов

Может быть, проще доработать openvpn-сервер для раздачи lease-ов?

[vitus_wagner]

Не проще. Это нужно придумывать способ хранения этих самых lease на диске.
Кроме того, нужно подумать чем мы будем индексировать этот самый lease. DHCPD хорошо, у него mac-адреса есть. А что у нас является аналогом mac-адреса?
common-name сертификата/юзернейм при парольной аутентификации?

Тут придется придумывать решение, которое работает не только в моем случае.

В то время как у доработки "пропихнуть сертификат целиком не только в tls-verify, но и в client-connect скрипт есть куча других usecase, поэтому ее можно будет пытаться продавить в upstream. А уж что я тут с этим сертификатом делаю и как - личное дело моего скрипта.

Ну и само решение сильно проще - там уже есть необходимые функции. Просто их надо вызывать еще раз перед запуском другого скрипта.

[dzz]

> А что у нас является аналогом mac-адреса?

Fingerprint открытого ключа? Ключ уникален для каждого устройства.

[vitus_wagner]

Ключа может не быть. openvpn поддерживает режим работы без клиентского сертификата.
А если мы начинаем дописывать в core серьезную новую функциональность ее придется делать несоклько более универсальной, чем конкретно для нашего случая, а то хрен в апстрим пропихнешь.

Пытался я уже туда кое-чего пропихивать.

[tzirechnoy [lj.rossia.org]]

ifconfig-pool-persist

[dzz]

При таком подходе не выйдет раздавать динамические адреса, кроме того, на CA ложится несвойственная ему функция по управлению адресным пулом.

[vitus_wagner]

А зачем нужны динамические адреса в VPN, куда без сертификата не пускают?
Тем более что в этой VPN если и найдется пара устройств на которых не работает sshd, то это недоработка, а не "так задумано".

[dzz]

VPN VPN-у рознь, в некоторых бывает суммарно больше клиентов, чем есть адресов в подсети.
Выделять каждому статик - довольно таки расточительно и чревато коллизиями.

[vitus_wagner]

Суммарно больше клиентов чем в 10.0.0.0/8?

[vitus_wagner]

Если у каждого клиента есть сертификат, то значит у удостоверяющего центра все равно есть база данных, в которой по записи на каждый действующий (недействующий тоже. но это не важно) сертификат. Какие коллизии?

А вот если пользователь раскопировал секретный ключ на два устройства вместо того чтобы обратиться в УЦ за вторым сертификатом, то такого пользователя нужно в CRL записывать.

[stanislavvv]

У меня выдавать статические ip-адреса выходило только через CN при помощи client-config-dir в конфигурации сервера и прописании файликов с именем == CN клиента со всяческими ifconfig-push

Но у меня набор клиентов, кому надо было выдавать статические ip, был фиксированным, так что выдать каждому свой сертификат и написать/сгенерить конфиг проблемы не создавало.

[vitus_wagner]

Вот мне категорически не нравится наличие на сервере файлика на каждого клиента.

Выдавать сертификат клиенту все равно надо (без него кто же его в vpn пустит).
Но при этом весь учет клиентов ведется на удостоверяющем центре, а не на сервере.
А сервер просто тупо доверяет удостоверяющему центру.

В принципе, похакать openvpn чтобы отдавала в client-connect больше информации о сертификате, а то и весь сертификат - несложно. Вопрос в том, стоит ли оно таких трудозатрат или проще для домена этой VPN отключить у ssh СheckHostIP.

[dmitrmax.livejournal.com]

По одному сертификату в общем случае можно VPN-иться из разных мест одновременно. С фиксированным IP это не будет работать.

[vitus_wagner]

Этот общий случай можно явно запретить правилами использования данного VPN, обязав пользователя получать отдельный сертификат на каждое устройство.

[dmitrmax.livejournal.com]

Если это, чего вы хотите, то да. Однако к устройству всё равно это никакого биндинга иметь не будет.

[tzirechnoy [lj.rossia.org]]

Файл с сертификатом лежыт, кстати, в месте, указанном переменной peer_cert .

А твой SubjectAltName из сертификата должэн быть в переменной X509_0_subjectAltName .

[vitus_wagner]

Насколько я понял из документации, он там лежит во время выполнения скрипта tls-verify, из которого зато нельзя писать во временный файл конфигурации.

А во время client-connect этот файл уже удален.

А вот с помощью опции x509-track действительно можо заставить ее пихать в environment subjectAltName

[dreams4rent.livejournal.com]

Если дело только в ругани ssh, то и лечить можно только ssh.
Ssh умеет сертификаты. Если сделать свой ssh ca, то можно подписывать серверные ключи, а клиентам указать этой подписи верить.
Тогда ssh не ругается при смене IP адреса.

[vitus_wagner]

Вот идея ослабить проверки у ssh мне не нравится. Хотч, конечно она решает и аналогичную проблему с адресами, выдаваемыми DHCP.

А вообще проблему использования сертификатов SSH у меня в журнале разбирали

три года назад.

Устраивающую меня систему отзыва (вернее систему распространения файла RevokedKeys) так тогда и не придумали.

Опять же, не всякий ssh-клиент и не всякий ssh-вервер умеет сертификаты. на телефоне у меня, например, какой-то довольно древний dropbear.

А openvpn свои сертификаты умеет одинаково, начиная с самых древних версий.

[hungry_ewok]

А так что не так?:

[root@linux openvpn]# grep pool-per server.conf
ifconfig-pool-persist /etc/openvpn/ipp.txt

[root@linux openvpn]# cat ipp.txt
client7,10.8.0.4
client10,10.8.0.8
client2,10.8.0.12
client4,10.8.0.16
client3,10.8.0.20

[vitus_wagner]

А вот ради того, чтобы мне это рассказали, я и написал пост.
Мануал на openvpn большой, в голове не удержишь. Тем более что менять там что-то приходится раз в пару лет.

[dil]

Ну вообще-то, openvpn его сам подписывает, чтоб запомнить, кому какие динамические адреса выдавал, но да, можно руками подписать туда что надо, и они будут статические.

[edo-rus.livejournal.com]

он только дописывает?

[dil]

Ну и читает тоже