[Gelöst] OpenVPN - Vorhandene VPN-User blockieren, Zugriff verwehren

ananda · Mar 4, 2011, 9:43 AM

Hallo

Ich habe erfolgreich eine VPN-Verbindung hergestellt. Jetzt stellt sich die Frage wie Ich Benutzer sperren kann.
Gibt es eine Möglichkeit bestimmte Benutzer zu sperren oder muss man alle Zertifikate für pfSense neu anlegen?

Wird es in der pfSense-Version 2.0 die Möglichkeit geben, einzelne Benutzer zu sperren, ähnlich wie bie IPCop?
In der Feature-Liste steht unter OpenVPN "User authentication and certificate management" Ist es vielleicht das, was Ich meine?

Gruss ananda

GruensFroeschli · Mar 3, 2011, 9:15 AM

Ja du kannst auf deiner CA einzelne Clients sperren.
Dabei wird eine CRL (certificate revocation list) erzeugt.
Unter 1.2.3 gibt es beim Server ein Feld in das du diese CRL einfügen kannst.

Unter 2.0 kannst du wenn du die CA direkt auf der pfSense hast das CRL Feld direkt ausfüllen lassen, oder wie bei 1.2.3 von Hand einfügen (wenn du eine externe CA hast).

ananda · Mar 4, 2011, 9:42 AM

Danke. Habe gestern die Version 2.0 RC1 installiert.
Funktioniert wie es soll. Bin begeistert. Im Gegensatz zu IPCop tut sich hier was.

Nachtfalke · Mar 4, 2011, 7:37 PM

Hallo,

passt zwar nicht 100% hier hinein, aber evtl. könnt ihr mir ja doch helfen.

Ich nutze auch OpenVPN mit Zertifikat und möchte nun auch gerne über die CRL User sperren und entsperren.
Ich verstehe aber die Certificate Revocation List nicht so ganz. (Bild 2 ) Muss ich erst alle Zertifikate adden mit (No Status (Default)), damit sie zu der CRL gehören und wenn ich es sperren will, wähle ich dann eine der anderen Optionen aus !?

Würde mich freuen, wenn mir da jemand den richtigen Ansatz erklären könnte :-)

Danke!

GruensFroeschli · Mar 4, 2011, 10:32 PM

Eine CRL ist eine "Certificate Revokation List".
Übersetzt: Zertifikat Ungültigerklärungs Liste"

–> Solange ein Client auf der Liste ist, ist er gesperrt.
--> Nicht auf der Liste --> Normaler Zugriff.

Nachtfalke · Mar 4, 2011, 11:50 PM

1.) Das heißt, sobald ich ein Zertifikat auf die Liste nehme, egal welcher Grund, wird das Zertifikat als ungültig erklärt?

2.) Die Grundangabe ist dann nur für mich zur internen Übersicht da ?

3.) Und wenn ich es über das "x" wieder von der Liste lösche, sollte das Zertifikat wieder gültig sein ?

4.) Muss ich den OpenVPN Service neustarten, damit er Änderungen an der CRL annimmt ?

Dankeschön :-)

GruensFroeschli · Mar 5, 2011, 12:34 AM

1 ja
2 grund ist reine darstellungssache
3 ja
4 das passiert automatisch

Nachtfalke · Mar 5, 2011, 1:42 PM

Klasse!

Danke für die Antwort. Dann muss ich das demnächst nochmal genau testen. Ich hatte das vor einigen Tagen nämlich genauso gemacht, aber ohne Auswirkung. Ich teste das aber lieber nochmal richtig.

Dankeschön :-)

Nachtfalke · Mar 5, 2011, 1:53 PM

So, habe es nun nochmal getestet und es funktioniert leider nicht so wie von mir erwartet.

Habe das Zertifikat für den User VPN1 zurückgezogen und kann mich trotzdem noch am OpenVPN anmelden.

Habe die Screenshots angehängt. Liegt der Fehler vielleicht woanders !?

2.0-RC1 (i386) built on Wed Mar 2 03:30:11 EST 2011

![OpenVPN Dashboard.png](/public/imported_attachments/1/OpenVPN Dashboard.png)
![OpenVPN Dashboard.png_thumb](/public/imported_attachments/1/OpenVPN Dashboard.png_thumb)
![OpenVPN Certificate.png](/public/imported_attachments/1/OpenVPN Certificate.png)
![OpenVPN Certificate.png_thumb](/public/imported_attachments/1/OpenVPN Certificate.png_thumb)
![OpenVPN CRL.png](/public/imported_attachments/1/OpenVPN CRL.png)
![OpenVPN CRL.png_thumb](/public/imported_attachments/1/OpenVPN CRL.png_thumb)

ananda · Mar 7, 2011, 11:58 AM

Hallo,

du must die Revocation Liste noch für den OVPN-Server aktivieren.

VPN–>OpenVPN--> Server editieren --> Unter "Peer Certificate Revocation List" deine erstellte Liste eintragen.