Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Зомби-пользователи OpenVPN

    Scheduled Pinned Locked Moved Russian
    20 Posts 4 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Они и будут продолжать стучаться к вам. Пока не удалят\откл опенвпн у себя. Опенвпн, если не указать в настройках обратное, будет бесконечно пытаться подключиться. Возможно, у этих проблемных так и указано.

      D 1 Reply Last reply Reply Quote 1
      • D
        dTinside @werter
        last edited by

        @werter Фаервол не спасёт?

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by werter

          У каждого пол-ля свой сертификат? Да - просто отзовите его. И откл. пол-ля, если аутен-ция и по нему идет.
          Если у вас один сертификат для 100500 пол-лей - "поздравляю".

          D P 2 Replies Last reply Reply Quote 0
          • D
            dTinside @werter
            last edited by dTinside

            @werter Пользователей уже удалил. Стучатся пользователи из списка удалённых. На каждого свой. Но я по-глупости удалил их, а не отозвал.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Перезагрузитесь.

              1 Reply Last reply Reply Quote 0
              • D
                dTinside
                last edited by

                @werter много раз уже это делал.

                1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @dTinside
                  last edited by

                  @dtinside
                  Добрый вечер .
                  1 адреса у " вредителей" статические или динамические ?
                  2 правила добавлены на WAN интерфейсе или FLOAT ?
                  3 на разрешающем правиле включите log и посмотрите , с каких ip адресов приходят пакеты и сравните с логами openvpn

                  D 1 Reply Last reply Reply Quote 0
                  • D
                    dTinside @Konstanti
                    last edited by dTinside

                    @konstanti У каждого такого клиента свой статический IP. Правила на WAN

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @dTinside
                      last edited by Konstanti

                      @dtinside
                      Итак , как бы я действовал на Вашем месте
                      1 Идем в Diagnostic-States и проверяем , нет ли там Ваших IP в состоянии ESTABLISHED . (или выполняем команду pfctl -ss | grep XXXXXXXX , где XXXXXX - искомые IP)
                      Если есть , удаляем их принудительно и смотрим , что будет , заработает правило или нет
                      Если заработало , то все ОК
                      Если не заработало , ставим разрешающее на 1194 правило в положение "запретить" , включаем ЛОГ и перезагружаемся
                      Если первое правило по-прежнему не работает , то смотрим ЛОГи второго правила и проверяем все IP на предмет правильности в первом правиле
                      Если первое правило сработало , то ставим второе в положение разрешить и отключаем ЛОГ
                      Если все IP верны , а правило не работает
                      То включаем второе правило на разрешить и
                      идем в DIAGNOSTICS -Command prompt
                      и показываем здесь
                      вывод команды pfctl -sr | grep "port = openvpn" ( только те строчки , которые касаются порта openvpn)
                      т е вывод должен быть приблизительно таким
                      pass in quick on igb0 reply-to (igb0 XXXXXXXXX) inet proto udp from any to XXXXXXX port = openvpn keep state label "USER_RULE: OpenVPN wizard"

                      в Вашем случае строчек должно быть минимум 2

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Добрый.
                        @dTinside
                        Если проблемные просто стучатся и светятся в логах fw - просто не обращайте внимания на это. Вас это смущает?

                        1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother @werter
                          last edited by pigbrother

                          @werter said in Зомби-пользователи OpenVPN:

                          У каждого пол-ля свой сертификат? Да - просто отзовите его.

                          @dtinside said in Зомби-пользователи OpenVPN:

                          в System / Certificate Manager / Certificates удалил их сертификаты

                          @pigbrother said in Зомби-пользователи OpenVPN:

                          Можно было сертификаты не удалять, а включать в Certificate Revocation List.

                          @werter said in Зомби-пользователи OpenVPN:

                          Если проблемные просто стучатся и светятся в логах fw - просто не обращайте внимания на это. Вас это смущает?

                          @pigbrother said in Зомби-пользователи OpenVPN:

                          pfSense просто логгирует неудачные попытки входа.

                          Если у ваших "зомби" - динамические IP, блокировать их файрволлом - сизифов труд.
                          Если сертификаты уникальные, и вы действительно включили
                          Strict User-CN Matching - волноваться поводов нет.

                          @dtinside said in Зомби-пользователи OpenVPN:

                          Цель: сделать так, чтобы со всем этим они больше не могли пользоваться OpenVPN. Без доступа к их машинам.

                          Без доступа к их машинам это невозможно.

                          @dtinside said in Зомби-пользователи OpenVPN:

                          @werter Пользователей уже удалил. Стучатся пользователи из списка удалённых. На каждого свой. Но я по-глупости удалил их, а не отозвал.

                          Даже если бы вы их отозвали, клиенты все равно продолжили бы ломиться на сервер, а сервер их не пускал бы с иными записями неудачных попыток в лог.
                          https://mdex-nn.ru/page/blokirovka-sertifikat-openvpn.html
                          https://serverfault.com/questions/426315/how-to-revoke-openvpn-client-certificate-in-debian
                          Я по наивности полагал, что отозванный сертификат будет обработан на клиентской стороне, однако этого (было давно, на старых версиях) не произошло. Клиент продолжал тупо долбиться на сервер.

                          Искал, но не нашел (плохо искал?) в свое время возможность в OpenVPN ограничить число неудачных попыток входа по логину\CN.

                          1 Reply Last reply Reply Quote 0
                          • P
                            pigbrother @werter
                            last edited by

                            @werter said in Зомби-пользователи OpenVPN:

                            Опенвпн уж неск. лет как устанавливает службу.

                            Кстати, последние версии клиента почему-то по умолчанию всегда используют исходящий порт 1194. Что в свете последних событий легко позволит ISP\тем кому это нужно легко его блокировать.

                            Чтобы клиент всегда использовал рандомный порт надо добавить
                            nobind
                            в конфиг клиента.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.