Pfsense üzerinde OTP kullanarak OpenVPN client bağlantıları oluşturma.



  • Güvenlik duvarınızda FreeRADIUS ve OpenVPN Client Export kurulu değil ise kurmanız gerekmekte!

    Not: OTP (One Time Password) FreeRADIUS üzerinde çalışmaktadır.

    Not: Kullandığım Pfsense sürümü 2.2-BETA (amd64)

    http://youtu.be/1f3zq0BD8HA



  • Ellerinize sağlık Gökhan Bey



  • Teşekkür ederim.

    Umarım birilerinin işine yarar!

    Bu arada Captive Portal üzerinde de FreeRADIUS OTP desteğini kullanarak oturum açtırılabilir diye düşünüyorum.



  • Evet yapılabilir ama hotspot tarafında biraz daha geliştirilmesi gerekilir sanırım yani ticket sistemlerinde uygulanabilir ama ek yük olacak zaten 1 saatlik bir şifre oluyor bunun için OTP kullanmaya gerek var mı sorusu sormak zorunda kalırız.

    Normal kullanıcılar için yapsak adama verdiğimiz şifreyi zaten unutuyor.Yani elde edebilecek birisi kalmıyor eğer ortamı sniff eden birisi yoksa falan : )

    Ayrıca Hotspot biraz daha ilerlerse ek yardımcı yazılımlar sayesinde telefonlara kurulacak bir uygulama sayesinde otp keyler oluşturtulabilir düşüncesindeyim. Tabi bunu yıllar gösterecek böyle mi ilerliyecek yoksa daha farklı teknoloıjilermi gelecek…

    Sizce CaptivePortal için OTP şart mı veya kullanmak ne kadar fayda sağlayabilir. ?



  • Evet bazı konularda oldukça haklısınız size katılıyorum. Lakin çoğu zaman şirket çalışanları gelen misafirlerini internete çıkarmak için bizleri arayıp Wifi nin şifresi neydi diye sormaktalar. 40 kez söylense, 41. kez yine sormaktalar.  :D Bu işi 2 tıkla halledebilmenin bir yolu olmalı diye düşünüyorum. Belki voucher key, OTP yada sms tarzı bir sistem olabilir ama ben sms olayını pek sevmiyorum nedense :) Mesela bizim binada -1 katta cep telefonları çekmiyor çoğu zaman ( toplantı odaların bir kısmını da oraya yapmışlar ) o zaman adama sms te ulaşmayacak haliyle :)

    OTP konusunda kullanıcı cep telefonuna indirdiği program üzerinden otp keyler oluşturulabilir lakin key oluşturmak için bizim belirlediğimiz 16 haneli Init-Secret'i girecek ve yine bizim tanımladığımız pini girerek oluşturduğu şifre ile sistemde oturum açacak. Bu işleri kullanıcının tek başına yapması zor. Hani bu işler daha basite indirgenebildiği zaman, daha kullanışlı bir hale gelebilir diye düşünüyorum.

    Birde kullanıcılara OTP anahtarları web üzerinden ( pin girerek ) oluşturmaları sağlanabilir belki ama doğru bir yöntem olur mu bilmiyorum!



  • @speedy:

    Evet bazı konularda oldukça haklısınız size katılıyorum. Lakin çoğu zaman şirket çalışanları gelen misafirlerini internete çıkarmak için bizleri arayıp Wifi nin şifresi neydi diye sormaktalar. 40 kez söylense, 41. kez yine sormaktalar.  :D Bu işi 2 tıkla halledebilmenin bir yolu olmalı diye düşünüyorum. Belki voucher key, OTP yada sms tarzı bir sistem olabilir ama ben sms olayını pek sevmiyorum nedense :) Mesela bizim binada -1 katta cep telefonları çekmiyor çoğu zaman ( toplantı odaların bir kısmını da oraya yapmışlar ) o zaman adama sms te ulaşmayacak haliyle :)

    Bir çok kişi sizin,benim gibi aynı dert'ten muzdarip malesef… Biz normal hotspot'u satarken insanlara özelliklerini anlatırken getir kur diyorlar.Ama fiyatı duyunca biz o kadar gelişmiş birşey istemiyoruz diyorlar.Bu zihniyette olduğumuz sürece malesef bu tarz teknolojileri kullanmaya başlayamayabiliriz.(Tabi herkesi bir tutmuyorum.)Kaldı ki bir web arayüzüne kullanıcı adı şifreyi girmeyi başaramayan insanların, gunahınıda biz çekiyoruz. (Bu çalışmıyor der gibi sitemleri,pişmanlık duygularını karşı tarafa yansıtmaya calısmaları ama normalde affedersiniz kendi salaklıklarını görmemeleri.)
    @speedy:

    OTP konusunda kullanıcı cep telefonuna indirdiği program üzerinden otp keyler oluşturulabilir lakin key oluşturmak için bizim belirlediğimiz 16 haneli Init-Secret'i girecek ve yine bizim tanımladığımız pini girerek oluşturduğu şifre ile sistemde oturum açacak. Bu işleri kullanıcının tek başına yapması zor. Hani bu işler daha basite indirgenebildiği zaman, daha kullanışlı bir hale gelebilir diye düşünüyorum.

    Birde kullanıcılara OTP anahtarları web üzerinden ( pin girerek ) oluşturmaları sağlanabilir belki ama doğru bir yöntem olur mu bilmiyorum!

    Son olarak geçen zamanlarda ismini vermem uygun olmaz 5.yıldızlı bir otel'de Lobi katına misafirler ve konferans için gelen kullanıcılar şifre olusturması için Kiosk pc yapılandırmıştım.Kiosk üzerinden adam kaç saat internet kullanacağını belirliyor ve kimlik bilgilerini doğrulayıp (istek doğrultusunda) sistemden bir fiş alıyor. (pfSense Voucher tarzı (ama kendi geliştirdiğim bir bilet sistemi ) ).Bu şekilde kullanıcılar internet'e rahat ve kimseye birşey sormadan girebiliyordu.

    Gerçi kapının girişinde onu göremeyen bazı arkadaşlar Resepsiyon'a abicim bu internet'e nasıl giricez sorusunuda sormuyor değildi ama en azından cevap hazırdı ilerdeki makineden alın abi!



  • Merhabalar,

    OpenVPN Client Export eklentisini kurmak isteediğimde wrong pbi version hatası veriyor nedeni nedir acaba?

    teşekkürler.
    saygılarımla



  • @bilalyildiz:

    Merhabalar,

    OpenVPN Client Export eklentisini kurmak isteediğimde wrong pbi version hatası veriyor nedeni nedir acaba?

    teşekkürler.
    saygılarımla

    Selam,

    Manuel olarak kurmayı denediniz mi?

    SGTR



  • Merhaba, Uzman pfSense
    Ben, pfSense 2.3.2 üzerinde OTP ve FreeRADIUS ile OpenVPN hakkında bazı sorunu var
    Benim konudur
    Ben FreeRADIUS ile kullanıcı kimlik doğrulaması kullandığınızda 1. yanı sıra çalışmak olduğunu. FreeRADIUS ve OTP (MOTP) ile kullanıcı kimlik doğrulama geçerken Ancak, bu işe değil.
    2. Ve VPN benim PC artık internet dışarı gidiyor olamaz bağlı diğer sorun.

    Bana çözmek için yardım edin.

    İşte bir günlük olduğunu
    Oct 27 10:26:55 openvpn 8976 2xx.16x.xxx.1xx:63587 [user] Peer Connection Initiated with [AF_INET]2xx.16x.xxx.1xx:63587
    Oct 27 10:26:55 openvpn 8976 user/2xx.16x.xxx.1xx:63587 MULTI_sva: pool returned IPv4=10.0.xx.2, IPv6=(Not enabled)
    Oct 27 10:26:57 openvpn 8976 user/2xx.16x.xxx.1xx:63587 send_push_reply(): safe_cap=940
    Oct 27 10:30:49 openvpn 8976 user/2xx.16x.xxx.1xx:63587 [user] Inactivity timeout (–ping-restart), restarting
    Oct 27 10:33:27 openvpn user 'otmuser' could not authenticate.
    Oct 27 10:33:27 openvpn 8976 2xx.16x.xxx.1xx:51118 WARNING: Failed running command (--auth-user-pass-verify): external program exited with error status: 1
    Oct 27 10:33:27 openvpn 8976 2xx.16x.xxx.1xx:51118 TLS Auth Error: Auth Username/Password verification failed for peer
    Oct 27 10:33:27 openvpn 8976 2xx.16x.xxx.1xx:51118 Peer Connection Initiated with [AF_INET]2xx.16x.xxx.1xx:51118

    Teşekkür ederim