Administrando clientes do OpenVpn

Olá amigos,

O OpenVpn cria uma interface virtual no sistema assim todos os usuários que estão conectados no cliente podem acessar o servidor ou outros clientes da VPN, depende da configuração.

Código :

---

tun0       Encapsulamento do Link: Não Especificado  Endereço de HW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet end.: 10.8.0.6  P-a-P:10.8.0.5  Masc:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Métrica:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
          colisões:0 txqueuelen:100
          RX bytes:2457 (2.3 KiB)  TX bytes:1723 (1.6 KiB)

---

Mas tipo se eu tenho o openvpn configurado como cliente em um determinada máquina, como posso gerenciar quem tem acesso a esta interfdace virtual, por exemplo: O usuário fulano senta na frente do PC e ele tem pode acessar a VPN, isto é, ele tem acesso a interface tun0, contudo o usuário Beltrano não tivesse acesso a interface tun0.
Eu pensei em regras de iptables, onde somente o usuario com ID determinada poderia ter acesso à interface. Seria uma solução.
Alguem já passou por isso? ou algo parecido?

Ab, Duca. :)

Boa tarde Já montei algumas VPNs,,,, porem nunca precisei fazer controle por usuários, porem lendo o man do OPENVPN, percebi que existe um parâmetro
'--user' e até '--group',,,,, de uma olhada neles.... quem sabe da pra fazer o que você precisa....


se der certo posta aew as conf....



falows...

E ae !

Não cara, eu já li sobre essas opções, é uma forma de baixar os privilégios do openvpn:

Citação:

---

--user user
Change the user ID of the OpenVPN process to user after initialization, dropping privileges in the process.
This option is useful to protect the system in the event that some hostile party was able to gain control
of an OpenVPN session. Though OpenVPN’s security features make this unlikely, it is provided as a second
line of defense.

By setting user to nobody or somebody similarly unprivileged, the hostile party would be limited in what
damage they could cause. Of course once you take away privileges, you cannot return them to an OpenVPN
session. This means, for example, that if you want to reset an OpenVPN daemon with a SIGUSR1 signal (for
example in response to a DHCP reset), you should make use of one or more of the --persist options to ensure
that OpenVPN doesn’t need to execute any privileged operations in order to restart (such as re-reading key
files or running ifconfig on the TUN device).

--group group
Similar to the --user option, this option changes the group ID of the OpenVPN process to group after ini‐
tialization.

---

Ab, Duca.