在windows下实现open***的user/pass及证书验证

最新推荐文章于 2024-11-01 14:00:16 发布
最新推荐文章于 2024-11-01 14:00:16 发布
阅读量4k 收藏 2
点赞数 1
分类专栏: OPENVPN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qdwyj/article/details/105573487
版权

我这里用的最新的版本open***-install-2.4.8-I602-Win10,有些参数在老版本上是没有的。

下面先给出服务器端的配置文件server.ovpn,配置文件实现客户端固定IP和用户名密码验证。

port 443
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key

dh dh2048.pem

tls-auth ta.key 0

script-security 2
auth-user-pass-verify author.bat via-file
#client-cert-not-required
verify-client-cert
username-as-common-name


server 10.8.0.0 255.255.255.0

push "route 192.168.1.0 255.255.255.0"

client-to-client
keepalive 10 120
cipher AES-256-CBC

comp-lzo
persist-key
persist-tun

status openvpn-status.log
log-append openvpn.log
verb 3

ifconfig-pool-persist ipp.txt

;client-connect 
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
route 10.9.0.0 255.255.255.252

用户明密码验证需要下面两个参数:

script-security 2  #新版本中必须有这个参数,否则不会调用外部脚本;老版本可以不要,这个在很多的配置文件中都没有

auth-user-pass-verify  author.bat via-file  #这里面的author.bat用来进行身份验证的脚本,后面via-file表示是通过临时文件来存储用户提交的用户名及密码;

指定IP地址用到的两个参数:

client-config-dir "C:\\Program Files\\OpenVPN\\ccd"   #通过指定ccd文件夹下的文件来获取客户端的IP,文件名与生成的客户端       认证文件名相同,不带后缀,我生成的client.key ,这里的文件名为client ,文件内容:  ifconfig-push 10.9.0.1 10.9.0.2   则用          client客户端的地址为10.9.0.1
route 10.9.0.0 255.255.255.252

 

下面是客户端的配置文件:client.ovpn

  1. client

    ;dev tap
    dev tun

    ;proto tcp
    proto udp

    remote 117.*.*.* 443  #服务器端的IP地址或网址+端口号

    resolv-retry infinite

    nobind

    # Downgrade privileges after initialization (non-Windows only)
    ;user nobody
    ;group nobody

    auth-user-pass

    # Try to preserve some state across restarts.
    persist-key
    persist-tun
    ca ca.crt
    cert client.crt
    key client.key


    remote-cert-tls server

    tls-auth ta.key 1

    cipher AES-256-CBC

    comp-lzo

    verb 3

其中的auth-user-pass 说明向服务器发送用户名及密码来进行认证。

 

下面是进行身份验证的脚本author.bat,放到服务器端,为了方便起见,这里放到了与配置文件一个目录下面,你也可以放到任意的地方,只需修改服务器配置文件server.ovpn中的相应参数即可。

  1. @echo off
  2. rem get username and password from temp file as %1
  3. set v=1
  4. for /f  %%i  in (%1) do (
  5. if !v!==1 (
  6. set user=%%i
  7. set v=2
  8. )else set pass=%%i 
  9. )
  10.  
  11. rem check username and password with password.txt file
  12.  
  13. for /f "tokens=1,2,3 delims=, " %%i in (password.txt) do if %%i==%user% if %%j==%pass% if %%k==1 exit /B 0
  14.  
  15. echo 1

批处理文件中的第3行到第9行是用来读取临时文件中存储的客户机提交上来的用户名及密码,文件名做为一个参数传入到批处理文件里来,因此在for 语句中用了%1来获取文件名,临时文件中第一行是客户提交用户名,第二行密码,文件在脚本结束后自动删除;另外在循环里面要修改参数v的值,为此需要cmd即命令行使用延时加载(具体内容可以参见前面的文章:批处理问题:SET 命令在 FOR 循环中失效 / SET 环境变量生存域/作用域),延时加载可以用 cmd /v:on来启动,也可在注册表做以下设定来启动:

在机器上和/或用户登录会话上启用或停用 CMD.EXE 所有调用的延迟扩展,这要通过设置使用 REGEDT.EXE 的注册表中的一个或两个 REG_DWORD 值,如果没有可以新建:

    HKEY_LOCAL_MACHINE/Software/Microsoft/Command Processor/DelayedExpansion

        和/或

    HKEY_CURRENT_USER/Software/Microsoft/Command Processor/DelayedExpansion

值为0x1(启用延时加载) 或 0x0(不启用延时加载)

 

批处理的13到15行是通过读取服务器上用户名及密码的文件password.txt,来查找是否有与客户机相匹配的用户,如果有就返回0,如果没有就返回1。

passowrd.txt文件内容如下:

  1. client, password, 1
  2. a1,123,0

第一个是用户名,第二个是密码,第三个是帐户是否启用(1为启用,0为禁用);每个参数之间用,(逗号)分开;

完成以上工作后,就可以启动服务器了,然后再启动客户端了。

登录操作(针对用户名、密码)
m0_60154718的博客
11-15 812
import sys import hashlib import hmac #主界面 real = [] mess = dict() # 登录界面 def menu(): print("\t、* * * * * * * * *、") print("\t* 1、用户注册 *") print("\t* 2、用户登录 *") print("\t* 3、退出登录 *") print("\t、* * * * * * * * *、") choose = input("请输入您.
saslauthd mysql_open***使用MySQL进行认证
weixin_34193979的博客
02-11 278
紧接上一篇,Open×××使用用户名密码登录之后,觉得可能本地文件的安全性不是很好,毕竟密码还是明文显示的嘛,所以这次鼓捣Open×××使用MySQL进行认证。部署环境什么的,依然参考上一篇中的配置,不同的是,需要在Open×××上安装MySQL数据库。1、安装MySQLyum-yinstallmysql-servermysql-develmysql/etc/init.d/mysqld...
OpenVPN搭建
最新发布
weiqiang915的博客
11-01 1574
openVPN服务端:centOS7.9|centOS7.6openVPN客户端:windows10。
【亲测能用!OpenVPN实验教程】Win11主机连CentOS7服务器(用户名密码模式)
IT_GIRL_XYX的博客
09-06 3136
经过无数个日日夜夜,无数次调试、崩溃、再调试,甚至急得胃病复发。看到成功连接的那一瞬间,竟然无比平静。写这篇文章是希望其他使用OpenVPN的同志能够少走弯路,提供一些我的经验。和的帮助!
Open***使用用户名密码认证
weixin_34221112的博客
09-21 604
紧接上一篇,Open×××使用openldap进行认证,这一次让open***读取本地文件中的用户名密码,通过判断用户名密码是否存在文件中进行认证,搭建open***环境就不多做说明了,只要把open***搭建好,客户端能够连接就可以了。1、修改open***配置文件vi /etc/server.conf编辑/etc/server.conf文件,并添加如下内容:auth-us...
配置openVPN使用用户名密码认证
衡水铁头哥的博客
05-21 5788
正文共:1111 字 10 图,预估阅读时间:1 分钟我们现在已经实现openVPN服务器的搭建(巧用openVPN实现访问云资源池业务),并且完成了众多终端系统的连接配置(openVPN客户端连接指南、Ubuntu系统如何连接或断开openVPN)。但是,有小伙伴反馈,感觉跟商用的客户端有些差异,那就是没有用户名密码的验证。而且我们对证书和配置文件做了合一操作,如果配置文件泄露,那就毫无安全性...
配置Open***使用User/Pass方式验证登录
weixin_33675507的博客
09-28 1730
Open***和PPTP ***相比存在诸多的优势,最明显的是Open***支持NAT穿越,也就是说在nat环境下使用open***只需要一个在路由器上做一个端口映射即可!不需要其他路由的支持,要知道不是所有的路由器都支持配置NAT穿越,只有高级的路由器才提供这种功能!其次open***使用证书加密数据传输,安全性方便也优于PPTP ***,但在配置方面比PPTP ***要复杂许多!而且open*...
openvpn (用户名密码模式)
热门推荐
疯飙的蜗牛
04-14 1万+
服务程序可以在应用层打开虚拟网卡,如果应用软件(如网络浏览器)向虚拟网卡发送数据,则服务程序可以读取到该数据。中,如果用户访问一个远程的虚拟地址(属于虚拟网卡配用的地址系列,区别于真实地址),则操作系统会通过路由机制将数据包(客户端的证书、秘钥&如果想用key模式登陆,将其复制进客户端,并需改登陆模式即可,本文使用用户名密码登陆。从外网上接收到数据,并进行相应的处理后,又会发送回给虚拟网卡,则该应用软件就可以接收到。模式)发送到虚拟网卡上,服务程序接收该数据并进行相应的处理后,会通过。
LINUX Open×××使用UserPass验证登录
weixin_33711641的博客
06-27 1833
Open×××使用UserPass验证登录在之前的Open×××+CA中已经介绍了使用CA验证登录的方式,详见:[url]http://bbs.chinaunix.net/forum/viewtopic.php?t=503434&show_type=new[/url]本文主要介绍使用Username/Password方式验证登录×××的方法,虽然使用的是User/P...
Open×××使用User/Pass验证登录
weixin_33860147的博客
12-11 430
本文档要介绍使用Username/Password方式验证登录×××的方法,虽然使用的是User/Pass方式登录,但是在Server端仍然需要证书,这样的×××和web的HTTPs方式有点类似(不能等同),只需Server端有证书,Client可以不提供自己的证书,Client只需验证Server的合法性即可,所以Client端只需ca.crt(根证书)即可。当然,由于Cl...
Centos 部署OpenVP* 证书+密码认证
友人A的博客
12-21 6717
一、实验环境 主机 内网IP 外网IP 系统 备注 OpenVPN 10.5.10.202 NAT映射外网访问 Centos7 OpenVPN服务端 PC1 10.5.10.122 Windows7 x64 客户端 PC2 10.5.10.123 Windows10
CentOS7搭建OpenVpn实现异地访问同VPC和非同VPC网络下产品资源
小啊宇的博客
08-21 1041
先说说整体的构建流程,选择一个有固定公网IP的ECS服务器来安装openvpn的服务端,然后用自己的电脑安装openvpn客户端,并配置对应的client文件即可实现连接到服务端,届时可以ping、ssh等方式访问服务端ECS的内网地址。
CC00024.NavigationLog——|Open网络2.4.9服务端/客户端部署/本地client配置/连接成功测试|
yanqi_vip
03-31 881
一、VPN概述 vpn虚拟专用网络,是依靠isp和其他NSP,在公共网络中建立专用的数据通信网络的技术,可以为企业之间或者个人与企业之间提供安全的数据传输隧道服务。在VPN中任意两点之间的连接并没有传统专网所需的端到端的物理链路,而是利用公共网络资源动态组成的,可以理解为通过私有的隧道技术在公共数据网络上模拟出来的和专网有同样功能的点到点的专线技术,所谓虚拟是指不需要去使用实际的长途物理线路,而是借用Internet公共网络实现OpenVPN是一个用于创建虚拟专用网络加密通道的软件包,最早由Jame
配置openvpn基于证书+密码认证(二)
yjun89的博客
06-23 3230
注意:这里的pam_mysql.so是调用/usr/lib64/security/目录下的pam_mysql.so如果编译安装pam_mysql时放在其他目录下会导致认证失败。先创建OpenVPN需要使用到的数据库和连接数据库的用户,数据库名称设置为openvpn,连接数据库的用户为vpn,用户密码设置为。通告分配给客户端的网络,还需要通告内网的网段,如果不通告内网网段,那么客户端接入后将无法访问内网中的主机。我们这里基于密码认证使用pam认证,需要使用到MySQL,下面下来安装MySQL。
openvpn搭建
qq_46615386的博客
06-12 7613
该文档是本人在搭建过程中,多次踩坑,以及阅读无数文章总结出的最完整的openvpn搭建过程,根据该教程可避免搭建过程中各种奇奇怪怪的报错。
open***本地用户名密码验证
weixin_34177064的博客
11-02 600
1、安装open*** 这里不详细些如何安装部署open***了,具体部署参考前面的博文。2、配置通过本地文件认证#server.conf参数说明auth-user-pass-verify /etc/open***/checkpsw.sh via-envclient-cert-not-required #表示不请求客户的证书,使用user/pass 认证user...
open*** openldap 脚本认证操作
weixin_34375233的博客
06-26 483
1.需要修改配置文件,添加如下内容: username-as-common-name script-security3 auth-user-pass-verify/etc/open***/ldap_auth.pyvia-env verify-client-certnone 2.编写脚本内容如下: ###############...
OPEN×××开启用户密码认证
weixin_34126557的博客
10-30 182
一、服务端配置1、修改open***的主配置文件,添加如下内容[root@tttopen***]#cat/etc/open***/server.conf|more#########authpassword########script-security3###--加入脚本处理,如用密码验证auth-user-pass-verify/etc/open***/che...
利用ajax实现用户名不唯一验证
03-26
1. 在前端页面中,通过监听输入框的键盘抬起事件,获取输入的用户名。 2. 发送一个ajax请求到后端,传递用户名参数。 3. 后端接收到请求后,查询数据库中是否存在该用户名。 4. 如果存在该用户名,则返回错误信息给前端。如果不存在,则返回成功信息。 5. 前端页面根据返回的信息,显示相应的提示,例如红色字体提示“用户名已存在”或绿色字体提示“用户名可用”。 以下是大致的示例代码: 前端页面: ``` <input type="text" id="username" onkeyup="checkUsername()" /> <div id="username_tip"></div> <script> function checkUsername() { var username = document.getElementById("username").value; var xhr = new XMLHttpRequest(); xhr.open('POST', 'check_username.php', true); xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); xhr.onreadystatechange = function() { if (xhr.readyState === XMLHttpRequest.DONE) { if (xhr.status === 200) { var response = JSON.parse(xhr.responseText); if (response.result === 'fail') { document.getElementById("username_tip").innerHTML = "<span style='color: red;'>用户名已存在</span>"; } else { document.getElementById("username_tip").innerHTML = "<span style='color: green;'>用户名可用</span>"; } } } }; xhr.send('username=' + encodeURIComponent(username)); } </script> ``` 后端代码(使用PHP语言): ``` <?php $db_host = 'localhost'; $db_name = 'test'; $db_user = 'root'; $db_pass = ''; $username = $_POST['username']; try { $dsn = "mysql:host=$db_host;dbname=$db_name;charset=utf8mb4"; $pdo = new PDO($dsn, $db_user, $db_pass); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $stmt = $pdo->prepare("SELECT COUNT(*) FROM users WHERE username = ?"); $stmt->execute([$username]); $count = $stmt->fetchColumn(); if ($count > 0) { echo json_encode(array("result" => "fail")); } else { echo json_encode(array("result" => "success")); } } catch(PDOException $e) { echo json_encode(array("result" => "error", "message" => $e->getMessage())); } ?> ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值