私が経験している問題は、auth-user-pass
openvpn3のオプションを使用して認証を試みるたびに、次のようなエラーが常に発生することです。
** ERROR ** org.gtk.GDBus.UnmappedGError.Quark._g_2dio_2derror_2dquark.Code36: GDBus.Error:net.openvpn.v3.sessions.error: Failed communicating with VPN backend: Failed calling D-Bus method Connect: GDBus.Error:net.openvpn.v3.backend.error.standard: Failed executing D-Bus call 'Connect': Configuration parsing failed: ERR_PROFILE_OPTION: option_error: remote option not specified
または単に古いもの:
session-start: ** ERROR ** Failed to start session
私のovpnファイルの関連行は次のとおりです。
auth-user-pass creds.txt
私のVPNプロバイダはNordです。私のオペレーティングシステムはDebian 10です。
この問題、自動起動、古いopenvpn2 cliなどを解決するためにできることをすべて試しましたが、次のいずれかのエラーが発生し続けます。助けてください!
答え1
ほとんどの新しいリリースと同様に、Linuxコミュニティ用のOpenVPN 3でもセキュリティが向上しました。これを達成する 1 つの方法は、ユーザー資格情報の要件を増やすことです。この強化されたセキュリティは、資格情報ファイルを介してユーザー名とパスワードを提供するOpenVPN 2.xクライアントで使用される機能を排除します。このセキュリティ変更により、欠落している機能に関するいくつかのバグレポートが届きました。私たちはこれをバグとは見なされませんが、サポートされていません。暗号化されていないユーザーの資格情報をメモリまたはディスクに保存することを心配しています。
OpenVPN 3 Linux は、VPN セッションの開始時にユーザー資格情報を提供する --auth-user-pass をサポートします。 openvpn3およびopenvpn2コマンドラインオプションを使用して、事前に保存されたファイルを介してこれらの資格情報を提供することはサポートされていません。
この機能がサポートされていないのはなぜですか? OpenVPN 3 Linuxは設定とセッション管理を提供します。これにより、権限のないユーザーが自分のVPNセッションを開始できます。 OpenVPN 2.x に必要な管理権限は必要なくなりました。権限分離は基本設計に組み込まれています。 OpenVPN 3 Linuxは、できるだけ少ない権限で実行するように設計されています。各タスクは別々のプロセスで実行され、厳密なアクセスポリシーが適用されるインターフェイスを介してのみ相互に通信できます。 D-Busはこのインターフェイスとポリシー管理を処理します。
OpenVPN 2.x世代クライアントを実行するには管理者権限が必要です。その後は削除できます。また、VPNセッションや構成管理も提供しません。単一のプロセスは単一の VPN セッションであり、設定とセッションの管理は手動で実行するか、NetworkManager OpenVPN プラグインなどの外部ツールを使用して実行します。
したがって、私たちはユーザーに機密情報をできるだけ保存したくありません。 OpenVPN 3 Linuxが進化するにつれて、VPN設定ファイルの秘密鍵など、ユーザーに敏感な設定の他の側面を処理するための新しい措置が講じられます。
解決策があります。私たちは厳密にしようとしますが、VPNセッションを開始するとき、特定の設定にはユーザーの資格情報が必要であることも知っています。一般的なユースケースは、起動中にVPNセッションを開始することです。 VPNセッションがないと、システムの実行にアクセスできません。
この場合、openvpn3-autoloadユーティリティを追加しました。これは、起動中にこのサービスを簡単に使用できるように、独自のシステム単位ファイルに付属しています。これは、ローカルでホストにログインするエンドユーザーには適していない可能性があります。ただし、このユーティリティは、ユーザーがVPN構成ファイルを保存するファイルディレクトリを使用して、権限のないユーザーも使用できます。
このユーティリティは、VPN設定ファイル(.confまたは.ovpnファイル拡張子を使用)を保持する単一のディレクトリに依存します。ただし、サポート構成ファイルも必要です。
OpenVPN 3 プロファイルとプロファイル OpenVPN 3 が開発され、構成プロファイルが自然に分離されることに気づきました。そのうちのいくつかはOpenVPNドメインのすべてのクライアントに共通です。このオプションは、接続の場所、資格情報、暗号化設定などに関する情報を提供します。ただし、別のセクションでは、リモートサーバーに接続する方法と、サーバープッシュネットワーク構成設定の特定の側面(通常はネットワークルーティングとDNS設定)を処理する方法について詳しく説明します。これをサイトローカル構成と呼びます。 OpenVPN 3 Linuxクライアントもこの分離に基づいて構築されました。
VPN サービス プロバイダーが提供する VPN 構成ファイルの内容は、一般構成と見なされます。 openvpn3-autoloadユーティリティには、サイトのローカル設定を含む.autoloadファイルが必要です。これらは一緒に機能的な接続を得るために必要なVPNプロファイルを形成します。
ユーザーの資格情報を提供するために自動的にロードされるようにOpenVPN3を構成する最初に、ユーザーの資格情報をハードドライブにプレーンテキストで保存することは悪いことを強調する必要があります。通常、VPNセッションを自動的に開始するには、ユーザー名/パスワードベースの認証を使用しないことをお勧めします。
他の選択肢がない場合は、次のように自動セッションを開始するようにopenvpn3-autoloadを設定できます。
前述のように、openvpn3-autoload は systemd openvpn3-autoload.service を有効にして起動し、システムの起動中に起動できます。この場合、デフォルトの設定ディレクトリは/etc/openvpn3/autoloadです。権限のない使用の場合は、ユーザーがアクセスして読み取ることができるすべてのディレクトリを使用できます。この説明では、後者のアプローチを使用します。
まず、自動ローディングサービスに適したディレクトリを作成します。
$ mkdir -m700 -p $HOME/.openvpn3/autoload
これにより、ユーザーのホームディレクトリにユーザーのみが読み取り/書き込みアクセス権を持つディレクトリが作成されます。このディレクトリに選択したVPNサービスに接続するために必要なVPN設定ファイルを保存します。ファイルは標準のOpenVPN構成ファイルでなければならず、.confファイルまたは.ovpnファイル拡張子を持つ必要があります。この記事では、ファイル名をclient.confとして指定します。
次に、自動ロードユーティリティ用の設定ファイルを生成する必要があります。これは、.autoloadファイル拡張子を持つ汎用JSONファイルです。 VPN構成ファイルの名前はclient.confなので、自動ロード構成ファイルの名前はclient.autoloadとして指定する必要があります。このファイルがないと、自動ロードユーティリティはVPN設定ファイルをまったく考慮しません。
openvpn3-autoload 構成ファイルは openvpn3-autoload(8) のマニュアルページに記載されていますが、ここでは可能なオプションの一部のみを検討します。
.autoload ファイルには次の情報が必要です。
{
"autostart": true,
"user-auth": {
"autologin": true,
"username": "jane.doe",
"password": "very-secret-Let-Me-!n-P4ssword"
}
}
最初の自動起動設定は、openvpn3-autoloadにこの設定ファイルをインポートして起動するように指示します。 user-authセクションの情報は非常に明確でなければなりません。ここで自動的にログインし、定義された資格情報を使用するように指示できます。
これで自動ロードユーティリティを起動するだけです。
$ /usr/sbin/openvpn3-autoload --directory $HOME/.openvpn3/autoload
Configuration "client.conf" imported: /net/openvpn/v3/configuration/6ab9b09dx429fx4816xae7fx6ac063cb5b40 []
Auto-started "client.conf": /net/openvpn/v3/sessions/b2301e1csce93s4e4asb24cs21d4bd662510
$
これで、VPNセッションが実行されており、通常のopenvpn3セッション管理コマンドを使用してステータスを確認できます。
$openvpn3 セッションリスト
Path: /net/openvpn/v3/sessions/b2301e1csce93s4e4asb24cs21d4bd662510
Created: Mon Sep 7 12:00:41 2020 PID: 12248
Owner: jdoe Device: tun0
構成名:client.confステータス:接続済み、クライアント接続
$ ` https://openvpn.net/openvpn-3-linux-and-auth-user-pass/このリンクから貼り付けるだけです。コンテンツにアクセスできなくなると、このリンクが壊れる可能性があります。
答え2
--auth-user-pass
OpenVPN 3 Linuxは、OpenVPN 2.xなどの保存された資格情報をサポートしません。この方法をサポートする必要があるのか、それとも別のアプローチを使用すべきかはまだ決定していません。ユーザーの資格情報を保存することは通常推奨されません。