OpenVPN (Instances) mit TOTP funktioniert nicht korrekt... oder?!

[viragomann]

Das gibt glaube ich beim Tunnelaufbau immer eine Warnmeldung ?

Ja, in der OpenVPN GUI kommt da eine schöne rote Zeile. Daran habe ich mich schon gewöhnt. :-)

Die Alternative wäre eben, die Zugangsdaten jeweils nach der Renegotiation Time neu einzugeben. Macht beim empfohlenen 1 Stunden-Intervall auch keinen Spaß.

Finde es auch Legitim wenn die User Benutzer / Passwort abgespeichert haben

Ich kenne keinen Weg, das zu unterbinden.

Hier suggeriert der Wortlaut "Disable password save" im OPNsense OpenVPN Client Export auch mehr als die Option in der Realität zu bewirken vermag. Die Instanthilfe verrät aber eh, was es tatsächlich tut. Es fügt die Zeile "auth-nocache" in die Client Konfig ein, die dem Client veranlasst, das Passwort bzw. den Auth-Token nicht im Cache zu halten. Das Speichern des Passworts am Client verhindert es nicht.

[trixter]

Eine Lösung zum Thema Passwort war: wir vergeben ein Passwort, dass der User nicht kennt - so kann der Account nicht auf Fremd-HW umgezogen werden ;)

Frage: Wie kommen Deine User an TOTP? Bei mir würde man rumzicken bevor eine App aufs Handy kommt.

[trixter]

Dafür gibt es nun "Auth Token Lifetime". Das ist zwar ein Zeitwert, aber erst das explizite Setzen dieser Option veranlasst den Server dem Client einen Authentication Token beim Verbindungsaufbau zu übermitteln. Diesen verwendet der Client dann, um die Renegotiation durchzuführen.
Das hat bei TOTP den Vorteil, dass der Token für die Dauer der "Auth Token Lifetime" nicht bei jeder Renegotiation eingegeben werden muss.

Daher sind meine Einstellungen:
"Renegotiate time" nicht gesetzt, also Standardwert 3600
"Auth Token Lifetime" 43200

Erfahrungswert: habe Renegotiate time auch auf eine Stunde gestellt, leider gibt es Anwendungen, die diese Unterbrechung gar nicht mögen, denn die Verbindung wird immer neu wieder aufgebaut - so mein letzter Stand mit GUI 11.50.0.0

[viragomann]

User habe ich bislang noch nicht. Das ist derweil noch ein Testserver, den ich nur selbst genutzt habe.

Ich habe das Profil zum MS Authenticator hinzugefügt. Diesen nutzen wir firmenintern ohnehin für andere Zwecke.
Mit dem Google Authenticator und anderen RFC 6238-kompatiblen sollte es aber auch funktionieren.
Ob alle unsere Leute ein Firmenhandy haben, weiß ich jetzt nicht, aber ich denke, die installieren eine App dafür auch am privaten, wenn nötig. Hier geht es vorerst nur um eine handvoll Entwickler, die sind da aufgeschlossen.

[viragomann]

leider gibt es Anwendungen, die diese Unterbrechung gar nicht mögen, denn die Verbindung wird immer neu wieder aufgebaut - so mein letzter Stand mit GUI 11.50.0.0

Ich verwende auch diese Version. Hatte mir für die Tests die neueste installiert. Da gibt es aber keine Probleme.
Meinen Rechner fahre ich abends in den Standby Modus. Beim nächsten Start wird dann das TOTP verlangt, dann läuft die Verbindung den ganzen Tag stabil.

Aber wie erwähnt, das ist ein Legacy Server. Renegotiation Time ist nicht gesetzt, weder am Server noch am Client, und in den Advanced Options habe ich

Code Select Expand

auth-gen-token 57600für die Auth Token Lifetime. Die hatte ich irgendwann auf 16 Stunden erhöht.

[trixter]

Habe bei mir jetzt alle Legacy Tunnel umgestellt, da ja eine EOL Notice erscheint

[trixter]

Das gibt glaube ich beim Tunnelaufbau immer eine Warnmeldung ?

Ja, in der OpenVPN GUI kommt da eine schöne rote Zeile. Daran habe ich mich schon gewöhnt. :-)

Die Alternative wäre eben, die Zugangsdaten jeweils nach der Renegotiation Time neu einzugeben. Macht beim empfohlenen 1 Stunden-Intervall auch keinen Spaß.

Finde es auch Legitim wenn die User Benutzer / Passwort abgespeichert haben

Ich kenne keinen Weg, das zu unterbinden.

Hier suggeriert der Wortlaut "Disable password save" im OPNsense OpenVPN Client Export auch mehr als die Option in der Realität zu bewirken vermag. Die Instanthilfe verrät aber eh, was es tatsächlich tut. Es fügt die Zeile "auth-nocache" in die Client Konfig ein, die dem Client veranlasst, das Passwort bzw. den Auth-Token nicht im Cache zu halten. Das Speichern des Passworts am Client verhindert es nicht.

Klarer Fall von Etikettenschwindel ;)

[Patrick M. Hausen]

Wir haben bisher auch die Credentials nicht im Client gecached, aber den Benutzern empfohlen, sie in der Mac OS Keychain zu speichern. Die ist bis auf weiteres erst mal als sicher angesehen.

[trixter]

Nachtrag:

Mittlerweile gibt es einen Punkt beim Client Export:

"Enable static challenge (OTP)"

Fügt das Eingabefeld für TOTP hinzu

[trixter]

Wir haben bisher auch die Credentials nicht im Client gecached, aber den Benutzern empfohlen, sie in der Mac OS Keychain zu speichern. Die ist bis auf weiteres erst mal als sicher angesehen.

Für Windows-Menschen scheint Keypass dieses Problem ebenfalls gut zu lösen - wird dennoch gerne von Usern bemängelt, weil man halt ein seperates Masterpasswort unabhängig vom Login benötigt.

[Patrick M. Hausen]

Die Mac OS Keychain ist nach dem Login offen und der gesamte Vorgang automatisch.

Schlägt der Bildschirmschoner an oder klappt man den Laptop zu, braucht man wieder einmalig das PW.

Wird der Rechner verloren oder geklaut, ist dank FileVault sowieso alles dicht.