OpenVPN (Instances) mit TOTP funktioniert nicht korrekt... oder?!

Started by Navigator, November 20, 2024, 02:38:32 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
February 04, 2025, 02:18:29 PM #15
Quote from: trixter on February 04, 2025, 01:49:51 PMDas gibt glaube ich beim Tunnelaufbau immer eine Warnmeldung ?
Ja, in der OpenVPN GUI kommt da eine schöne rote Zeile. Daran habe ich mich schon gewöhnt. :-)

Die Alternative wäre eben, die Zugangsdaten jeweils nach der Renegotiation Time neu einzugeben. Macht beim empfohlenen 1 Stunden-Intervall auch keinen Spaß.

QuoteFinde es auch Legitim wenn die User Benutzer / Passwort abgespeichert haben
Ich kenne keinen Weg, das zu unterbinden.

Hier suggeriert der Wortlaut "Disable password save" im OPNsense OpenVPN Client Export auch mehr als die Option in der Realität zu bewirken vermag. Die Instanthilfe verrät aber eh, was es tatsächlich tut. Es fügt die Zeile "auth-nocache" in die Client Konfig ein, die dem Client veranlasst, das Passwort bzw. den Auth-Token nicht im Cache zu halten. Das Speichern des Passworts am Client verhindert es nicht.

February 05, 2025, 11:40:07 AM #16
Eine Lösung zum Thema Passwort war: wir vergeben ein Passwort, dass der User nicht kennt - so kann der Account nicht auf Fremd-HW umgezogen werden ;)

Frage: Wie kommen Deine User an TOTP? Bei mir würde man rumzicken bevor eine App aufs Handy kommt.
VMW / PMX / PFS / OPS
February 05, 2025, 11:54:03 AM #17
Quote from: viragomann on February 03, 2025, 08:43:16 PMDafür gibt es nun "Auth Token Lifetime". Das ist zwar ein Zeitwert, aber erst das explizite Setzen dieser Option veranlasst den Server dem Client einen Authentication Token beim Verbindungsaufbau zu übermitteln. Diesen verwendet der Client dann, um die Renegotiation durchzuführen.
Das hat bei TOTP den Vorteil, dass der Token für die Dauer der "Auth Token Lifetime" nicht bei jeder Renegotiation eingegeben werden muss.

Daher sind meine Einstellungen:
"Renegotiate time" nicht gesetzt, also Standardwert 3600
"Auth Token Lifetime" 43200

Erfahrungswert: habe Renegotiate time auch auf eine Stunde gestellt, leider gibt es Anwendungen, die diese Unterbrechung gar nicht mögen, denn die Verbindung wird immer neu wieder aufgebaut - so mein letzter Stand mit GUI 11.50.0.0
VMW / PMX / PFS / OPS
February 05, 2025, 11:59:36 AM #18
User habe ich bislang noch nicht. Das ist derweil noch ein Testserver, den ich nur selbst genutzt habe.

Ich habe das Profil zum MS Authenticator hinzugefügt. Diesen nutzen wir firmenintern ohnehin für andere Zwecke.
Mit dem Google Authenticator und anderen RFC 6238-kompatiblen sollte es aber auch funktionieren.
Ob alle unsere Leute ein Firmenhandy haben, weiß ich jetzt nicht, aber ich denke, die installieren eine App dafür auch am privaten, wenn nötig. Hier geht es vorerst nur um eine handvoll Entwickler, die sind da aufgeschlossen.
February 05, 2025, 12:06:57 PM #19
Quote from: trixter on February 05, 2025, 11:54:03 AMleider gibt es Anwendungen, die diese Unterbrechung gar nicht mögen, denn die Verbindung wird immer neu wieder aufgebaut - so mein letzter Stand mit GUI 11.50.0.0

Ich verwende auch diese Version. Hatte mir für die Tests die neueste installiert. Da gibt es aber keine Probleme.
Meinen Rechner fahre ich abends in den Standby Modus. Beim nächsten Start wird dann das TOTP verlangt, dann läuft die Verbindung den ganzen Tag stabil.

Aber wie erwähnt, das ist ein Legacy Server. Renegotiation Time ist nicht gesetzt, weder am Server noch am Client, und in den Advanced Options habe ich
Code Select
auth-gen-token 57600für die Auth Token Lifetime. Die hatte ich irgendwann auf 16 Stunden erhöht.
Print
Go Up Pages 1 2
User actions