Wie übertrage ich ein Skript vom Server, um es auf dem Client auszuführen?

tag-icon tag-icon openvpn
Wie übertrage ich ein Skript vom Server, um es auf dem Client auszuführen?

Ich habe ein Gerät, zu dem ich keine Verbindung mehr herstellen kann (SSH, Salt, ...), auf das ich keinen einfachen physischen Zugriff habe, das aber immer noch eine OpenVPN-Sitzung zu meinem Server öffnet. Um zu versuchen, es wiederherzustellen, möchte ich:

  • Erzwingen Sie auf dem Server eine erneute Verbindung für diesen Client
  • wenn der Client die Verbindung wiederherstellt - ein Skript ausführen, das der Client ausführen würde (zuerst würde ich mir über einen Dump der Protokolle und Konfigurationen ansehen, was los ist, und dann möglicherweise die richtigen Einstellungen wiederherstellen)

Es gibt Lösungen fürSkripte, die auf dem Client ausgeführt werden, sobald dieser eine Verbindung herstelltaber alle gehen davon aus, dass dies die Wahl des Clients ist (= die Konfiguration erfolgt auf der Clientseite). Ich suche nach dem umgekehrten Weg.

Ich sehe, dass ein solcher Ansatz ein Sicherheitsproblem darstellt (der VPN-Anbieter könnte die Client-Maschine übernehmen), aber vielleicht gibt es einen Weg, der aus der Dokumentation nicht hervorgeht?

Antwort1

Um den Client zu einer erneuten Verbindung zu zwingen, haben Sie folgende Möglichkeiten:

  • Löschen Sie eine bestimmte Kombination aus Quell-IP-Adresse und Quell-Port mithilfe voniptablesInAUSGABEKette oder Zieladresse und Zielport inEINGANGfür einen längeren Zeitraum als das Ping-Neustart-Intervall,
  • Beenden Sie den angegebenen Client in der Verwaltungsoberfläche von OpenVPN:siehe hier
  • Starten Sie den OpenVPN-Dienst @ Server neu. All die oben genannten Schritte erzwingen einen neuen symmetrischen Schlüsselaustausch, neue Sockets und eine neue Zielportnummer.

Warum Sie ein Skript nicht ausführen können:

  • da hast du Pech gehabt. Skripte werden konfiguriert und müssen auf der Clientseite platziert werden, meines Wissens nach erlaubt das nicht einmal OpenVPNs CCD, eine richtige „Pull“-Konfigurationsanweisung ist auch auf der Clientseite erforderlich – damit der Server die grundlegendsten Tunneloptionen wie Verschlüsselung, Puffergrößen, Komprimierung, Routen usw. abrufen kann, aber nicht die Skriptkonfigurationsanweisungen.
  • in der Standardkonfiguration funktioniert OpenVPN mit niemandem-Berechtigungen,
  • dies wäre eine Sicherheitslücke.

verwandte Informationen