Bonjour ,
 
Je viens de reprendre l'administration d'un serveur OpenVpn (sous FreeBSD) dans une PME et je souhaiterai savoir le nombre d'accès/de kits de connections déjà créés par mon prédécesseur ?
Ce-dernier n'ayant pas référencé tous les kits de connections dans un fichier , je ne sais pas comment les afficher et surtout mon responsable me demande de désactiver l'accès VPN à un de nos utilisateurs ?
 
J'ai regardé dans ce dossier  

 
mais je sais qu'il n'y a pas tous les kits de connections ! J'ai fouiné dans mes sauvegardes de ce serveur afin de retrouver tous les kits mais également je n'arrive pas à voir le compte exact et surtout je ne sais pas comment désactiver un compte?    
 

et

ne m'aide pas du moins je ne trouve pas la commande. Pas mieux chez Google....
 
Est ce que quelqu'un aurait une idée svp ?  
Merci d'avance pour votre aide

si ton openvpn utilise des certificats pour l'authentification utilisateur, tu ne le sauras pas. il ne te reste plus qu'à trouver une copie des certificats émis (et les révoquer si besoin).
 
si ton openvpn utilise une identification type user/pass (présence de la ligne "username-as-common-name" dans /etc/openvpn/server.conf), il doit y avoir une base d'utilisateurs quelque part, géré par un module pam.
 
edit: si tu n'en sais rien, il ne te reste plus qu'à recréer le certificat du serveur et émettre des nouveaux kits de connexion  
 
edit2: je viens d'y repenser. tu peux activer le logging des sessions où tu le souhaites via la ligne de conf "status /x/openvpn-status.log 60" (toutes les minutes). mais ça ne sera pas exhautif même en traçant quelques jours/semaines  

Merci beaucoup pour votre réponse.    
 
Effectivement j'utilise des certificats pour l'authentification utilisateur.
 
Je viens de trouver un fichier index.txt dans le dossier

 
qui référence toute la liste des certificats précédemment créés.
 
D'après ce que j'ai compris il faut que je tape  dans le dossier /usr/local/etc/openvpn/easy-rsa/

pour révoquer le certificat de l'utilisateur en question
Mais en retour j'obtiens

 
Donc j'ai essayé ./revoke-full dans tous les répertoires mais j'obtiens toujours ce message.
Quelle est la clé que je dois définir ? Est-ce qu'il faut recréér une clé spécifique à la révocation ?
 
Encore merci pour votre aide

Ok je comprends qu'il faut mettre dans le fichier server.conf la ligne

Mes fichiers de conf s'appellent openvpn.conf, openvpn01.conf etc ...... donc je pense que c'est dans ces fichiers que je dois mettre ce paramètre.
Sinon je suis tombé sur des infos qui concernent plus OpenVpn sous Linux et non xBSD.... Même si je pense que ça fonctionne de la même manière je n'arrive pas à trouver certaines infos.  
Par exemple je me suis référé à ce site ici
mais il parle du fichier crl.pem que je trouve nulle part ?  
Après avoir mis à jour locate

est introuvable    
 
Je ne vois pas à quoi cela correspond ? Comment faire pour créer ce fichier ?
 
Merci d'avance pour vos idées    

Un petit up car j'ai écrit mon message en deux heures .....  

Lit ce tuto tu y trouveras toutes les réponses sur Windows
 
http://forum.hardware.fr/hfr/resea [...] et_2_1.htm
 
A+

 
   Ba vi sur Windows mais mon serveur tourne sur FreeBSD donc inutile votre lien..... D'autant que je viens de faire une recherche et même si j'étais sous Windows, votre article n'explique pas comment révoquer un certificat ??        
 
Je vais modifier le titre de cette discussion pour être plus précis.
 
Il y a bien quelqu'un qui a déjà utilisé OpenVpn sur du GNU et qui a cherché à révoquer les certificats ?
 
Merci d'avance
 
 

Bonjour,  
 
Autant pour moi, je suis allé trop vite    
 
Pour révoquer les certificats il faut .... en créer un nouveau et les installer.
Après il faut évidement transmettre aux utilisateur autorisés la nouvelle clé public.
 
A+
 

Suis-je le seul à vouloir révoquer un accès VPN sur un système Freebsd
(c'était pour faire un petit up de ce post   )
 
Merci

Tu utilises quoi comme soft pour ta CA ? openssl ?
http://gagravarr.org/writing/openssl-certs/ca.shtml

 
Désolé pour le retard de ma réponse...  
Oui j'utilise Openssl pour la création de mes certificats. Je vais regarder votre lien.
N'hésitez pas à me poser des questions .
 
Merci à vous.    

je sais pas si tu en es toujours la, mais il faut exécuter ./vars pour définir KEY_DIR, après tu pourras jouer le revoke...

Bonjour et merci pour votre aide.
 
J'ai essayé les commandes dans le dossier /usr/local/etc/openvpn/easy-rsa  

 mais aussi

(il faut mettre un espace entre les deux points) et aussi

j'obtiens en retour :

 
J'ai comme même rééssayé la commande pour révoquer  

J'ai donc redémarré les services OPenvpn, mais aussi le serveur puis essayer de me reconnecter avec ce kit de connexion et paf ! je me suis connecté ??    
Je ne comprends pas trop    
 
J'ai lu le lien que Je@nb m'a communiqué sur la partie SSL mais je n'ai pas encore testé.  
Il est vrai que c'est pas évident pour moi car je n'ai jamais mis en place de serveur OpenVpn et j'ai très peu utilisé jusqu'à présent les certificats.
 
Je vous tiens au courant. N hésitez pas à me poser des questions.
Merci d'avance.

Ton serveur vpn vérifie la crl, celle-ci est bien générée ?

 
Alors j'ai trouvé le fichier crl.pem dans le dossier /usr/local/etc/openvpn/easy-rsa/keys que j'ai copié dans /usr/local/etc/openvpn
Car j'avais mis dans mes fichiers de configuration la directive suivante : crl-verify /usr/local/etc/openvpn/easy-rsa/keys/crl.pem mais le serveur Vpn ne voulait plus démarrer.
J'ai donc copié le fichier crl.pem puis essayé avec la directive crl-verify /usr/local/etc/openvpn/crl.pem dans le fichier de conf (là au moins le vpn peut être redémarrer sans soucis)
puis j'ai essayé la commande :

Derrière j'ai réessayé les commandes précédentes pour la révocation puis redémarrage des services OpenVpn mais le kit fonctionne toujours   et j'obtiens toujours les mêmes messages en retour.
Je vais donc essayer les commandes indiquées dans le lien que vous m'avez donné (pas évident de tout pigé parfaitement car c'est en Anglais )