OpenVPN MFA с использованием Radius — переподключение каждые час.

OpenVPN MFA с использованием Radius — переподключение каждые час., wifiman

afrogley

Guest

21.01.2025 11:07:00

У меня есть DMPro и UCG Ultra – нам нужно настроить MFA на VPN-соединениях. Используем CISCO Duo, и я могу настроить OpenVPN-сервер (встроенный), чтобы он указывал на RADIUS-сервер, который активирует Duo MFA. Проблема в том, что MFA запрашивается каждый час (неважно, активное соединение или нет), и связь обрывается, пока ждём ответа от Duo. Это не очень удобно для пользователей и нарушает рабочую среду. Я пробовал добавить `reneg-sec 28800` в файл ovpn клиента и подключился по SSH к роутеру, чтобы добавить его в единственный найденный файл конфигурации `/etc/openvpn/openvpn-peer-1/radius.server.conf.xxx_xxx_xxx_xxx` – перезагрузил устройство, но поведение осталось прежним. Какие есть идеи, как это решить?

kobelsys

Guest

07.02.2025 20:40:00

Всё это связано с RADIUS-сервером и тем, что нельзя настроить пользовательское значение для RENEG-SEC. Несколько человек уже отправили запросы на добавление функции — предлагаю как можно больше их проголосовать, чтобы хоть как-то продвинуть этот вопрос. Вот ссылки на посты — первый, кажется, набрал больше голосов. Второй — тот, который я написал, где подробно описана проблема, о которой вы упомянули выше.https://community.ui.com/questions/OpenVPN-Reneg-Sec-Feature-Request/13b3c4b3-992e-4598-b031-ebab4f4d8432https://community.ui.com/questions/Unifi-OpenVPN-Server-w-3rd-Party-RADIUS-server-for-MFA-timeout-issue/5a43c5c9-3c25-46af-a81a-0bf3f5559a7a

leonardogyn Guest	#3 21.01.2025 11:18:00 Я правда не уверен, способен ли OpenVPN заново запрашивать MFA так, как вам нужно. reneg-sec занимается шифрованием ключей, а не аутентификацией сессий, так что это может вообще не связано с сессиями аутентификации, как вам кажется. Я почти уверен, что этого нельзя добиться с UDMP, и не уверен, возможно ли это вообще с OpenVPN.

Читают тему (гостей: 1)