Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6869 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN (openvpn) restrict login attempts

FernandeZ
Dear all.

We have now changed to Active Directory Remote Authentication via our Astaro when attempting to connect with SSL Vpn. But onw we got a small problem. Whenever our users type in the wrong password, the SSLVPN Client tries it so often to connect the client until the user in the ActiveDirectory is locked.

Does someone know how to restrict the SSL Client just to try to logon two times instead of continuously?


This thread was automatically locked due to age.
  • 0
    I found something out.

    I am using a selfcoded frontend in order to connect to our network with OpenVPN. This is super comfortable and helps to solve problems concerning to OpenVPN in the past. Additional to this we are able to execute automatically our own scripts after a successful connection to our network via OpenVPN. This is not possible with the standard OpenVPN Program.

    Additional to this the program helps to see if its possible to create a connection to our network... if you are connected to the internet etc etc. By analyzing the pinglatency we decide to map networkshares after connecting to the network or not.... and many other thing.

    Another thing is for instance that our users don't have to type in their username in order to connect with OpenVPN to our network. They just need to type in the password. Both, password and username, will then be stored in a textfile so that OpenVPN will use this file to connect to the network. I found out now that OpenVPN will try it 12 times with a wrong password until it will stop authenticating the user against the domain controller because we use this line in a .ovpn file. (the line is in bold characters) 


    ...

    auth-user-pass test.txt

    cipher AES-128-CBC

    auth MD5

    comp-lzo

    route-delay 4

    verb 3

    reneg-sec 0


    So my question again. Does anyone know how to restrict the program in that way that it won't try it so often? Perhaps just two times?
  • 0
    From the OpenVPN 2.1 documentation:
     
    The following OpenVPN options may be used inside of a  block: 
    --connect-retry n
     For --proto tcp-client, take n as the number of seconds to wait between connection retries (default=5). 
    --connect-retry-max n
     For --proto tcp-client, take n as the number of retries of connection attempt (default=infinite).
  • 0 in reply to Scott_Klassen
    Dear Scott.

    Thanks for your reply.
    I've just try to edit the ovpn file with the parameters you have described... but it don't work [:(] whyever. It seems so that I do something wrong?! I don't know. 

    Perhaps you can see a mistake in my ovpn file... I have attached a sample. I have overpainted some passages...
  • 0
    Here's where I found the information:  OpenVPN 2.1
  • 0 in reply to Scott_Klassen
    I've found something out...

    Well. Starting a connection by using openvpn-gui.exe --connect openvpnfile.ovpn then the program wants to try to authenticate the user 3 times if you use only one authentication server.

    If you use 2 authentication servers the program wants to connect 6 times to authentication server 1 and 3 times on authentication server 2. All in all we have then 9 loginattemps...

    if you start a connection just by a right click on the .ovpn file and choose "Start SSL VPN Connection" then the program just tries it to connect only 3 time. 2 time on Authentication Server 1 and 1 time on Authentication Server 2...
  • 0
    So now I got the answer... So easy.
     
    I always have try to eastablish a connection in this way:
    "%programfiles%\Astaro\Astaro SSL VPN Client\bin\openvpn-gui.exe --connect a.***x@***.de.ovpn

     
    but this way of establishing a connection make problems. So I tried 
    ]"%programfiles%\Astaro\Astaro SSL VPN Client\bin\openvpn.exe [EMAIL="a.***x@***.de.ovpn[/CODE"]a.***x@***.de.ovpn">[EMAIL="a.***x@***.de.ovpn[/CODE"]a.***x@***.de.ovpn[/EMAIL]

     
    But then the program openvpn expects all the files which are needed to establish a connection in the same folder where the openvpn.exe is placed. So I need to write a routine which copies all the needed files to the specified folder. By using this way the f****** traffic light in the taskbar is finally away. I think thats nice because I have my own frontend which tells me if I am connected and additional to this I had to do some steps in order to disconnect from vpn when I used the first way (openvpn-gui.exe --connect...). I had to kill openvpn-gui.exe, openvpn.exe and deactivate & activate the LAN adapter and then the traffic light still appeared in the taskbar until you moved your mousepointer over it. and now its sooo simpel. no traffic light anymore. only openvpn.exe I need to kill and no deactivating and activating LAN adapters [[:)]] jippiyeah its working fine now and much faster then before. Its up to 20% faster when establishing a VPN connection [[:)]]