星期三, 10月 31, 2012

一個晚上,把該踩的地雷都踩完了...

大概吧... 不知道還有多少地雷要踩 :o

OpenVPN,直接把踩到的地雷列一下:

  • FreeBSD 上用 pf 不能直接對 interface 開放,因為 OpenVPN 可能會在 pf 都跑完後才跑起來。查資料的時候有找到資料說,可以讓 pf 不要 cache 這部份,不過測了老半天測不出來,最後還是用 IP range 來做。
  • OpenVPN 2.2 已經改成一個 interface 通殺所有 client,而不是一個 client 一個 interface,測了老半天發現是誤會一場,manpage 裡有寫現在變成這樣。(不知道從哪個版本變成這樣,至少裝的 2.2 是...)
  • 如果 dhcp-option 只推 dhcp-option DNS 而沒有推 dhcp-option DOMAINUbuntu 下的 DNS 設定不會生效,據說是 spec feature... +_+
  • 如果要吃 RADIUS,可以透過 PAM 處理。不過 pam.d 的設定檔內只能用 try_first_pass,不能用 use_first_pass,原因看一下 FreeBSD 的 pam_radius manpage,裡面有說明。
  • 另外,如果要用 RADIUS,記得設定 template_user 避免有 local account 的人會過,沒有 local account 的人就掛了...。
暫時踩到這些...