VPN token и USB флешки Поделиться Опции

[CrashX]

EXL,
я вод уже пару недель думаю как сделать USB Token VPN
так что бы при не было видно раздела где лежат сертификаты и что бы при вставке запускалась шела и создавался коннект

как у сбербанка СберОнлайн для Юрлиц

я их ключ дебажил, сделал дамп, но там VPN несколько иной с моими сертификатами не завелось видимо переписано все у них.

[Zorge.R]

EXL,
я вод уже пару недель думаю как сделать USB Token VPN
так что бы при не было видно раздела где лежат сертификаты и что бы при вставке запускалась шела и создавался коннект

как у сбербанка СберОнлайн для Юрлиц

я их ключ дебажил, сделал дамп, но там VPN несколько иной с моими сертификатами не завелось видимо переписано все у них.

Я сделал так, создаем "Traveler Disk" при помощи truecrypt, в том TrueCrypt кладем бинарники openvpn (64 и 32 битные) со скриптом подключения и сертификатами и добавляем в меню запуска проводника, доступно по правому клику по флешке "Запустить VPN".

т.к. конфиг ovpn имеет пути до сертификата, то он не лежит отдельным файлом, а пишется автоматом из скрипта при запуске.

автозапуск для тома TC

Код

start TrueCrypt\TrueCrypt.exe /q background /m rm /v ovpn.db
exit

при подключении тома, требуется пароль.

автозапуск для тома с файлами vpn:

Код

@echo off
COLOR 4f

(
    echo remote IP PORT
    echo client
    echo dev tun
    echo ping 10
    echo comp-lzo
    echo proto udp
    echo tls-client
    echo remote-cert-tls server
    echo pkcs12 %~dp0\vpn.guest.p12
    echo tls-auth %~dp0\ta.key 1
    echo verb 3
    echo pull
) > %~dp0/cfg.ovpn

if "%programfiles(x86)%XXX"=="XXX" goto 32BIT

:64BIT
echo 64bit OS
"%~dp0\OpenVPN_x64_2.3.2\bin\openvpn.exe" --config %~dp0\cfg.ovpn
goto EXIT

:32BIT
echo 32bit OS
"%~dp0\OpenVPN_x32_2.3.2\bin\openvpn.exe" --config %~dp0\cfg.ovpn

:EXIT
exit

получается пароль надо будет ввести дважды, первый раз для доступа к тому с ключем и сертификатом vpn, второй раз при старте тоннеля надо будет ввести пароль от сертификата, т.е. если даже том будет скомпрометирован, подключаться к тоннелю без пароля все равно не выйдет.

Единственный минус, на многих системах autorun выпилен групповой политикой. Если это домашний комп, то скорее всего получится и иконку токена в виде логотипа OpenVPN сделать и автоконнект по правому клику. Иначе автозагрузка срежется политикой, придется открыть диск и запустить "coonect token.cmd", затем "start vpn.cmd" с появившегося тома.
Плюс можно сделать том tc с правами только на чтение.

[CrashX]

Zorge.R,
мего респеркт
надеюсь сертификаты он подхватит (у меня нет пароля только 4 сертификата)
а пароль на ФС тоже зачет как мастер код пойдет

битность корректно распознавать так

Код

if "%PROCESSOR_ARCHITECTURE%"=="x86" (goto x86) else (goto x64)

:x86
echo x86


:x64
echo x64


:exit

распознавание ОС

Код

ver | find "2003" > nul
if %ERRORLEVEL% == 0 goto v2003
ver | find "XP" > nul
if %ERRORLEVEL% == 0 goto vXP
echo %vers% | find "Windows Vista" > nul
if %ERRORLEVEL% == 0 goto vVista
echo %vers% | find "Windows 7" > nul
if %ERRORLEVEL% == 0 goto v7even
echo %vers% | find "Windows Server 2008" > nul
if %ERRORLEVEL% == 0 goto v2008

:vvista goto v2008

:v7esen goto v2008

:v2008
:vXP goto v2003

:v2003

:exit

Сообщение отредактировал CrashX - 2.8.2013, 11:01

[Zorge.R]

битность корректно распознавать так

а у меня символов меньше, а результат такой же
причем тебе после :x86 echo x86, придется прыгать за х64, следовательно два goto после проверки излишние.

плюс, незабудь проверить и установить драйвера для TAP

Код

if exist "C:\Program Files\TAP-Windows\license.txt" (
    echo TAP drivers exist
) else (
    echo Install TAP drivers
    %~dp0/tap.exe /S
)

Можно сделать это до

Код

if "%programfiles(x86)%XXX"=="XXX" goto 32BIT

Добавлено позже (2.8.2013, 15:40):
CrashX, кстати можно еще все что касается vpn, положить в sfx архив. Для удобства, один exe. Запустил, всё распаковалось, подключилось, как только тоннель закроешь, всё удаляется.

[Zorge.R]

немного переделал стартовый скрипт, убрал запуск проводника в месте монтирования тома и сделал чтобы скрипт искал смонтированный том и сам запускал подключение к тоннелю, но пароль для тоннеля все равно надо ввести. просто в первой версии приходилось запускать два скрипта ручками, а тут только один, вставил флешку, запустил, ввел пароли и готово.

Код

@echo off
start TrueCrypt\TrueCrypt.exe /q background /m rm /v ovpn.db

echo.
echo -= Waiting for device =-
set done=0
:RESCAN
ping -n 1 -w 1000 127.0.0.1 > nul
for %%d in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
  if exist %%d:\start_z-lab.me_vpn.cmd (
     ECHO Device Found : %%d
     start %%d:\start_z-lab.me_vpn.cmd
     set done=1
  )
)
if %done%==0 goto RESCAN

я вот думаю как сделать чтобы том TC размонтировался автоматом, после дисконекта. Можно конечно добавить tc.exe \d, но тогда будет либо открыто две консоли, чтобы первая ждала закрытия тоннеля, либо надо придумать что то другое.
плюс можно попробовать скрыть диск, после поднятия тоннеля http://support.microsoft.com/kb/555438

[Zorge.R]

Упаковал все до 1 exe.

- Запускаем exe, вводим пароль доступа к тому truecrypt, вводим пароль доступа к тоннелю. Бац. Тоннель построен.

При закрытии окна VPN происходит автоматическое отключение от тоннеля, размонтирование тома truecrypt и удаление временных файлов (шифрованный том truecrypt).