/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to network-hooks.d/openvpn

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
network-hooks.d/openvpn
 
1
#!/bin/sh
 
2
#
 
3
# This is an example of a Mandos client network hook.  This hook
 
4
# brings up an OpenVPN interface as specified in a separate
 
5
# configuration file.  To be used, this file and any needed
 
6
# configuration file(s) should be copied into the
 
7
# /etc/mandos/network-hooks.d directory.
 
8
 
9
# Copyright © 2012 Teddy Hogeborn
 
10
# Copyright © 2012 Björn Påhlsson
 
11
 
12
# Copying and distribution of this file, with or without modification,
 
13
# are permitted in any medium without royalty provided the copyright
 
14
# notice and this notice are preserved.  This file is offered as-is,
 
15
# without any warranty.
 
16
 
 
17
set -e
 
18
 
 
19
CONFIG="openvpn.conf"
 
20
 
 
21
# Extract the "dev" setting from the config file
 
22
VPNDEVICE=`sed -n -e 's/[[:space:]]#.*//' \
 
23
    -e 's/^[[:space:]]*dev[[:space:]]\+//p' \
 
24
    "$MANDOSNETHOOKDIR/$CONFIG"`
 
25
 
 
26
PIDFILE=/run/openvpn-mandos.pid
 
27
 
 
28
# Exit if no device set in config
 
29
if [ -z "$VPNDEVICE" ]; then
 
30
    exit
 
31
fi
 
32
 
 
33
# Exit if DEVICE is set and it doesn't match the VPN interface
 
34
if [ -n "$DEVICE" ]; then
 
35
    case "$DEVICE" in
 
36
        *,"$VPNDEVICE"*|"$VPNDEVICE"*) :;;
 
37
        *) exit;;
 
38
    esac
 
39
fi
 
40
 
 
41
openvpn=/usr/sbin/openvpn
 
42
 
 
43
do_start(){
 
44
    "$openvpn" --cd "$MANDOSNETHOOKDIR" --daemon 'openvpn(Mandos)' \
 
45
        --writepid "$PIDFILE" --config "$CONFIG"
 
46
     sleep "$DELAY"
 
47
}
 
48
 
 
49
do_stop(){
 
50
    PID="`cat \"$PIDFILE\"`"
 
51
    if [ "$PID" -gt 0 ]; then
 
52
        kill "$PID"
 
53
    fi
 
54
}
 
55
 
 
56
case "${MODE:-$1}" in
 
57
    start|stop)
 
58
        do_"${MODE:-$1}"
 
59
        ;;
 
60
    files)
 
61
        echo "$openvpn"
 
62
        ;;
 
63
    modules)
 
64
        echo tun
 
65
        ;;
 
66
esac