Fail2ban for OpenConnect VPN Server (ocserv)

 pastikan OpenConnect VPN Server (ocserv) sudah berjalan dengan baik, di sini dengan debian 12,

1. enable log di ocserv

edit /etc/ocserv/ocserv.conf 

log-level = 1 

log-file = /var/log/ocserv/ocserv.log

jangan lupa restart

sudo systemctl restart ocserv 


2. jika log tidak muncul di  /var/log/ocserv/ocserv.log dan masih di syslog

nano /etc/rsyslog.d/30-ocserv.conf

isi
if $programname == 'ocserv' then /var/log/ocserv/ocserv.log
& stop

kemudian restart rsyslog
sudo systemctl restart rsyslog

cek log sudah ada dan normal berikut potongan log nya


2026-01-20T12:35:22.401936+07:00 debian ocserv[1048]: plain-auth: error authenticating user 'billy'
2026-01-20T12:35:22.402134+07:00 debian ocserv[1055]: ocserv[1055]: worker[billy]: 192.168.130.2 worker-auth.c:1724: failed authentication for 'billy'

 

3. buat filter untuk fail2ban

nano /etc/fail2ban/filter.d/ocserv.conf

isi


[Definition]
failregex = .*worker.*: <HOST> .* failed authentication for .*
ignoreregex =

 

4. Buat Jail Rule untuk Ocserv

Edit atau tambahkan file /etc/fail2ban/jail.local (jangan edit langsung jail.conf), dan tambahkan bagian ini:

isi

[ocserv]
enabled = true
port = 443
filter = ocserv
logpath = /var/log/ocserv/ocserv.log
maxretry = 3
findtime = 600
bantime = 3600
action = iptables-multiport[name=ocserv, port=443, protocol=tcp]


5. Restart Fail2ban

sudo systemctl restart fail2ban

 

6. test gagail login di  ocserv

 

7. Cek Status Jail

bash

tail /var/log/fail2ban.log

berikut potongan log nya

2026-01-20 12:36:05,884 fail2ban.server         [598]: INFO    Reload finished.
2026-01-20 12:36:05,897 fail2ban.filter            [598]: INFO    [ocserv] Found 192.168.130.2 - 2026-01-20 12:35:22
2026-01-20 12:36:05,897 fail2ban.filter            [598]: INFO    [ocserv] Found 192.168.130.2 - 2026-01-20 12:35:22
2026-01-20 12:37:18,026 fail2ban.filter            [598]: INFO    [ocserv] Found 192.168.130.2 - 2026-01-20 12:37:18
2026-01-20 12:37:18,026 fail2ban.filter            [598]: INFO    [ocserv] Found 192.168.130.2 - 2026-01-20 12:37:18
2026-01-20 12:37:18,475 fail2ban.actions       [598]: WARNING [ocserv] 192.168.130.2 already banned

 atau

sudo fail2ban-client status
sudo fail2ban-client status ocserv

semoga bermanfaat

Komentar

Posting Komentar

Postingan populer dari blog ini

Fail Over gateway Recursive Routing Mikrotik

Gambar
Lama tidak membuat catatan, kali ini tentang Recursive Routing Mikrotik, yang akan di pake di router utama dengan 2 isp, apabila jalur isp 2  "unreadable" maka routing otomatis di alihkan ke isp 1 ISP1: Gateway IP 49.0.0.1 ISP2: Gateway IP 192.168.200.1 Recursive route untuk menentukan keterjangkauan setiap gateway ISP menggunakan server DNS publik 8.8.8.8   Langkah 1: Tambahkan Routes ke 8.8.8.8 dengan gateway ISP2 192.168.200.1, check gw ping Langkah 2: Tambahkan Routes 0.0.0.0 dengan gateway 8.8.8.8, check gw ping, target scope 30 Rule diatas mungkin  tidak sesuai standar penentuan gateway, karena menggunakan 8.8.8.8 sebagai gateway, namun dengan target-scope=30 rule tersebut bisa melakukan lookup ke hop selanjutnya dengan scope ≤ 30 sehingga menjadi recursive gateway.    Hasil nya sebagai berikut  Bisa juga di tambahkan netwatch ke host 8.8.8.8 untuk mengaktifkan rule yang lain   Semoga bermanfaat   sumber https://citraweb.com/artikel_lihat...
Baca selengkapnya

Squid Proxy ssl bump untuk transparent HTTPS #2

Melanjutkan artikel yang lalu Squid Proxy ssl bump untuk transparent HTTPS ada beberapa kondisi koneksi tidak bisa berjalan normal lewat squid bump ini Anda mungkin perlu menambahkan pengecualian untuk Bumping SSL dalam kasus berikut:      Perangkat lunak menggunakan protokol selain HTTPS (seperti SSH, RDP, atau VPN).      Perangkat lunak atau sumber daya web menggunakan protokol WebSockets atau HTTP/2.0.      Algoritme enkripsi nasional (seperti GOST atau SM2) digunakan untuk mengakses sumber daya web.      Perangkat lunak menggunakan penyematan sertifikat server.      Perangkat lunak atau sumber daya web memerlukan otorisasi berdasarkan sertifikat SSL klien. Yang pasti whatsapp app dan whatsapp web tidak bisa konek kalau pake squid ssl bump Untuk itu kita bisa membypass nya atau membuat pengecualian nya  Untuk menambahkan pengecualian SSL Bumping: Buat file bernama /etc/squid/dono...
Baca selengkapnya

Cloudflared argo tunnel zero trust service on Mikrotik

Gambar
Cloudflare Argo Tunnel adalah sebuah aplikasi tunneling (proxy) untuk meng-ekspos jaringan private localhost/ LAN ke jaringan publik via domain name, Pastian persyaratan Mikrotik mendukung container untuk menjalan docker, minimal versi 7.4 dan artsiketurnya arm64 atau x86, ram dan storage nya cukup disini memakai Mikrotik CHR dan di tambah storage untuk menyimpan dan menjalankan docker Pastikan mikrotik sudah di install paket container dan sudah di enable Container mode dalam device mode 1. Tambahkan virtual Ethernet untuk container misal dengan ip 172.17.0.3/24 dan gw 172.17.0.1  2. Membuat Bridge    3. Menambahkan port kedalam bridge yang telah di buat   4. Menambahkan ip ke bridge yang akan di jadikan gateway untuk virtual Ethernet ( 172.17.0.1)   5. Tambahkan scrnat dan masquerade untuk subnet 172.17.0.0/24 6. Tambahkan dstnat dan dst-nat untuk mengkases  172.17.0.0/24 dari luar via ip 10.10.1.199     7. Tambahkan registry url "htt...
Baca selengkapnya