áá³á®áœ
á á áá¡ á¥ááᜠášá€áµ ááá áá¥á«áµ áá á¥áá°áááµá á á«ááá áá áᢠáášááœá á ááá áá á«ááá ááá³ á áá«áµá°áá ááá³ áááŠá³á ᣠááá á°á á áá á«áá ááá³ áá ááááµ ááá¯á ᣠáááµá ášá€áµ ááá£áµ á ááá á°á ááá± ášá°á á á ááᢠá¥á á¥ááᜠáá°á«á°áá»ážá ášá€áµ ááá á¥á« á áá¥ááµ áá°á«ááµ áá ášá£ážáá¢
ááá á¥áá ááááµ á¥á« áááµáááœá áááášá¥ á¥ááµ á«áá á áá«ášá¥ á áááá© ášááááá áµ áªá³á« áá«áµášáµá ááœáá. ášá°á áá ášááá ááᜠáá°ášá ááœááᣠá¥á áá á á¥áá ášáµáá á± á áá³áš áášá¥ á¥á ášá áá² áá¥á á¶áœ áá ášáá¥á¥á áá á áá ááá© á¥áá²ááá á«áµáœáááá¢
ááá á áá á áµá°ááá ášá®ááá¬áµ áªáá€á ááµááá®áœá ášááá á ááááµ á áá ášáá¯áᢠáµá á¥ááááá³ááᢠá áµá°ááá, á°á á О ááá áš VPN á áá³áš áášá¥á á áá ááá¢
ášáá°á«á á IPsec/L2TP á¥á áµ áá°ášáµ ááá¡ ášááááá± ááááœá á¥á á á¶ášáᜠáá ášá°ášáá¹ á°áá°áá¬á¶áœ á°áá ááœá ááášááᥠá¥á á¥áá²áá áášáá á á áá³áš áášá¡ áá á á°áá°á áš ááá© á«áµá°ááááá¢
CentOS 7 á«áá á áááá (á áµá«á»á¡ centos.vpn.server.ad) á¥á á¡á¡áá± 20.04 á«áá á°áá á á¥áá²áá ááá¶ááµ 10 á«áá á°áá á ááááá á¥áá° áá³á« á°á á ááá¢
ášáµáááµ áááá«
áªáá€á á IPSec + L2TP + PPP á¥á áµ áá°ášáµ áá°á«áᢠáá®á¶á®á áá¥á¥-áá°-áá¥á¥ áá®á¶á®á (PPP) á OSI ááŽá ášááᥠáááá áá¥áá¥á áá áá°á«á á¥á ášá°á ááá áášááá« á¥á ášá°ááá ááᥠááµá á« á«ááá£á. ášá¥á± ááᥠá L2TP áá®á¶á®á ááᥠááµá¥ á°ááá¿á, áá á á á¥ááá± á VPN á áá³ášáášá¥ ááµá¥ áááááµ ááá á©á á«ášááá£á, ááá áá áášááá« á¥á ááµá á« á áá°á¥á.
ášL2TP á³á³ á á ááá€áµá¢á ááµá¥ á°ááá¿áá£áá á áášááá« á¥á ááµá á«á áá°á£áá£ááá áá ášááá á á°ááš ááá© áášááᥠá¥á ááµá á« á áá£áªá« á°ášá á¥áá á á°á áá á°ášá á áášá°áµáá¢
áá á£á ᪠á°á ááááœá ášá°áá°á áá³áªá«áᜠá¥á» á¥áá²á«ášááá¡ á«áµáœááá³áᢠᚠIPSec áá®á¶á®áá á¥áá° ááá³á ââá¥áá áááá á¥á ášá°á ááá áášááá« ášááááá áá³áªá« á¥ááá á³ááá¢
áµáááµ á«áá¶áœá á áá áá ášá°á áá áášááá« á PPP áá®á¶á®á á°ášá ášEAP-TLS áá®á¶á®áá á áá áá áášááááá¢
ášáá
áášá³ á á á«á ášá áá áááá áášá á ááµá¥ áááá
ááááµáá áá á¥á áµ áŠáµá±áá ášá¥á© ášáªáá€á ááµááá ááµááá¶áœ ášáá«ááá?
- ášáá á¥á áµ á áµá°áááááµ á áá á°ááµáá. áš 2000 ááá® áš VPN á áá³áš áášáŠáœá ááá°áá«áµ á¥á á áá ááá.
- á°á
ááá± ášá°á á á ášá°á áá áášááá« á PPP áá®á¶á®á ááá§áá¢
á áá áášáá«áµ ášá°ááá£á ášPPP áá®á¶á®á áá°á á áµáá á« á á ášáá ášá°á áááµ á°ášá á áá°á¥á, áááá«á±á ááášááá«á£ á á¥á© ááá³á£ ááá¢á« á¥á ášááá áá á áá áá áášááá« á¥á á áá ááááᢠášááá¢á« ášááá áá áá°ááᣠááááµ ááá áá°ášá á¥áá°ááœá áááœáá á¥áááááᢠááá áá, áášá á áá á áá ááá¢áJan Just Keijser вá á°áá£á á©á áá áá®á¶á®á áá áá áœáá á áµá°á«áá ááášááá« á¥áá° EAP-TLS á£á asymmetric ááµá á« áá ášá°áá°ášá± áá®á¶á®ááœá ášáá áá áœáá³á á áááᢠá á°ášááªá, ááášááá« áµáááµ á«áá¶áœá ášáá áá áœáá³á ášáá¯á, áá á áµááá± ášá áá á°á ááá± ášá°á á á á¥áá²áá á áµááá.
á á áá áá á¥ááá á áááµ áá®ááá¶áœ áááááµ áá áµááµá á áá«ááµ áá áá á¥á áá¥áá áá áááᶠáá áááááá á¥áá°ááá á¥ááá á ááá ááœáá. ááá³áᣠášá°áá á ášPPP áµáªáµ á Fedora áášáá»áᜠááµá¥ áášá á áá ááá·áᣠááášááá« á áµá°ááá áá®á¶á®ááœá á°á á ááᢠ- á¥áµáš á
áᥠáá áµášáµ, áá
á áá³áš áášá¥ á ááá¶ááµ á°á áááᜠá¥á» á¥á
á áá ááá ááœáá, ááá áá ášááµá® áµáŽáµ á©áášáá²á² á«á²á áŸá®á á¥á á ááá³áá°á áµáááá á£áá°ášáŠá»áœá á°ááá°áá.
ášáµá® ášL2TP á°áá á áá®áááµ áááááµ á¥á á á»áœáá³á. á á ááµ áá ᣠá á°áá áá á¥á« ááµá¥ á¥á áµá á°á¶áœá á¥á áµááá¶áœá á áµá°á«áááá ᣠášááá© á áááá¡á áµ áá á¥áá³á ášáµááá±á áááµ á¥á áá á ááá á áµááááᢠášá¥ááá ááµá¥ á á£á ááá ášáááµ ášáášá°ááµ áážá-- ášá á²á± áš openssl á¥á qt áµáªá¶áœ á áááᜠáá ášá á®áá á°áá á áá ášá°á³ááááµ áœáá®áœá¢
- ášááµáá°á« ááá á ááá«á ááá ášáá³áá ppPD á°ááá·áá¢
- á áá«áá á áááᜠá á©á ášááá áá á¥á«á áá®áá«áá á áµááá ááµáááᢠáá ášá°á°ášáá á xl2tpd á áááááµ áµáááááá á á«á£á¢ á ááµášá ááá¢
- áš L2tpIpsecVpn áŽáá ááá£á³ á áá ášá°áá áá ááá£á³ áá á á¥á® á°ášááááᣠáá á ášááá£á³ á¥á ášáááá áá°á±á ááá á«á°ááááá¢
- áááµááµ áááááµ ášááá£á³áá áµááááááµ áááá°áœ áš Azure Pipelines áµáááµ á°á«ááá.
- ášááášáµ áœáá³ á³áááá¢
ášá°á áááµ á°ášá á openssl á ááµ ááµá¥. áá á°ášááá ášá á á ášá°á áááµ á°ášá áá° 2 ášá°ááá áš á á²áµ áµááá° áááááœá á áµááá ááá°áá á áá áá, ášáá á°ášá ášá°á áááµ ááµááá¶áœá ášáá«áá ášááµáá áášáá¶áœá ášáá áá áš VPN á áá³áš áášáŠáœ áá. áá á áá«á ášáá£á áš VPN á áá³áš áášáŠáœ áá á á¥á® áááµá«áµ á áá ááááá¢
ášá°áµá°á«ášáá á¥áµá á ááµá¥ ááááá¢
áá á°áá á áµáááµ á«áá¶áœá ááášááá« áá ááá áá°ááá á¥áá²áá á á°á»á áá á áá áá á¥á áµ á ááááµ áµá ááááá áááá áœáá®áœ á¥á áœáá®áœ áá°á¥áá ᣠáá á á°áá áá áááá á á°á»á áá á ááá á¥á áá£á á«á°ááááá¢
á á¥ááᥠá á.á.á. á¥á á á°áá áá GUI áá«ášá áááášá áá¹ áááááµ áá¥á«áá³áá± áá®ááá¶áœ á°ášá᪠á ááµáá¶áœ á³áá°ášááážá ášáá»á á ááá ášáᣠááá áá á¥áá± ááá°áá á¥á á áµáá¹ á°ááá°ááá¡
- á°áµá°á«ááá
ášááµáá°á« áá á®áµá ášPPP áá° openssl á ááµ á áµá á°áµ ášááµá°ááá áµá á°áµ - á°áµá°á«ááá
á áááá©á ášáá«á á¥á openssl á ááµ á ááµááá áá áµá á°áµ . áá áµá á°áµ ášáµáááµ á«áá¶áœ áá áááµá«áµ áµá openssl áá°á®áœ áášá á«ááá á áµá°áá ášá á«á£á¢á /etc/ppp/openssl.cnf áá á ááá ááá ááá á¥ááµááá á áááá°ááá á£áá á ášá£áµ áœáá áá á á£ááá³á áµá áá°á®áœ áášá á á°ášá᪠ᣠáá ááá áááááµ á¥áááááá. ááá³áᣠáááááµ á²áá¥á© ášá°á áááµ á°ášááá á«áµá°á«ááá¢
á áá áááá áááá ááœááá¢
ášá áááá ááµá°á«ášá«
áááá á áµááá áá¬ááœá á¥áá«á.
áááááµáá (IPsec) á áá«á áá
á ááááªá« á°ášá, áášáááá á ipsec á á á«á á¥ááá á
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload
ášáá« áá«áá á¥áááá
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan
ášá°á«á á áá strongswan (ášá ááá€áµáŽá á á°áá£á á ááµá¥ á áá±) áááá á«áµááááá³áᢠáá áá áááµášá áááá á«ááµá /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
á¥áá²áá ášáá« ááá¢á« ááá áá á¥ááááááᢠááášááá« ášá°áá«á ááá áá áááá ášá áá³áš áášá¥ á°á³á³ááᜠáá³áá
á áá áµá¢ áá
áᎠá ááᜠášááá³áá áá, áááá«á±á áá
ášááá áá á ááá áá° á áá³áš áášá¡ áá³ášá» ááµá áµ ááááááážá ááá°áŠáœ á ááá áá³áá
ááœááá¢
ááá, áá
á¥ááá³ á¥áá³á ášááµáááá á°á
áááµ á ááá³áá, áááá«á±á áá°ášá³á ášáášá ááµá á« á¥á ášá°á áá áášááá« ášáášáááá á ááá áá®á¶á®á ááᢠááá áá á ááµáááᵠᣠá áá«á«ááµáá ááášááá« ášá áá á áµá°ááá áŽááááááœá á¥áá°áá°áá áᥠáá£á ááá£á ᣠááá³á ᣠášáá ááááœá á áá ááᢠáµáµá®áááµáá áµáááµ á«áá¶áœá á áá áá áášááá« ášááµá áµ áœáá³ á ááᣠááá áá á¥áµá«áá áµášáµ ášá°áá°á áá³áªá«áᜠá¥á» áá°ááá á¥á áµááá
Rutoken á¶ášá á¥á áµáááµ á«áá¶áœá á áá áá áášááᥠá ááá á áµážá᪠ááᢠá á ááá ášááá áá á ááá á¥áááá
/etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"
á¥áá±áµááá á¥áá°áá á¥ááááá¡-
sudo systemctl enable strongswan
sudo systemctl restart strongswan
xl2tp á áá«á áá
sudo dnf install xl2tpd
á ááá á¥ááá ášá /ááá°/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; ПпÑеЎелÑÐµÑ ÑÑаÑОÑеÑкОй аЎÑÐµÑ ÑеÑвеÑа в вОÑÑÑалÑМПй ÑеÑО
local ip = 100.10.10.1
; Ð·Ð°ÐŽÐ°ÐµÑ ÐŽÐžÐ°Ð¿Ð°Ð·ÐŸÐœ вОÑÑÑалÑÐœÑÑ
аЎÑеÑПв
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; ЎаММÑÑ ÐŸÐ¿ÑÐžÑ ÐŒÐŸÐ¶ÐœÐŸ ПÑклÑÑОÑÑ Ð¿ÐŸÑле ÑÑпеÑМПй МаÑÑÑПйкО ÑеÑО
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; ÑказÑÐ²Ð°ÐµÑ Ð°ÐŽÑÐµÑ ÑеÑвеÑа в ÑеÑО
name = centos.vpn.server.ad
á ááááá±á á¥áá°áá á¥ááááá¡-
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd
ááá áááá
ášá áᥠáááá ášpppd áµáªáµ áá«á á°áᢠááᢠáá áá áááµášá ášáášá°ááµá ášáµááá á á°á á°ášá°á á«áµááœá
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install
áá° ááá ááá /etc/ppp/options.xl2tpd ášáášá°ááµ (á¥áá« ááááá á¥áŽá¶áœ á«á á¥áá±á áá°ášá ááœáá)
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
ášáµá á°áá°áá¬áµ á¥á ášá áááá á°áá°áá¬áµ á¥áá°á£ááá¡-
#ЎОÑекÑПÑÐžÑ Ñ ÑеÑÑОÑОкаÑаЌО пПлÑзПваÑелей, УЊ О ÑеÑвеÑа
sudo mkdir /etc/ppp/certs
#ЎОÑекÑПÑÐžÑ Ñ Ð·Ð°ÐºÑÑÑÑЌО клÑÑаЌО ÑеÑвеÑа О УЊ
sudo mkdir /etc/ppp/keys
#запÑеÑаеЌ лÑбПй ЎПÑÑÑп к ÑÑПй ЎОÑÑекÑПÑОО кÑПЌе аЎЌОМОÑÑаÑПÑа
sudo chmod 0600 /etc/ppp/keys/
#геМеÑОÑÑеЌ клÑÑ Ðž вÑпОÑÑваеЌ ÑеÑÑОÑÐžÐºÐ°Ñ Ð£ÐŠ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#геМеÑОÑÑеЌ клÑÑ Ðž вÑпОÑÑваеЌ ÑеÑÑОÑÐžÐºÐ°Ñ ÑеÑвеÑа
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial
áµááá , á áá ášá³á ášá áááá áááá ášáá°áá. ášá°áášá ášá áááá áá á á á³á²áµ á°áá ááœá áášáá á«á«áµá³áá¢
á á²áµ á°áá á á áášá áá
á á²áµ á°áá áá áá° á áá³áš áášá¡ ááášá ášááµáá áášáá±á ááá á°áá á ášá³áá á°áᜠáááá ááµá¥ áášá á áá¥ááµá¢
á ááµ á°á áá ášáªáá€á ááµááá á á£á ááá ášááá ááá á°áá á ášááá á¥ááµ á¥á ášááµáá áášááµ áá°áá áªá« ááá¥á«áᢠá°á ááá ášáá³áá ášáá áá áá°áá áªá« ááášá ááœááᣠá¥á ášáá€á± ášááµáá áášááµ áá° ášááµáá áášáá¶áœ ááá« ááá ááœááá¡-
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial
ášá°áá áá áµá á¥á ášááµáá áášáá± áá ášááááµ ááµáá áá° /etc/ppp/eaptls-server ááá á¥áášááá¡-
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *
ááµá³áá»
áá« ááá£áµá áááµáááµá¡ ášáá« áµáᣠášááµáá áášááµ ááá áµá á¥á ášá°á áá áµá áá© á¢áá ášá°á»á ááá¢
á¥á ášááášáášá ášá°á áá áµá á ááᜠášáášááá« áááᜠááµá¥ ášáµá á¥áá°ááá³á áášááᥠá°áᢠááᣠáá á«ááá áá á°á ááá ášá°ášááá á áµ ááááµ áá áœáá®áœ ááá© ááœááá¢
á°áá³á³á© ášááµáá áášááµ áá°á ááá ááá á áá áµá¢
ášááá á¥ááµ á¥á ášááµáá áášááµ á áááášáµ áá
áá°á³á« áášááá« á°áá áá ášáášá°ááµá ááµášá á áá áµ:
- ášááá á¥ááµ áááášáµ;
- áš CA áµáá á°áá²áá¬áµ á áážá;
- áááá á¥ááµá á áµá CA ášá°áášá ášááµáá áášááµ á áá á¢
á ááááµ áá áá°áá á
á ááááªá«á£ á á¶á áá ááá á¥ááµ á¥ááá á á¥á áá¥áá á áášááá«á áááášá» á¥ááá áá¡-
#ОЎеМÑОÑОкаÑÐŸÑ ÐºÐ»ÑÑа (паÑаЌеÑÑ --id) ЌПжМП заЌеМОÑÑ ÐœÐ° лÑбПй ÐŽÑÑгПй.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"
ášáá³ášáá áš client.req áá°áá áªá« áá° CA ááá©á¢ á áᎠáááá á¥ááµá ášááµáá áášááµ ášá°áá áᣠášááá áá á ááµ á áááµ áá³ááá« áá³áá ááµáá°á« áááá¡
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45
áááá¶ááµ á¥á ááááµ á°áá áᜠ(ášá áá áááá°áá ááŽ)
áá áᎠášá áá ááá á ááá áá, áááá«á±á á ááá¶ááµ á¥á ááááµ á°á áááᜠá á°á³á« ááá³ ášáá³áá ááá á¥á ášááµáá áášááµ á¥áá²á«ááá© ááá áµááá³á ᣠáá ááá ášáááášáµ áá°á±á ááášááá ášááá¶á ááœá ááááá á¢
á¥á«áááœá ášáááášáµ á¥á ášááµáá áášáá¶áœá ášááµáá£áµá á ááµ ášáªáá€á á áá³áš áášá¥ áµáá á°áá°áá¬áµ áá° ášá³áá á°áᜠáááá ááµá¥ áášá á áá¥ááµá¢ áá áá áááµášá áááá±áµ á¥á á áášáá°á ááµá®áµ ááµá¥ "ášá¥áá á áášááá« á«á" ášáááá á áá«á ááášá¡:
á áášáá°á ááµá®áµ ááµá¥ áá á«á£á¢á á°á áá ášááµáá áášááµ áá«áá ááášá¡á¡-
ášááµáá áášáá±á á CA á³áá áµáá á°áá°áá¬áµ áá°á¥á ááµá¥ á¥ááááá¡-
ášááá áá áµááá¶áœ á áá, á ááá á°ášá᪠áá¥áŠáœ á¥ááµáááá. áµááá± á áá á°áá á¯áá¢
ášáášá°áá áááµ áá á ááµ ááá cert.tmp á¥ááá áá¡-
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE
ášáá á áá, ášááá á¥ááµ á¥ááá¥á«áá á¥á áá°áá²áá¬á± áááášá» á¥ááá¥á«áá. áá áá áááµášá ášááá áŒáá áááá± á¥á ášáášá°ááá áµááá á«áµáá¡:
certreq.exe -new -pin $PIN .cert.tmp .client.req
ášá°áá ášáá áá°áá áªá« client.req áá° ášá¥ááµá CA ááá© á¥á ášá°áá áá.pem á°áá°áá¬áµ á¥áµáªá°áá°á áá á¥áᢠáá° ááµáá°á« ááá á¥á ášáášá°ááá áµááá á áá áá áá° ááá¶ááµ á°áá°áá¬áµ áá°á¥á áášáá áá»ááá¡
certreq.exe -accept .client.pem
á°áá³á³á áµááá¶áœ áš mmc áá®áá«áá áá«áá á áááᜠá áá áá á¥áá°áá áá£á á¥áá°ááœá áᥠáá£á ášááá£á áá, ááá áá áá áᎠá¥á áá ášáááµáµ á¥á á áá®áá«á áá°á« ášáááœá áá.
ášá¡á¡áá± á°áá áá á áááá áá
ááµá³áá»
á ááááµ áá á°áá áá áááá á á áá áá á¥á áá ášáááµáµ ááᣠáááá«á±á... ášááá© ášá°áá© áá®áá«ááœá áááá£áµ áá áááᢠá á
áᥠáá ááµá¥ ááá áááŠáœ á áŠááŽááá áášáá»áᜠááµá¥ áá«á°á³ážáá ááášááᥠá¥áááá«ááá¢
á IPSec á°ášá ášá áááá© áá á«ááá áááááµ ááášááᥠášstrongswan á¥á á á¥á áš xl2tp áŽáá á¥á á áá ááááᢠáµáááµ á«áá¶áœá á áá áá ášá áá³áš áášá¡ áá áááááµá áááááᣠáááá áááááµ áááá áá«áá áŒá ášáá°á áá l2tp-ipsec-vpn á¥á áá á¥áá ááááá¢
áá¥áš ááá®á¹á á°ášá á á°ášá áá°á¥á°á¥ á¥áááá ᣠáá ášáá« á ááµ áªáá€á á áá¥á³ á¥áá²á°á« áááá á áµááá áá¬ááœá á¥ááááá-
sudo apt-get install xl2tpd strongswan libp11-3
ášá¶ášáᜠáá áááµá«áµ á¶ááµáá áá«á
ášá
áᥠáááá lirtpkcs11ecp.so ááá¥ášáª áš. á«á
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl
Rutokená á«ááá á¥á á áµááá± ášáá³áá áááá á«ášááá¡á¡
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l
ášá³ážá ááá á áá«á áá
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install
ášL2tpIpscVpn á°áá áá á áá«á áá
á á áá áá á°áá áá á¥áá²á ášááá© á®áµ áá ááá á áá áµá¢ áá ášáášáááá ášáášá°ááµá ášáµááá á á°á á°ášá°á á áá áá ááá¢
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install
ášL2tpIpsecVpn á°áá áá á áááá áá
ášá°á«ááá á°áá á á áµáááá¡-
ášá°áááš á áá ášL2tpIpscVPN á áááµ áášááµ á áá áµá¢ á á¥á± áá á áá á á á«áµáá á¥á ááááá±á á«áá á©:
ášá¶ášáᜠáá áááµá«áµ á ááááªá«á£ áá° OpenSSL áá°á á¥á ášPKCS#11 á€á°-ááœáááµ áá° opensc áá°á ášáááµá°áá ááááµ á¥áá³á«ááᢠáá áá áááµášá openssl áááªá«ááœá ááááá áš"ááá«ááœ" áµáá áááá±á¢
.
áš OpenSSL á áá¥á®áœá ááµá®áµ á¥áááá á¥á áá° á áá³áš áášá¡ áááá á¥ááá¥áᢠá á áá¥á®áœ ááá ááµá¥ á«ááá á áá... ášáááá ááá á áá«á á á²áµ á áá³áš áášá¥ á¥áášáá á¥á ášá áá³áš áášá¥ áµá á«áµáá¡á¡-
ášáá á áá áá á áá³áš áášá¥ á á áá¥á®áœ ááá ááµá¥ ášááá ááááᢠá á²á±á á áá³áš áášá¥ ááááá á áá ááᎠá á á«áµááᢠá ááááªá«á áµá áá áš IPsec á áá¥á®áœá ááµášá á«áµááááá³á. ášá áááá©á á áµá«á» á¥á ášá áᥠáááá á¥áááá á¡-
ášáá á áá áá° ááá á áá á¶áœ áµá ááá± á¥á á¥áá« á áá³áš áášá¡á ááááµ ášááááááá ášá°á áá áµá á«áááá±á¢
ášáá
á áá ášá£á
áªáᜠáµáá áááá± á¥á áá° ááá ᣠášá°áá á ášááµáá áášááµ á¥á CA ášáááµá°áá ááááµ áá¥áá±á¢
áá áá áµá ááá°á ášáášášá»áá ááŒáµ á¥áášáááဠáá áá áááµášá âIP settingsâ ášáááá áµá áááá± á¥á âášá² á€á á€áµ á áááá á áµá«á»á á á«áµ á°á á«ááâ ášááá á áá«á áá¥á á£áá á³á¥á áá ááááµ á«áµááá¢
áá
á áá«á á°áá áá á á áá³áš áášá¡ ááµá¥ ášá áááá© ášáá á áá á áµá«á» á¥áá²áá á á«áµáœáááá¢
ášááá á áá á¶áœ á áá áááá áµá®áœá ááá á¥á á°áá ááá á¥áá°áá á«áµááá©:
ášá áá³áš áášá¡ áá á áááááµ áá
ášá áá¥á®áœ á áá, ášá áá³áš áášá¡ áá áááááµ ááœáá. áá áá áááµášá ášá áááµ áµáá áááá± á¥á ášáááááá áµá á áá³áš áášá¥ ááášá¡á¢
á áááááµ ááááá« áá°áµ áá áµ á°áá áá áš Rutoken áá á®áµ á¥ááµááµáᣠáá ááááá¡-
ááááá± á á°á³á« ááá³ ááááá á ááá³ á ááá áá áá³ááá« ášá³ášá£ áááá© ášá°á³á« áá á áááµ ááá¡-
á áá ááá« ááááá± ááá á¥áá³áá°áá°ášá° ááá á áá áá. áá áá áááµášá á á áááµ ááµá¥ "ášáááááµ áášá" áµáááá á ááášá¥ ášáá®áá«áá áááᥠááµá³áá» áááášáµ á áá¥ááµ.
ášááá¶ááµ á°áá áá áááá
á°áá áá á ááá¶ááµ áá áááá ášááááµ ášá áá ááá ááᣠáááá«á±á... ááá á áµááá á¶ááµáá®áœ ááµááá á áµááá± ááµá¥ á°ááá¥á°áá.
ášáµáááµ á áá¥á
áš Rutokens áá áááµá«áµ áááá á áµááá á áœášáá«áªáᜠá ááášáµ á¥áááááá
ááášááá« áµáá á°áá°áá¬áµ á ááµáá£áµ áá
ášá áááá áµáá á°áá°áá¬áµ á«ááá± á¥á á áµááá± áá áá«ááµá¢ áá áá áááµášá áááá±áµ á¥á á áášáá°á ááµá®áµ ááµá¥ "ášá¥áá á áášááá« á«á" ášáááá á áá«á ááášá¡:
á áášáá°á ááµá®áµ ááµá¥ áá á«á£á¢á á°á áá ášááµáá áášááµ áá«áá ááášá¡. ášááµáá áášáá± á á®ááá©á°á áá áá ááá á°á áááᜠá¥áá²áá ášáááᣠášááµáá áášáá±á á á á«á£á¢á«á á®ááá©á°á áá ááá«á ááášá¥ á áá¥ááµá¢
ášááµáá áášáá±á á CA á³áá áµáá á°áá°áá¬áµ áá°á¥á ááµá¥ á¥ááááá¡-
ášááá áá áµááá¶áœ á áá, á ááá á°ášá᪠áá¥áŠáœ á¥ááµáááá. áµááá± á áá á°áá á¯áá¢
ášáªáá€á áááááµ á áááááµ áá
ášáªáá€á áááááµ ááááááµ áá° ášáá¥á¥á ááá ááá± á¥á á á²áµ áááááµ áááá á á áá«á©á ááášá¡á¢
á á¥á á£á© ááµá®áµ ááµá¥ ášáµá« áŠá³á áá ááááááµ áááááµ áááá á á áá«á©á ááášá¡á¡-
á ááá¥áá ááµá®áµ ášáªáá€á áááááµá ááášá¡á¡-
á¥á ášáªáá€á áááááµ áááá®áœá á«áµáá¡ á¥á á¥áá²áá áµáááµ á«ááµ ááá áá á áá«á©á áá¥áá±á¡
áááá© áá á áá°á ááááᢠášáášá á IPsec áá®á¶á®á ášá°áá«áá ááá áááᜠá¥á» áá ᣠáá áá áááµášá áá° âNetwork Connection settingsâ áµá ááá± á¥á ášáá« áá° âá£ááªáᜠááá áááááµâ áµá ááá± á¢
á áášáá°á ááµá®áµ ááµá¥ áá° âá°á áááµâ áµá ááᱠᣠâL2TP/IPsec Networkâ á¥áá° á áá³áš áášá¥ á áááµ áááá¹ á¥á âášáá á áá¥á®áœâ á ááášá¡á¢
á áášáá°á ááµá®áµ ááµá¥ ášá°áá«áá IPsec ááá áá¥áá±á¡
ÐПЎклÑÑеМОе
áááá©á ášášášá± á áá ášá áá³áš áášá¡ áá ááááááµ ááášá ááœáá-
á ááááá± áá°áµ áá áµ ášááµáá°á« áá á®áµ ááµáá£áµ á áá¥áá¡-
á°á ááá± ášá°á á á ášáªáá€á ááµááá á áááá á áµážá᪠á¥áá³ááá á ášááá ááá¢
ááµááááœ
áááááµ á°áá áᜠᚠVPN ááááá¶áœá áááá á á á¥ášá áá°á©áµ ášáµá« á£áá°ášáŠá»áœá á«á²á áŸá®á á¥á á ááá³áá°á áµááááá á áµáá ááá°ááážá á¥áá³ááá¢
ááá: hab.com