ጉዳዮች

በቅርቡ ብዙዎች ከቤት ሆነው መሥራት ምን እንደሚመስል አያውቁም ነበር። ወረርሽኙ በዓለም ላይ ያለውን ሁኔታ በሚያስደንቅ ሁኔታ ለውጦታል ፣ ሁሉም ሰው አሁን ካለው ሁኔታ ጋር መላመድ ጀምሯል ፣ ማለትም ከቤት መውጣት በቀላሉ ደህንነቱ የተጠበቀ ነው። እና ብዙዎች ለሰራተኞቻቸው ከቤት ሆነው ሥራ በፍጥነት ማደራጀት ነበረባቸው።

ይሁን እንጂ ለርቀት ሥራ መፍትሄዎችን ለመምረጥ ብቃት ያለው አቀራረብ አለመኖሩ የማይቀለበስ ኪሳራ ሊያስከትል ይችላል. የተጠቃሚ የይለፍ ቃሎች ሊሰረቁ ይችላሉ፣ እና ይሄ አጥቂው ከድርጅቱ አውታረ መረብ እና የአይቲ ግብአቶች ጋር ከቁጥጥር ውጭ በሆነ መልኩ እንዲገናኝ ያስችለዋል።

ለዚህም ነው አስተማማኝ የኮርፖሬት ቪፒኤን ኔትወርኮችን የመፍጠር ፍላጎት አሁን ጨምሯል። ስለ እነግርዎታለሁ። አስተማማኝ, ደህና и ቀላል የ VPN አውታረ መረብን በመጠቀም።

የሚሰራው በIPsec/L2TP እቅድ መሰረት ነው፡ የማይመለሱ ቁልፎችን እና በቶከኖች ላይ የተከማቹ ሰርተፍኬቶች ደንበኞችን ለማረጋገጥ እና እንዲሁም መረጃን በአውታረ መረቡ ላይ በተመሰጠረ መልኩ ያስተላልፋል።

CentOS 7 ያለው አገልጋይ (አድራሻ፡ centos.vpn.server.ad) እና ኡቡንቱ 20.04 ያለው ደንበኛ እንዲሁም ዊንዶውስ 10 ያለው ደንበኛ ለማዋቀር እንደ ማሳያ ተጠቅሟል።

የስርዓት መግለጫ

ቪፒኤን በ IPSec + L2TP + PPP እቅድ መሰረት ይሰራል። ፕሮቶኮል ነጥብ-ወደ-ነጥብ ፕሮቶኮል (PPP) በ OSI ሞዴል የውሂብ ማገናኛ ንብርብር ላይ ይሰራል እና የተጠቃሚን ማረጋገጫ እና የተላለፈ ውሂብ ምስጠራ ያቀርባል. የእሱ ውሂብ በ L2TP ፕሮቶኮል ውሂብ ውስጥ ተቀርጿል, ይህም በእውነቱ በ VPN አውታረመረብ ውስጥ ግንኙነት መፈጠሩን ያረጋግጣል, ነገር ግን ማረጋገጫ እና ምስጠራ አይሰጥም.

የL2TP ዳታ በአይፒኤስኢክ ውስጥ ተቀርጿል፣ይህም ማረጋገጫ እና ምስጠራን ይሰጣል፣ነገር ግን ከፒፒፒ በተለየ መልኩ ማረጋገጥ እና ምስጠራ በመሣሪያ ደረጃ እንጂ በተጠቃሚ ደረጃ አይከሰትም።

ይህ ባህሪ ተጠቃሚዎችን ከተወሰኑ መሳሪያዎች ብቻ እንዲያረጋግጡ ያስችልዎታል። የ IPSec ፕሮቶኮልን እንደ ሁኔታው ​​እንጠቀማለን እና የተጠቃሚን ማረጋገጫ ከማንኛውም መሳሪያ እንፈቅዳለን።

ስማርት ካርዶችን በመጠቀም የተጠቃሚ ማረጋገጫ በPPP ፕሮቶኮል ደረጃ የEAP-TLS ፕሮቶኮልን በመጠቀም ይከናወናል።

የዚህ ወረዳ አሠራር የበለጠ ዝርዝር መረጃ በ ውስጥ ይገኛል ይህ ጽሑፍ.

ለምንድነው ይህ እቅድ ሦስቱንም የጥሩ የቪፒኤን ኔትወርክ መስፈርቶች የሚያሟላው?

1. የዚህ እቅድ አስተማማኝነት በጊዜ ተፈትኗል. ከ 2000 ጀምሮ የ VPN አውታረ መረቦችን ለማሰማራት ጥቅም ላይ ውሏል.
2. ደህንነቱ የተጠበቀ የተጠቃሚ ማረጋገጫ በPPP ፕሮቶኮል ቀርቧል። በፖል ማከርራስ የተገነባው የPPP ፕሮቶኮል መደበኛ ትግበራ በቂ የሆነ የደህንነት ደረጃ አይሰጥም, ምክንያቱም ለማረጋገጫ፣ በጥሩ ሁኔታ፣ መግቢያ እና የይለፍ ቃል በመጠቀም ማረጋገጫ ጥቅም ላይ ይውላል። የመግቢያ የይለፍ ቃል ሊሰልል፣ ሊገመት ወይም ሊሰረቅ እንደሚችል ሁላችንም እናውቃለን። ሆኖም ግን, ለረጅም ጊዜ አሁን ገንቢው Jan Just Keijser в አተገባበሩን ይህ ፕሮቶኮል ይህንን ችግር አስተካክሎ ለማረጋገጫ እንደ EAP-TLS ባሉ asymmetric ምስጠራ ላይ የተመሰረቱ ፕሮቶኮሎችን የመጠቀም ችሎታን አክሏል። በተጨማሪም, ለማረጋገጫ ስማርት ካርዶችን የመጠቀም ችሎታን ጨምሯል, ይህም ስርዓቱ የበለጠ ደህንነቱ የተጠበቀ እንዲሆን አድርጓል.
   በአሁኑ ጊዜ እነዚህን ሁለት ፕሮጀክቶች ለማዋሃድ ንቁ ድርድር በመካሄድ ላይ ነው እና ፈጥኖም ሆነ ዘግይቶ ይህ ለማንኛውም እንደሚሆን እርግጠኛ መሆን ይችላሉ. ለምሳሌ፣ የተለጠፈ የPPP ስሪት በFedora ማከማቻዎች ውስጥ ለረጅም ጊዜ ቆይቷል፣ ለማረጋገጫ አስተማማኝ ፕሮቶኮሎችን ተጠቅሟል።
3. እስከ ቅርብ ጊዜ ድረስ, ይህ አውታረ መረብ በዊንዶውስ ተጠቃሚዎች ብቻ ጥቅም ላይ ሊውል ይችላል, ነገር ግን የሞስኮ ስቴት ዩኒቨርሲቲ ቫሲሊ ሾኮቭ እና አሌክሳንደር ስሚርኖቭ ባልደረቦቻችን ተገኝተዋል. የድሮ የL2TP ደንበኛ ፕሮጀክት ለሊኑክስ እና አሻሽሎታል. በአንድ ላይ ፣ በደንበኛው ሥራ ውስጥ ብዙ ስህተቶችን እና ድክመቶችን አስተካክለናል ፣ ከምንጩ በሚገነቡበት ጊዜ እንኳን የስርዓቱን ጭነት እና ውቅር ቀለል አድርገናል። ከእነዚህ ውስጥ በጣም ጉልህ የሆኑት የሚከተሉት ናቸው-
   • ከአዲሱ የ openssl እና qt ስሪቶች በይነገጽ ጋር የአሮጌው ደንበኛ ቋሚ የተኳኋኝነት ችግሮች።
   • የማስመሰያ ፒኑን በጊዜያዊ ፋይል ከማሳለፍ ppPD ተወግዷል።
   • በግራፊክ በይነገጽ በኩል የይለፍ ቃል ጥያቄ ፕሮግራሙን በትክክል ማስጀመር። ይህ የተደረገው ለ xl2tpd አገልግሎት ትክክለኛውን አካባቢ በመትከል ነው።
   • የ L2tpIpsecVpn ዴሞን ግንባታ አሁን ከደንበኛው ግንባታ ጋር አብሮ ተከናውኗል፣ ይህም የግንባታ እና የማዋቀር ሂደቱን ቀላል ያደርገዋል።
   • ለዕድገት ቀላልነት የግንባታውን ትክክለኛነት ለመፈተሽ የ Azure Pipelines ስርዓት ተያይዟል.
   • የማውረድ ችሎታ ታክሏል። የደህንነት ደረጃ በ openssl አውድ ውስጥ. ይህ ደረጃውን የጠበቀ የደህንነት ደረጃ ወደ 2 የተቀናበረ አዲስ ስርዓተ ክወናዎችን በትክክል ለመደገፍ ጠቃሚ ነው, የዚህ ደረጃ የደህንነት መስፈርቶችን የማያሟሉ የምስክር ወረቀቶችን ከሚጠቀሙ የ VPN አውታረ መረቦች ጋር. ይህ አማራጭ ከነባር የ VPN አውታረ መረቦች ጋር አብሮ ለመስራት ጠቃሚ ይሆናል።

የተስተካከለው እትም በ ውስጥ ይገኛል። ይህ ማከማቻ.

ይህ ደንበኛ ስማርት ካርዶችን ለማረጋገጫ መጠቀምን ይደግፋል እንዲሁም በተቻለ መጠን ይህንን እቅድ በሊኑክስ ስር ለማዋቀር ሁሉንም ችግሮች እና ችግሮች ይደብቃል ፣ ይህም ደንበኛን ማዋቀር በተቻለ መጠን ቀላል እና ፈጣን ያደርገዋል።

በእርግጥ በፒ.ፒ.ፒ. እና በደንበኛው GUI መካከል ለሚኖረው ምቹ ግንኙነት ለእያንዳንዱ ፕሮጄክቶች ተጨማሪ አርትዖቶች ሳይደረግላቸው የሚቻል አልነበረም፣ ነገር ግን እነሱ ቀንሰዋል እና በትንሹ ተቀንሰዋል፡

• ተስተካክሏል የማስመሰያ ፒን ኮድን ከPPP ወደ openssl አውድ በስህተት የማስተላለፍ ስህተት
• ተስተካክሏል አወቃቀሩን የመጫን እና openssl አውድ በማስጀመር ላይ ስህተት. ይህ ስህተት ከስማርት ካርዶች ጋር ለመስራት ስለ openssl ሞተሮች መረጃ ካልሆነ በስተቀር ከአካባቢው /etc/ppp/openssl.cnf ውቅር ፋይል ምንም ነገር እንድንጭን አልፈቀደልንም ፣ይህም ከባድ ችግር ነበር ፣ለምሳሌ ስለ ሞተሮች መረጃ በተጨማሪ ፣ ሌላ ነገር ማዘጋጀት እንፈልጋለን. ለምሳሌ፣ ግንኙነት ሲፈጥሩ የደህንነት ደረጃውን ያስተካክሉ።

አሁን ማዋቀር መጀመር ይችላሉ።

የአገልጋይ ማስተካከያ

ሁሉንም አስፈላጊ ፓኬጆችን እንጫን.

ኃይለኛስዋን (IPsec) በመጫን ላይ

በመጀመሪያ ደረጃ, ፋየርዎልን ለ ipsec አሠራር እናዋቅር

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

ከዚያ መጫኑን እንጀምር

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

ከተጫነ በኋላ strongswan (ከአይፒኤስሴክ አተገባበር ውስጥ አንዱ) ማዋቀር ያስፈልግዎታል። ይህንን ለማድረግ ፋይሉን ያርትዑ /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

እንዲሁም የጋራ መግቢያ ይለፍ ቃል እናዘጋጃለን። ለማረጋገጫ የተጋራው ይለፍ ቃል ለሁሉም የአውታረ መረብ ተሳታፊዎች መታወቅ አለበት። ይህ ዘዴ በግልጽ የማይታመን ነው, ምክንያቱም ይህ የይለፍ ቃል በቀላሉ ወደ አውታረ መረቡ መዳረሻ መስጠት ለማንፈልጋቸው ግለሰቦች በቀላሉ ሊታወቅ ይችላል።
ሆኖም, ይህ እውነታ እንኳን የኔትወርክን ደህንነት አይጎዳውም, ምክንያቱም መሰረታዊ የመረጃ ምስጠራ እና የተጠቃሚ ማረጋገጫ የሚከናወነው በፒፒፒ ፕሮቶኮል ነው። ነገር ግን በፍትሃዊነት ፣ ጠንካራውስዋን ለማረጋገጫ የበለጠ አስተማማኝ ቴክኖሎጂዎችን እንደሚደግፍ ልብ ሊባል ይገባል ፣ ለምሳሌ ፣ የግል ቁልፎችን በመጠቀም። ስትሮንግስዋን ስማርት ካርዶችን በመጠቀም ማረጋገጫ የመስጠት ችሎታ አለው፣ ነገር ግን እስካሁን ድረስ የተወሰኑ መሳሪያዎች ብቻ ይደገፋሉ እና ስለዚህ Rutoken ቶከን እና ስማርት ካርዶችን በመጠቀም ማረጋገጥ አሁንም አስቸጋሪ ነው። አጠቃላይ የይለፍ ቃል በፋይል እናዘጋጅ /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

ብርቱስዋንን እንደገና እንጀምር፡-

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tp በመጫን ላይ

sudo dnf install xl2tpd

በፋይል እናዋቅረው /ወዘተ/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

አገልግሎቱን እንደገና እንጀምር፡-

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

ፒፒፒ ማዋቀር

የቅርብ ጊዜውን የpppd ስሪት መጫን ተገቢ ነው። ይህንን ለማድረግ የሚከተሉትን የትዕዛዝ ቅደም ተከተል ያስፈጽሙ

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

ወደ ፋይል ይፃፉ /etc/ppp/options.xl2tpd የሚከተሉት (እዚያ ማንኛውም እሴቶች ካሉ እነሱን መሰረዝ ይችላሉ)

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

የስር ሰርተፍኬት እና የአገልጋይ ሰርተፍኬት እንሰጣለን፡-

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

ስለዚህ, በመሠረታዊ የአገልጋይ ማዋቀር ጨርሰናል. የተቀረው የአገልጋይ ውቅር አዳዲስ ደንበኞችን ማከልን ያካትታል።

አዲስ ደንበኛ በማከል ላይ

አዲስ ደንበኛን ወደ አውታረ መረቡ ለማከል የምስክር ወረቀቱን ለዚህ ደንበኛ የታመኑ ሰዎች ዝርዝር ውስጥ ማከል አለብዎት።

አንድ ተጠቃሚ የቪፒኤን ኔትወርክ አባል መሆን ከፈለገ ለዚህ ደንበኛ የቁልፍ ጥንድ እና የምስክር ወረቀት መተግበሪያ ይፈጥራል። ተጠቃሚው የሚታመን ከሆነ ይህ መተግበሪያ ሊፈረም ይችላል፣ እና የውጤቱ የምስክር ወረቀት ወደ የምስክር ወረቀቶች ማውጫ ሊፃፍ ይችላል፡-

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

ከደንበኛው ስም እና የምስክር ወረቀቱ ጋር የሚዛመድ መስመር ወደ /etc/ppp/eaptls-server ፋይል እንጨምር፡-

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

ማስታወሻ
ግራ መጋባትን ለማስወገድ፡ የጋራ ስም፣ የምስክር ወረቀት ፋይል ስም እና የተጠቃሚ ስም ልዩ ቢሆኑ የተሻለ ነው።

እኛ የምንጨምረው የተጠቃሚ ስም በሌሎች የማረጋገጫ ፋይሎች ውስጥ የትም እንደማይታይ ማረጋገጥ ተገቢ ነው፣ ይህ ካልሆነ ግን ተጠቃሚው የተረጋገጠበት መንገድ ላይ ችግሮች ሊኖሩ ይችላሉ።

ተመሳሳዩ የምስክር ወረቀት ለተጠቃሚው መላክ አለበት።

የቁልፍ ጥንድ እና የምስክር ወረቀት በማመንጨት ላይ

ለተሳካ ማረጋገጫ ደንበኛው የሚከተሉትን ማድረግ አለበት:

1. የቁልፍ ጥንድ ማመንጨት;
2. የ CA ስርወ ሰርቲፊኬት አላቸው;
3. ለቁልፍ ጥንድህ በስር CA የተፈረመ የምስክር ወረቀት አለህ።

በሊኑክስ ላይ ለደንበኛ

በመጀመሪያ፣ በቶክ ላይ ቁልፍ ጥንድ እንፍጠር እና ለእውቅና ማረጋገጫው ማመልከቻ እንፍጠር፡-

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

የሚታየውን የ client.req መተግበሪያ ወደ CA ይላኩ። አንዴ ለቁልፍ ጥንድዎ የምስክር ወረቀት ከተቀበሉ፣ ከቁልፉ ጋር አንድ አይነት መታወቂያ ወዳለው ማስመሰያ ይፃፉ፡

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

ለዊንዶውስ እና ሊኑክስ ደንበኞች (የበለጠ ሁለንተናዊ ዘዴ)

ይህ ዘዴ የበለጠ ዓለም አቀፋዊ ነው, ምክንያቱም በዊንዶውስ እና ሊኑክስ ተጠቃሚዎች በተሳካ ሁኔታ የሚታወቅ ቁልፍ እና የምስክር ወረቀት እንዲያመነጩ ይፈቅድልዎታል ፣ ግን ቁልፍ የማመንጨት ሂደቱን ለማከናወን የዊንዶው ማሽን ይፈልጋል ።

ጥያቄዎችን ከማመንጨት እና የምስክር ወረቀቶችን ከማስመጣትዎ በፊት የቪፒኤን አውታረ መረብ ስርወ ሰርተፍኬት ወደ የታመኑ ሰዎች ዝርዝር ውስጥ ማከል አለብዎት። ይህንን ለማድረግ ይክፈቱት እና በሚከፈተው መስኮት ውስጥ "የእውቅና ማረጋገጫ ጫን" የሚለውን አማራጭ ይምረጡ:

በሚከፈተው መስኮት ውስጥ ለአካባቢው ተጠቃሚ የምስክር ወረቀት መጫንን ይምረጡ፡-

የምስክር ወረቀቱን በCA ታማኝ ስርወ ሰርተፍኬት መደብር ውስጥ እንጭነው፡-

ከነዚህ ሁሉ ድርጊቶች በኋላ, በሁሉም ተጨማሪ ነጥቦች እንስማማለን. ስርዓቱ አሁን ተዋቅሯል።

ከሚከተለው ይዘት ጋር አንድ ፋይል cert.tmp እንፍጠር፡-

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

ከዚህ በኋላ, የቁልፍ ጥንድ እንፈጥራለን እና ለሰርቲፊኬቱ ማመልከቻ እንፈጥራለን. ይህንን ለማድረግ የኃይል ሼልን ይክፈቱ እና የሚከተለውን ትዕዛዝ ያስገቡ:

certreq.exe -new -pin $PIN .cert.tmp .client.req

የተፈጠረውን መተግበሪያ client.req ወደ የእርስዎ CA ይላኩ እና የደንበኛው.pem ሰርተፍኬት እስኪደርሰው ይጠብቁ። ወደ ማስመሰያ ሊፃፍ እና የሚከተለውን ትዕዛዝ በመጠቀም ወደ ዊንዶውስ ሰርተፊኬት መደብር መጨመር ይቻላል፡

certreq.exe -accept .client.pem

ተመሳሳይ ድርጊቶች የ mmc ፕሮግራምን ግራፊክ በይነገጽ በመጠቀም እንደገና ሊባዙ እንደሚችሉ ልብ ሊባል የሚገባው ነው, ነገር ግን ይህ ዘዴ ብዙ ጊዜ የሚወስድ እና በፕሮግራም ሊሰራ የማይችል ነው.

የኡቡንቱ ደንበኛን በማዋቀር ላይ

ማስታወሻ
በሊኑክስ ላይ ደንበኛን ማዋቀር በአሁኑ ጊዜ ብዙ ጊዜ የሚወስድ ነው፣ ምክንያቱም... ከምንጩ የተለዩ ፕሮግራሞችን መገንባት ይጠይቃል። በቅርብ ጊዜ ውስጥ ሁሉም ለውጦች በኦፊሴላዊው ማከማቻዎች ውስጥ መካተታቸውን ለማረጋገጥ እንሞክራለን።

በ IPSec ደረጃ ከአገልጋዩ ጋር ያለውን ግንኙነት ለማረጋገጥ የstrongswan ጥቅል እና የ xl2tp ዴሞን ጥቅም ላይ ይውላሉ። ስማርት ካርዶችን በመጠቀም ከአውታረ መረቡ ጋር መገናኘትን ለማቃለል፣ ለቀላል ግንኙነት ማዋቀር ግራፊክ ሼል የሚሰጠውን l2tp-ipsec-vpn ጥቅልን እንጠቀማለን።

ንጥረ ነገሮቹን ደረጃ በደረጃ መሰብሰብ እንጀምር ፣ ግን ከዚያ በፊት ቪፒኤን በቀጥታ እንዲሰራ ሁሉንም አስፈላጊ ፓኬጆችን እንጭናለን-

sudo apt-get install xl2tpd strongswan libp11-3

ከቶከኖች ጋር ለመስራት ሶፍትዌር መጫን

የቅርብ ጊዜውን lirtpkcs11ecp.so ላይብረሪ ከ. ጫን ጣቢያእንዲሁም ከስማርት ካርዶች ጋር ለመስራት ቤተ-መጻሕፍት፡-

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Rutokenን ያገናኙ እና በስርዓቱ የሚታወቅ መሆኑን ያረጋግጡ፡

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

የታሸገ ፒፒን በመጫን ላይ

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

የL2tpIpscVpn ደንበኛን በመጫን ላይ

በአሁኑ ጊዜ ደንበኛው እንዲሁ ከምንጩ ኮድ ማጠናቀር አለበት። ይህ የሚከናወነው የሚከተሉትን የትዕዛዝ ቅደም ተከተል በመጠቀም ነው።

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

የL2tpIpsecVpn ደንበኛን በማዋቀር ላይ

የተጫነውን ደንበኛ አስጀምር፡-

ከተጀመረ በኋላ የL2tpIpscVPN አፕሌት መከፈት አለበት። በእሱ ላይ በቀኝ ጠቅ ያድርጉ እና ግንኙነቱን ያዋቅሩ:

ከቶከኖች ጋር ለመስራት በመጀመሪያ፣ ወደ OpenSSL ሞተር እና የPKCS#11 ቤተ-መጽሐፍት ወደ opensc ሞተር የሚወስደውን መንገድ እናሳያለን። ይህንን ለማድረግ openssl መለኪያዎችን ለማዋቀር የ"ምርጫዎች" ትርን ይክፈቱ።

.

የ OpenSSL ቅንብሮችን መስኮት እንዘጋው እና ወደ አውታረ መረቡ ማዋቀር እንቀጥል። በቅንብሮች ፓነል ውስጥ ያለውን አክል... የሚለውን ቁልፍ በመጫን አዲስ አውታረ መረብ እንጨምር እና የአውታረ መረብ ስም ያስገቡ፡-

ከዚህ በኋላ ይህ አውታረ መረብ በቅንብሮች ፓነል ውስጥ የሚገኝ ይሆናል። አዲሱን አውታረ መረብ ለማዋቀር በቀኝ ሁለቴ ጠቅ ያድርጉ። በመጀመሪያው ትር ላይ የ IPsec ቅንብሮችን ማድረግ ያስፈልግዎታል. የአገልጋዩን አድራሻ እና የህዝብ ቁልፉን እናዘጋጅ፡-

ከዚህ በኋላ ወደ ፒፒፒ ቅንጅቶች ትር ይሂዱ እና እዚያ አውታረ መረቡን ማግኘት የምንፈልገውን የተጠቃሚ ስም ያመልክቱ።

ከዚህ በኋላ የባህሪዎች ትርን ይክፈቱ እና ወደ ቁልፉ ፣ የደንበኛ የምስክር ወረቀት እና CA የሚወስደውን መንገድ ይጥቀሱ።

ይህንን ትር ዘግተን የመጨረሻውን መቼት እናከናውን፤ ይህንን ለማድረግ “IP settings” የሚለውን ትር ይክፈቱ እና “የዲ ኤን ኤስ አገልጋይ አድራሻን በራስ ሰር ያግኙ” ከሚለው አማራጭ ቀጥሎ ባለው ሳጥን ላይ ምልክት ያድርጉ።

ይህ አማራጭ ደንበኛው በአውታረ መረቡ ውስጥ ከአገልጋዩ የግል አይፒ አድራሻ እንዲቀበል ያስችለዋል።

ከሁሉም ቅንጅቶች በኋላ ሁሉንም ትሮችን ይዝጉ እና ደንበኛውን እንደገና ያስጀምሩ:

ከአውታረ መረቡ ጋር በመገናኘት ላይ

ከቅንብሮች በኋላ, ከአውታረ መረቡ ጋር መገናኘት ይችላሉ. ይህንን ለማድረግ የአፕሌት ትርን ይክፈቱ እና የምንገናኝበትን አውታረ መረብ ይምረጡ።

በግንኙነት ማቋቋሚያ ሂደት ወቅት ደንበኛው የ Rutoken ፒን ኮድ እንድናስገባ ይጠይቀናል፡-

ግንኙነቱ በተሳካ ሁኔታ መቋቋሙን በሁኔታ አሞሌው ላይ ማሳወቂያ ከታየ፣ ማዋቀሩ የተሳካ ነበር ማለት ነው፡-

አለበለዚያ ግንኙነቱ ለምን እንዳልተመሰረተ ማወቅ ጠቃሚ ነው. ይህንን ለማድረግ በአፕሌት ውስጥ "የግንኙነት መረጃ" ትዕዛዝን በመምረጥ የፕሮግራሙን ምዝግብ ማስታወሻ መመልከት አለብዎት.

የዊንዶውስ ደንበኛን ማዋቀር

ደንበኛን በዊንዶውስ ላይ ማዋቀር ከሊኑክስ የበለጠ ቀላል ነው፣ ምክንያቱም... ሁሉም አስፈላጊ ሶፍትዌሮች ቀድሞውኑ በስርዓቱ ውስጥ ተገንብተዋል.

የስርዓት ቅንብር

ከ Rutokens ጋር ለመስራት ሁሉንም አስፈላጊ አሽከርካሪዎች በማውረድ እንጭነዋለን የ. ጣቢያ.

ለማረጋገጫ ስርወ ሰርተፍኬት በማስመጣት ላይ

የአገልጋይ ስርወ ሰርተፍኬት ያውርዱ እና በስርዓቱ ላይ ይጫኑት። ይህንን ለማድረግ ይክፈቱት እና በሚከፈተው መስኮት ውስጥ "የእውቅና ማረጋገጫ ጫን" የሚለውን አማራጭ ይምረጡ:

በሚከፈተው መስኮት ውስጥ ለአካባቢው ተጠቃሚ የምስክር ወረቀት መጫንን ይምረጡ. የምስክር ወረቀቱ በኮምፒዩተር ላይ ላሉ ሁሉም ተጠቃሚዎች እንዲገኝ ከፈለጉ፣ የምስክር ወረቀቱን በአካባቢያዊ ኮምፒዩተር ላይ ለመጫን መምረጥ አለብዎት።

የምስክር ወረቀቱን በCA ታማኝ ስርወ ሰርተፍኬት መደብር ውስጥ እንጭነው፡-

ከነዚህ ሁሉ ድርጊቶች በኋላ, በሁሉም ተጨማሪ ነጥቦች እንስማማለን. ስርዓቱ አሁን ተዋቅሯል።

የቪፒኤን ግንኙነት በማዘጋጀት ላይ

የቪፒኤን ግንኙነት ለማዘጋጀት ወደ የቁጥጥር ፓነል ይሂዱ እና አዲስ ግንኙነት ለመፍጠር አማራጩን ይምረጡ።

በብቅ ባዩ መስኮት ውስጥ ከስራ ቦታዎ ጋር ለመገናኘት ግንኙነት ለመፍጠር አማራጩን ይምረጡ፡-

በሚቀጥለው መስኮት የቪፒኤን ግንኙነትን ይምረጡ፡-

እና የቪፒኤን ግንኙነት ዝርዝሮችን ያስገቡ እና እንዲሁም ስማርት ካርድ ለመጠቀም አማራጩን ይጥቀሱ፡

ማዋቀሩ ገና አልተጠናቀቀም። የቀረው ለ IPsec ፕሮቶኮል የተጋራውን ቁልፍ መግለጽ ብቻ ነው ፣ ይህንን ለማድረግ ወደ “Network Connection settings” ትር ይሂዱ እና ከዚያ ወደ “ባሕሪዎች ለዚህ ግንኙነት” ትር ይሂዱ ።

በሚከፈተው መስኮት ውስጥ ወደ “ደህንነት” ትር ይሂዱ ፣ “L2TP/IPsec Network” እንደ አውታረ መረብ አይነት ይግለጹ እና “የላቁ ቅንብሮች” ን ይምረጡ።

በሚከፈተው መስኮት ውስጥ የተጋራውን IPsec ቁልፍ ይጥቀሱ፡

Подключение

ማዋቀሩን ከጨረሱ በኋላ ከአውታረ መረቡ ጋር ለመገናኘት መሞከር ይችላሉ-

በግንኙነቱ ሂደት ወቅት የማስመሰያ ፒን ኮድ ማስገባት አለብን፡-

ደህንነቱ የተጠበቀ የቪፒኤን ኔትወርክ አቋቁመን አስቸጋሪ እንዳልሆነ አረጋግጠናል።

ምስጋናዎች

ለሊኑክስ ደንበኞች የ VPN ግንኙነቶችን ለመፍጠር አብረው ለሰሩት የስራ ባልደረቦቻችን ቫሲሊ ሾኮቭ እና አሌክሳንደር ስሚርኖቭን በድጋሚ ላመሰግናቸው እወዳለሁ።

ምንጭ: hab.com