مشاكل
في الآونة الأخيرة، لم يعرف الكثيرون كيف يعني العمل من المنزل. لقد غيّر الوباء الوضع في العالم بشكل كبير، وبدأ الجميع في التكيف مع الظروف الحالية، وبالتحديد مع حقيقة أن مغادرة المنزل أصبحت ببساطة غير آمنة. واضطر الكثيرون إلى تنظيم العمل من المنزل بسرعة لموظفيهم.
ومع ذلك، فإن الافتقار إلى نهج مختص لاختيار حلول العمل عن بعد يمكن أن يؤدي إلى خسائر لا رجعة فيها. يمكن سرقة كلمات مرور المستخدم، وهذا سيسمح للمهاجم بالاتصال بشكل لا يمكن السيطرة عليه بالشبكة وموارد تكنولوجيا المعلومات الخاصة بالمؤسسة.
ولهذا السبب تزايدت الآن الحاجة إلى إنشاء شبكات VPN موثوقة للشركات. سأخبرك عنه موثوق, آمنة и بسيط في استخدام شبكة VPN.
وهو يعمل وفقًا لنظام IPsec/L2TP، الذي يستخدم مفاتيح وشهادات غير قابلة للاسترداد مخزنة على الرموز المميزة لمصادقة العملاء، وينقل أيضًا البيانات عبر الشبكة في شكل مشفر.
تم استخدام خادم يعمل بنظام التشغيل CentOS 7 (العنوان: Centos.vpn.server.ad) وعميل يعمل بنظام Ubuntu 20.04، بالإضافة إلى عميل يعمل بنظام التشغيل Windows 10، كنماذج توضيحية للتكوين.
وصف النظام
ستعمل شبكة VPN وفقًا لنظام IPSec + L2TP + PPP. بروتوكول بروتوكول نقطة إلى نقطة (PPP) تعمل في طبقة ارتباط البيانات لنموذج OSI وتوفر مصادقة المستخدم وتشفير البيانات المرسلة. يتم تغليف بياناته في بيانات بروتوكول L2TP، والذي يضمن في الواقع إنشاء اتصال في شبكة VPN، ولكنه لا يوفر المصادقة والتشفير.
يتم تغليف بيانات L2TP في IPSec، الذي يوفر أيضًا المصادقة والتشفير، ولكن على عكس PPP، تحدث المصادقة والتشفير على مستوى الجهاز، وليس على مستوى المستخدم.
تتيح لك هذه الميزة مصادقة المستخدمين من أجهزة معينة فقط. سوف نستخدم بروتوكول IPSec كما هو ونسمح بمصادقة المستخدم من أي جهاز.
سيتم إجراء مصادقة المستخدم باستخدام البطاقات الذكية على مستوى بروتوكول PPP باستخدام بروتوكول EAP-TLS.
يمكن العثور على مزيد من المعلومات التفصيلية حول تشغيل هذه الدائرة في .
لماذا يلبي هذا المخطط المتطلبات الثلاثة لشبكة VPN جيدة؟
- تم اختبار موثوقية هذا المخطط بمرور الوقت. وقد تم استخدامه لنشر شبكات VPN منذ عام 2000.
- يتم توفير مصادقة المستخدم الآمنة من خلال بروتوكول PPP. لا يوفر مستوى كاف من الأمان، لأن للمصادقة، في أفضل الأحوال، يتم استخدام المصادقة باستخدام تسجيل الدخول وكلمة المرور. نعلم جميعًا أنه يمكن التجسس على كلمة مرور تسجيل الدخول أو تخمينها أو سرقتها. ومع ذلك، لفترة طويلة الآن المطور в قام هذا البروتوكول بتصحيح هذه المشكلة وإضافة القدرة على استخدام البروتوكولات المستندة إلى التشفير غير المتماثل، مثل EAP-TLS، للمصادقة. بالإضافة إلى ذلك، أضاف إمكانية استخدام البطاقات الذكية للمصادقة، مما جعل النظام أكثر أمانًا.
تجري حاليًا مفاوضات نشطة لدمج هذين المشروعين ويمكنك التأكد من أن هذا سيحدث عاجلاً أم آجلاً على أي حال. على سبيل المثال، كانت هناك نسخة مصححة من PPP في مستودعات Fedora لفترة طويلة، باستخدام بروتوكولات آمنة للمصادقة. - حتى وقت قريب، لم يكن من الممكن استخدام هذه الشبكة إلا من قبل مستخدمي Windows، لكن زملاءنا من جامعة موسكو الحكومية فاسيلي شوكوف وألكسندر سميرنوف وجدوا وتعديله. قمنا معًا بإصلاح العديد من الأخطاء وأوجه القصور في عمل العميل، وقمنا بتبسيط عملية تثبيت النظام وتكوينه، حتى عند البناء من المصدر. وأهمها هي:
- تم إصلاح مشاكل التوافق الخاصة بالعميل القديم مع واجهة الإصدارات الجديدة من opensl وqt.
- تمت إزالة pppd من تمرير رمز PIN المميز من خلال ملف مؤقت.
- تم إصلاح التشغيل غير الصحيح لبرنامج طلب كلمة المرور من خلال الواجهة الرسومية. تم ذلك عن طريق تثبيت البيئة الصحيحة لخدمة xl2tpd.
- يتم الآن تنفيذ إنشاء البرنامج الخفي L2tpIpsecVpn مع إنشاء العميل نفسه، مما يبسط عملية الإنشاء والتكوين.
- لسهولة التطوير، تم توصيل نظام Azure Pipelines لاختبار صحة البنية.
- تمت إضافة القدرة على فرض الرجوع إلى إصدار أقدم في سياق opensl. يعد هذا مفيدًا لدعم أنظمة التشغيل الجديدة بشكل صحيح حيث يتم تعيين مستوى الأمان القياسي على 2، مع شبكات VPN التي تستخدم شهادات لا تفي بمتطلبات الأمان لهذا المستوى. سيكون هذا الخيار مفيدًا للعمل مع شبكات VPN القديمة الموجودة.
يمكن العثور على النسخة المصححة في .
يدعم هذا العميل استخدام البطاقات الذكية للمصادقة، كما أنه يخفي قدر الإمكان جميع الصعوبات والمصاعب المرتبطة بإعداد هذا المخطط في نظام التشغيل Linux، مما يجعل إعداد العميل بسيطًا وسريعًا قدر الإمكان.
بالطبع، للحصول على اتصال مناسب بين PPP وواجهة المستخدم الرسومية للعميل، لم يكن من الممكن بدون تعديلات إضافية على كل مشروع، ولكن مع ذلك تم تصغيرها وتقليلها إلى الحد الأدنى:
- مُثَبَّت
- مُثَبَّت . لم يسمح لنا هذا الخطأ بتحميل أي شيء من ملف التكوين /etc/ppp/openssl.cnf المحلي باستثناء المعلومات حول محركات openssl للعمل مع البطاقات الذكية، الأمر الذي كان يمثل إزعاجًا خطيرًا إذا، على سبيل المثال، بالإضافة إلى معلومات حول المحركات، أردنا تعيين شيء آخر. على سبيل المثال، قم بإصلاح مستوى الأمان عند إنشاء اتصال.
الآن يمكنك البدء في الإعداد.
ضبط الخادم
لنقم بتثبيت جميع الحزم الضرورية.
تثبيت البجعة القوية (IPsec)
أولاً، لنقم بتكوين جدار الحماية لتشغيل IPSEC
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reloadثم لنبدأ التثبيت
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswanبعد التثبيت، تحتاج إلى تكوين strongswan (أحد تطبيقات IPSec). للقيام بذلك، قم بتحرير الملف /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024سنقوم أيضًا بتعيين كلمة مرور تسجيل دخول مشتركة. يجب أن تكون كلمة المرور المشتركة معروفة لجميع المشاركين في الشبكة للمصادقة. من الواضح أن هذه الطريقة غير موثوقة، لأنها يمكن أن تصبح كلمة المرور هذه معروفة بسهولة للأفراد الذين لا نريد أن نوفر لهم إمكانية الوصول إلى الشبكة.
ومع ذلك، حتى هذه الحقيقة لن تؤثر على أمن الشبكة، لأن يتم تنفيذ التشفير الأساسي للبيانات ومصادقة المستخدم بواسطة بروتوكول PPP. ولكن في الإنصاف، تجدر الإشارة إلى أن Strongswan يدعم تقنيات المصادقة الأكثر أمانا، على سبيل المثال، باستخدام المفاتيح الخاصة. تتمتع Strongswan أيضًا بالقدرة على توفير المصادقة باستخدام البطاقات الذكية، ولكن حتى الآن لا يتم دعم سوى مجموعة محدودة من الأجهزة، وبالتالي لا تزال المصادقة باستخدام رموز Rutoken والبطاقات الذكية صعبة. لنقم بتعيين كلمة مرور عامة عبر الملف /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"دعونا نعيد تشغيل البجعة القوية:
sudo systemctl enable strongswan
sudo systemctl restart strongswanتثبيت xl2tp
sudo dnf install xl2tpdلنقم بتكوينه عبر الملف /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.adلنعد تشغيل الخدمة:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpdإعداد الشراكة بين القطاعين العام والخاص
يُنصح بتثبيت أحدث إصدار من pppd. للقيام بذلك، قم بتنفيذ التسلسل التالي من الأوامر:
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installالكتابة إلى الملف /etc/ppp/options.xl2tpd ما يلي (إذا كان هناك أي قيم هناك، يمكنك حذفها):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000نقوم بإصدار شهادة الجذر وشهادة الخادم:
#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/
#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserialوبذلك نكون قد انتهينا من إعداد الخادم الأساسي. تتضمن بقية تكوين الخادم إضافة عملاء جدد.
إضافة عميل جديد
لإضافة عميل جديد إلى الشبكة، يجب عليك إضافة شهادته إلى قائمة العملاء الموثوق بهم لهذا العميل.
إذا أراد المستخدم أن يصبح عضوًا في شبكة VPN، فإنه يقوم بإنشاء زوج مفاتيح وتطبيق شهادة لهذا العميل. إذا كان المستخدم موثوقًا به، فيمكن توقيع هذا التطبيق، ويمكن كتابة الشهادة الناتجة في دليل الشهادات:
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserialلنقم بإضافة سطر إلى الملف /etc/ppp/eaptls-server لمطابقة اسم العميل وشهادته:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *ملحوظة
لتجنب الارتباك، من الأفضل أن يكون الاسم الشائع واسم ملف الشهادة واسم المستخدم فريدين.
ومن الجدير أيضًا التحقق من أن اسم المستخدم الذي نضيفه لا يظهر في أي مكان في ملفات المصادقة الأخرى، وإلا ستكون هناك مشاكل في طريقة مصادقة المستخدم.
ويجب إعادة نفس الشهادة إلى المستخدم.
إنشاء زوج المفاتيح والشهادة
للمصادقة الناجحة، يجب على العميل:
- إنشاء زوج مفاتيح؛
- لديك شهادة جذر CA؛
- لديك شهادة لزوج المفاتيح الخاص بك موقعة من المرجع المصدق الجذر.
للعميل على لينكس
أولاً، لنقم بإنشاء زوج مفاتيح على الرمز المميز وإنشاء تطبيق للشهادة:
#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"أرسل تطبيق Client.req الذي يظهر إلى المرجع المصدق (CA). بمجرد حصولك على شهادة لزوج المفاتيح الخاص بك، اكتبها على رمز مميز يحمل نفس معرف المفتاح:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45لعملاء Windows وLinux (طريقة أكثر عالمية)
هذه الطريقة أكثر عالمية لأنها يسمح لك بإنشاء مفتاح وشهادة سيتم التعرف عليهما بنجاح بواسطة مستخدمي Windows وLinux، ولكنه يتطلب جهازًا يعمل بنظام Windows لتنفيذ إجراء إنشاء المفتاح.
قبل إنشاء الطلبات واستيراد الشهادات، يجب عليك إضافة الشهادة الجذرية لشبكة VPN إلى قائمة الشهادات الموثوقة. للقيام بذلك، افتحه وفي النافذة التي تفتح، حدد خيار "تثبيت الشهادة":
في النافذة التي تفتح، حدد تثبيت شهادة للمستخدم المحلي:
لنقم بتثبيت الشهادة في مخزن الشهادات الجذر الموثوق به في CA:
وبعد كل هذه الإجراءات، نتفق مع جميع النقاط الأخرى. تم تكوين النظام الآن.
لنقم بإنشاء ملف cert.tmp بالمحتوى التالي:
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSEبعد ذلك، سنقوم بإنشاء زوج مفاتيح وإنشاء تطبيق للشهادة. للقيام بذلك، افتح بوويرشيل وأدخل الأمر التالي:
certreq.exe -new -pin $PIN .cert.tmp .client.reqأرسل التطبيق الذي تم إنشاؤه Client.req إلى المرجع المصدق الخاص بك وانتظر حتى يتم استلام شهادة Client.pem. يمكن كتابته إلى رمز مميز وإضافته إلى مخزن شهادات Windows باستخدام الأمر التالي:
certreq.exe -accept .client.pemتجدر الإشارة إلى أنه يمكن إعادة إنتاج إجراءات مماثلة باستخدام الواجهة الرسومية لبرنامج MMC، ولكن هذه الطريقة تستغرق وقتًا أطول وأقل قابلية للبرمجة.
إعداد عميل أوبونتو
ملحوظة
يستغرق إعداد عميل على Linux وقتًا طويلاً حاليًا، لأن... يتطلب بناء برامج منفصلة عن المصدر. سنحاول التأكد من تضمين جميع التغييرات في المستودعات الرسمية في المستقبل القريب.
لضمان الاتصال على مستوى IPSec بالخادم، يتم استخدام حزمة strongswan والبرنامج الخفي xl2tp. لتبسيط الاتصال بالشبكة باستخدام البطاقات الذكية، سنستخدم حزمة l2tp-ipsec-vpn، التي توفر غلافًا رسوميًا لإعداد اتصال مبسط.
لنبدأ بتجميع العناصر خطوة بخطوة، ولكن قبل ذلك سنقوم بتثبيت جميع الحزم اللازمة لكي تعمل VPN مباشرة:
sudo apt-get install xl2tpd strongswan libp11-3تثبيت البرنامج للعمل مع الرموز
قم بتثبيت أحدث مكتبة librtpkcs11ecp.so من وكذلك مكتبات العمل بالبطاقات الذكية:
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-opensslقم بتوصيل Rutoken وتأكد من تعرف النظام عليه:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -lتثبيت ppp مصححة
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installتثبيت عميل L2tpIpsecVpn
في الوقت الحالي، يحتاج العميل أيضًا إلى التجميع من كود المصدر. ويتم ذلك باستخدام تسلسل الأوامر التالي:
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make installإعداد عميل L2tpIpsecVpn
قم بتشغيل العميل المثبت:
بعد الإطلاق، يجب أن يتم فتح برنامج L2tpIpsecVPN. انقر بزر الماوس الأيمن عليه وقم بتكوين الاتصال:
للعمل مع الرموز المميزة، أولا وقبل كل شيء، نشير إلى المسار إلى محرك opensc لمحرك OpenSSL ومكتبة PKCS#11. للقيام بذلك، افتح علامة التبويب "التفضيلات" لتكوين معلمات openssl:
.
دعنا نغلق نافذة إعدادات OpenSSL وننتقل إلى إعداد الشبكة. لنقم بإضافة شبكة جديدة من خلال النقر على الزر "إضافة..." في لوحة الإعدادات وإدخال اسم الشبكة:
بعد ذلك، ستصبح هذه الشبكة متاحة في لوحة الإعدادات. انقر نقرًا مزدوجًا بزر الماوس الأيمن على الشبكة الجديدة لتكوينها. في علامة التبويب الأولى، تحتاج إلى إجراء إعدادات IPsec. لنقم بتعيين عنوان الخادم والمفتاح العام:
بعد ذلك، انتقل إلى علامة التبويب إعدادات PPP وأشر هناك إلى اسم المستخدم الذي نريد الوصول إلى الشبكة من خلاله:
بعد ذلك، افتح علامة التبويب "خصائص" وحدد المسار إلى المفتاح وشهادة العميل والمرجع المصدق (CA):
دعونا نغلق علامة التبويب هذه ونجري الإعدادات النهائية؛ للقيام بذلك، افتح علامة التبويب "إعدادات IP" وحدد المربع بجوار خيار "الحصول على عنوان خادم DNS تلقائيًا":
سيسمح هذا الخيار للعميل بتلقي عنوان IP شخصي داخل الشبكة من الخادم.
بعد الانتهاء من كافة الإعدادات، أغلق جميع علامات التبويب وأعد تشغيل العميل:
الاتصال بالشبكة
بعد الإعدادات، يمكنك الاتصال بالشبكة. للقيام بذلك، افتح علامة تبويب التطبيق الصغير وحدد الشبكة التي نريد الاتصال بها:
أثناء عملية إنشاء الاتصال، سيطلب منا العميل إدخال رمز Rutoken PIN:
إذا ظهر إشعار في شريط الحالة يفيد بأنه تم إنشاء الاتصال بنجاح، فهذا يعني أن الإعداد كان ناجحًا:
خلاف ذلك، فمن المفيد معرفة سبب عدم إنشاء الاتصال. للقيام بذلك، يجب عليك إلقاء نظرة على سجل البرنامج عن طريق تحديد أمر "معلومات الاتصال" في التطبيق الصغير:
إعداد عميل Windows
يعد إعداد العميل على Windows أسهل بكثير من إعداده على Linux، لأن... جميع البرامج الضرورية مدمجة بالفعل في النظام.
إعداد النظام
سنقوم بتثبيت جميع برامج التشغيل اللازمة للعمل مع Rutokens عن طريق تنزيلها من .
استيراد شهادة الجذر للمصادقة
قم بتنزيل شهادة جذر الخادم وتثبيتها على النظام. للقيام بذلك، افتحه وفي النافذة التي تفتح، حدد خيار "تثبيت الشهادة":
في النافذة التي تفتح، حدد تثبيت شهادة للمستخدم المحلي. إذا كنت تريد أن تكون الشهادة متاحة لجميع المستخدمين على الكمبيوتر، فيجب عليك اختيار تثبيت الشهادة على الكمبيوتر المحلي:
لنقم بتثبيت الشهادة في مخزن الشهادات الجذر الموثوق به في CA:
وبعد كل هذه الإجراءات، نتفق مع جميع النقاط الأخرى. تم تكوين النظام الآن.
إعداد اتصال VPN
لإعداد اتصال VPN، انتقل إلى لوحة التحكم وحدد خيار إنشاء اتصال جديد.
في النافذة المنبثقة، حدد خيار إنشاء اتصال للاتصال بمكان عملك:
في النافذة التالية، حدد اتصال VPN:
وأدخل تفاصيل اتصال VPN، وحدد أيضًا خيار استخدام البطاقة الذكية:
الإعداد لم يكتمل بعد. كل ما تبقى هو تحديد المفتاح المشترك لبروتوكول IPsec؛ للقيام بذلك، انتقل إلى علامة التبويب "إعدادات اتصال الشبكة" ثم انتقل إلى علامة التبويب "خصائص هذا الاتصال":
في النافذة التي تفتح، انتقل إلى علامة التبويب "الأمان"، وحدد "شبكة L2TP/IPsec" كنوع الشبكة وحدد "الإعدادات المتقدمة":
في النافذة التي تفتح، حدد مفتاح IPsec المشترك:
Подключение
بعد الانتهاء من الإعداد، يمكنك محاولة الاتصال بالشبكة:
أثناء عملية الاتصال، سيُطلب منا إدخال رمز PIN المميز:
لقد أنشأنا شبكة VPN آمنة وتأكدنا من أن الأمر ليس صعبًا.
شكر وتقدير
أود مرة أخرى أن أشكر زملائنا فاسيلي شوكوف وألكسندر سميرنوف على العمل الذي قاموا به معًا لتبسيط إنشاء اتصالات VPN لعملاء Linux.
المصدر: www.habr.com