Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ°Ρ‚ΠΈΠΊΠ°

Π•Ρ‰Ρ‘ совсСм Π½Π΅Π΄Π°Π²Π½ΠΎ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ Π½Π΅ Π·Π½Π°Π»ΠΈ, ΠΊΠ°ΠΊ это β€” Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ ΠΈΠ· Π΄ΠΎΠΌΠ°. ПандСмия Ρ€Π΅Π·ΠΊΠΎ ΠΈΠ·ΠΌΠ΅Π½ΠΈΠ»Π° ΡΠΈΡ‚ΡƒΠ°Ρ†ΠΈΡŽ Π² ΠΌΠΈΡ€Π΅, всС Π½Π°Ρ‡Π°Π»ΠΈ Π°Π΄Π°ΠΏΡ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ ΠΊ слоТившимся ΠΎΠ±ΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΡΡ‚Π²Π°ΠΌ, Π° ΠΈΠΌΠ΅Π½Π½ΠΎ ΠΊ Ρ‚ΠΎΠΌΡƒ, Ρ‡Ρ‚ΠΎ Π²Ρ‹Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΈΠ· Π΄ΠΎΠΌΠ° стало просто нСбСзопасно. И ΠΌΠ½ΠΎΠ³ΠΈΠΌ ΠΏΡ€ΠΈΡˆΠ»ΠΎΡΡŒ быстро ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Ρ‹Π²Π°Ρ‚ΡŒ Ρ€Π°Π±ΠΎΡ‚Ρƒ ΠΈΠ· Π΄ΠΎΠΌΠ° для своих сотрудников.

Однако отсутствиС Π³Ρ€Π°ΠΌΠΎΡ‚Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Π° Π² Π²Ρ‹Π±ΠΎΡ€Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ для ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ Π½Π΅ΠΎΠ±Ρ€Π°Ρ‚ΠΈΠΌΡ‹ΠΌ потСрям. ΠŸΠ°Ρ€ΠΎΠ»ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΡƒΠΊΡ€Π°Π΄Π΅Π½Ρ‹, Π° это даст Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ Π±Π΅ΡΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒΡΡ ΠΊ сСти ΠΈ ИВ-рСсурсам прСдприятия.

ИмСнно поэтому сСйчас выросла ΠΏΠΎΡ‚Ρ€Π΅Π±Π½ΠΎΡΡ‚ΡŒ Π² создании Π½Π°Π΄Ρ‘ΠΆΠ½Ρ‹Ρ… ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… VPN сСтСй. Π― расскаТу Π²Π°ΠΌ ΠΎ Π½Π°Π΄Ρ‘ΠΆΠ½ΠΎΠΉ, бСзопасной ΠΈ простой Π² использовании VPN сСти.

Она Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΠΏΠΎ схСмС IPsec/L2TP, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π΅ΠΉ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Π½Π΅ΠΈΠ·Π²Π»Π΅ΠΊΠ°Π΅ΠΌΡ‹Π΅ ΠΊΠ»ΡŽΡ‡ΠΈ ΠΈ сСртификаты, хранящиСся Π½Π° Ρ‚ΠΎΠΊΠ΅Π½Π°Ρ…, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΠ΅Ρ€Π΅Π΄Π°Π΅Ρ‚ Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΠΎ сСти Π² Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΠΎΠΌ Π²ΠΈΠ΄Π΅.

Π’ качСствС дСмонстрационных стСндов для настройки использовались сСрвСр с CentOS 7 (адрСс: centos.vpn.server.ad) ΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚ с Ubuntu 20.04, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΊΠ»ΠΈΠ΅Π½Ρ‚ с Windows 10.

ОписаниС систСмы

VPN Π±ΡƒΠ΄Π΅Ρ‚ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ ΠΏΠΎ схСмС IPSec + L2TP + PPP. ΠŸΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» Point-to-Point Protocol (PPP) Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ Π½Π° канальном ΡƒΡ€ΠΎΠ²Π½Π΅ ΠΌΠΎΠ΄Π΅Π»ΠΈ OSI ΠΈ обСспСчиваСт Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π΅ΠΌΡ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…. Π•Π³ΠΎ Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ½ΠΊΠ°ΠΏΡΡƒΠ»ΠΈΡ€ΡƒΡŽΡ‚ΡΡ Π² Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° L2TP, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ собствСнно обСспСчиваСт созданиС соСдинСния Π² VPN сСти, Π½ΠΎ Π½Π΅ обСспСчиваСт Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅.

Π”Π°Π½Π½Ρ‹Π΅ L2TP ΠΈΠ½ΠΊΠ°ΠΏΡΡƒΠ»ΠΈΡ€ΡƒΡŽΡ‚ΡΡ Π² ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IPSec, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ‚ΠΎΠΆΠ΅ обСспСчиваСт Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅, Π½ΠΎ Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° PPP аутСнтификация ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ происходит Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ устройств, Π° Π½Π΅ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

Данная ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ позволяСт ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ с ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Ρ… устройств. ΠœΡ‹ ΠΆΠ΅ Π±ΡƒΠ΄Π΅ΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IPSec ΠΊΠ°ΠΊ Π΄Π°Π½Π½ΠΎΠ΅ ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΠΌ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚ΡŒ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ с любого устройства.

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

АутСнтификация ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ смарт-ΠΊΠ°Ρ€Ρ‚ Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚ΡŒΡΡ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° PPP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° EAP-TLS.

Π‘ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ Ρ€Π°Π±ΠΎΡ‚Π΅ Π΄Π°Π½Π½ΠΎΠΉ схСмы ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΠΉΡ‚ΠΈ Π² этой ΡΡ‚Π°Ρ‚ΡŒΠ΅.

ΠŸΠΎΡ‡Π΅ΠΌΡƒ данная схСма ΠΎΡ‚Π²Π΅Ρ‡Π°Π΅Ρ‚ всСм Ρ‚Ρ€Ρ‘ΠΌ трСбованиям Ρ…ΠΎΡ€ΠΎΡˆΠ΅ΠΉ VPN сСти

  1. ΠΠ°Π΄Ρ‘ΠΆΠ½ΠΎΡΡ‚ΡŒ Π΄Π°Π½Π½ΠΎΠΉ схСмы ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π° Π²Ρ€Π΅ΠΌΠ΅Π½Π΅ΠΌ. Она ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для развёртывания VPN сСтСй с 2000 Π³ΠΎΠ΄Π°.
  2. Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΡƒΡŽ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ обСспСчиваСт ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» PPP. Бтандартная рСализация ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° PPP разработанная Paul Mackerras Π½Π΅ обСспСчиваСт достаточного уровня бСзопасности, Ρ‚.ΠΊ. для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² Π»ΡƒΡ‡ΡˆΠ΅ΠΌ случаС случаС ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ аутСнтификация с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π»ΠΎΠ³ΠΈΠ½Π° ΠΈ пароля. ВсС ΠΌΡ‹ Π·Π½Π°Π΅ΠΌ, Ρ‡Ρ‚ΠΎ Π»ΠΎΠ³ΠΈΠ½-ΠΏΠ°Ρ€ΠΎΠ»ΡŒ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠ΄ΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ, ΠΏΠΎΠ΄ΠΎΠ±Ρ€Π°Ρ‚ΡŒ ΠΈΠ»ΠΈ ΡƒΠΊΡ€Π°ΡΡ‚ΡŒ. Π’Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ ΡƒΠΆΠ΅ Π΄Π°Π²Π½ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ Jan Just Keijser Π² своСй Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° исправил этот ΠΌΠΎΠΌΠ΅Π½Ρ‚ ΠΈ Π΄ΠΎΠ±Π°Π²ΠΈΠ» Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹, основанныС Π½Π° асиммСтричном ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠΈ, Ρ‚Π°ΠΊΠΎΠΉ ΠΊΠ°ΠΊ EAP-TLS. ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, ΠΎΠ½ Π΄ΠΎΠ±Π°Π²ΠΈΠ» Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования смарт-ΠΊΠ°Ρ€Ρ‚ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ, Ρ‡Ρ‚ΠΎ сдСлало Π΄Π°Π½Π½ΡƒΡŽ систСму Π±ΠΎΠ»Π΅Π΅ бСзопасной.
    Π’ настоящий ΠΌΠΎΠΌΠ΅Π½Ρ‚ вСдутся Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Π΅ ΠΏΠ΅Ρ€Π΅Π³ΠΎΠ²ΠΎΡ€Ρ‹ для слияния этих Π΄Π²ΡƒΡ… ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ² ΠΈ ΠΌΠΎΠΆΠ½ΠΎ Π±Ρ‹Ρ‚ΡŒ ΡƒΠ²Π΅Ρ€Π΅Π½Π½Ρ‹ΠΌΠΈ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ Ρ€Π°Π½ΠΎ ΠΈΠ»ΠΈ ΠΏΠΎΠ·Π΄Π½ΠΎ это всё Ρ€Π°Π²Π½ΠΎ ΠΏΡ€ΠΎΠΈΠ·ΠΎΠΉΠ΄Ρ‘Ρ‚. Π’Π°ΠΊ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π² рСпозиториях Fedora ΡƒΠΆΠ΅ Π΄Π°Π²Π½ΠΎ Π»Π΅ΠΆΠΈΡ‚ пропатчСнная вСрсия PPP, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π°Ρ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ бСзопасныС ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹.
  3. Π•Ρ‰Ρ‘ совсСм Π½Π΅Π΄Π°Π²Π½ΠΎ Π΄Π°Π½Π½ΡƒΡŽ ΡΠ΅Ρ‚ΡŒ ΠΌΠΎΠ³Π»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ Windows, Π½ΠΎ наши ΠΊΠΎΠ»Π»Π΅Π³ΠΈ ΠΈΠ· ΠœΠ“Π£ Василий Π¨ΠΎΠΊΠΎΠ² ΠΈ АлСксандр Π‘ΠΌΠΈΡ€Π½ΠΎΠ² нашли старый ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ L2TP ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° для Linux ΠΈ Π΄ΠΎΡ€Π°Π±ΠΎΡ‚Π°Π»ΠΈ Π΅Π³ΠΎ. БовмСстными усилиями ΠΌΡ‹ исправили мноТСство Π±Π°Π³ΠΎΠ² ΠΈ Π½Π΅Π΄ΠΎΡ‡Π΅Ρ‚ΠΎΠ² Π² Ρ€Π°Π±ΠΎΡ‚Π΅ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°, упростили установку ΠΈ настройку систСмы, Π΄Π°ΠΆΠ΅ ΠΏΡ€ΠΈ сборкС ΠΈΠ· исходников. НаиболСС сущСствСнными ΠΈΠ· Π½ΠΈΡ… ΡΠ²Π»ΡΡŽΡ‚ΡΡ:
    • Π˜ΡΠΏΡ€Π°Π²Π»Π΅Π½Ρ‹ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ совмСстимости старого ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° с интСрфСйсом Π½ΠΎΠ²Ρ‹Ρ… вСрсий openssl ΠΈ qt.
    • Π£Π΄Π°Π»Π΅Π½Π° ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π° pppd PIN-ΠΊΠΎΠ΄Π° Ρ‚ΠΎΠΊΠ΅Π½Π° Ρ‡Π΅Ρ€Π΅Π· Π²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹ΠΉ Ρ„Π°ΠΉΠ».
    • Π˜ΡΠΏΡ€Π°Π²Π»Π΅Π½ Π½Π΅ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½Ρ‹ΠΉ запуск ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ запроса пароля Ρ‡Π΅Ρ€Π΅Π· графичСский интСрфСйс. Π­Ρ‚ΠΎ Π±Ρ‹Π»ΠΎ сдСлано Π·Π° счСт установки ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠ³ΠΎ окруТСния для xl2tpd сСрвиса.
    • Π‘Π±ΠΎΡ€ΠΊΠ° Π΄Π΅ΠΌΠΎΠ½Π° L2tpIpsecVpn Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ осущСствляСтся совмСстно со сборкой самого ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°, Ρ‡Ρ‚ΠΎ ΠΎΠ±Π»Π΅Π³Ρ‡Π°Π΅Ρ‚ процСсс сборки ΠΈ настройки.
    • Для удобства Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½Π° систСма Azure Pipelines для тСстирования коррСктности сборки.
    • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΈΠ½ΡƒΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΏΠΎΠ½ΠΈΠΆΠ°Ρ‚ΡŒ security level Π² контСкстС openssl. Π­Ρ‚ΠΎ ΠΏΠΎΠ»Π΅Π·Π½ΠΎ для ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠΉ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ Π½ΠΎΠ²Ρ‹Ρ… ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм, Π³Π΄Π΅ стандартный security level установлСн Π½Π° 2, с VPN сСтями, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ сСртификаты, Π½Π΅ ΡƒΠ΄ΠΎΠ²Π»Π΅Ρ‚Π²ΠΎΡ€ΡΡŽΡ‰ΠΈΠ΅ трСбованиям бСзопасности Π΄Π°Π½Π½ΠΎΠ³ΠΎ уровня. Данная опция Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΠΎΠ»Π΅Π·Π½Π° для Ρ€Π°Π±ΠΎΡ‚Ρ‹ с ΡƒΠΆΠ΅ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌΠΈ старыми VPN сСтями.

Π˜ΡΠΏΡ€Π°Π²Π»Π΅Π½Π½ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΠΉΡ‚ΠΈ Π² Π΄Π°Π½Π½ΠΎΠΌ Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ.

Π”Π°Π½Π½Ρ‹ΠΉ ΠΊΠ»ΠΈΠ΅Π½Ρ‚ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ использованиС смарт-ΠΊΠ°Ρ€Ρ‚ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ, Π° Ρ‚Π°ΠΊΠΆΠ΅ максимально скрываСт всС тяготы ΠΈ Π½Π΅Π²Π·Π³ΠΎΠ΄Ρ‹ настройки Π΄Π°Π½Π½ΠΎΠΉ схСмы ΠΏΠΎΠ΄ Linux, дСлая настройку ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° максимально простой ΠΈ быстрой.

ΠšΠΎΠ½Π΅Ρ‡Π½ΠΎ, для ΡƒΠ΄ΠΎΠ±Π½ΠΎΠΉ связи PPP ΠΈ GUI ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Π½Π΅ обошлось ΠΈ Π±Π΅Π· Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€Π°Π²ΠΎΠΊ ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ ΠΈΠ· ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ², Π½ΠΎ Ρ‚Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ ΠΈΡ… ΡƒΠ΄Π°Π»ΠΎΡΡŒ ΠΌΠΈΠ½ΠΈΠΌΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ свСсти ΠΊ ΠΌΠΈΠ½ΠΈΠΌΡƒΠΌΡƒ:

Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΈΡΡ‚ΡƒΠΏΠΈΡ‚ΡŒ ΠΊ настройкС.

Настройка сСрвСра

Установим всС Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹.

Установка strongswan (IPsec)

Π’ ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ, настроим firewall для Ρ€Π°Π±ΠΎΡ‚Ρ‹ ipsec

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

Π—Π°Ρ‚Π΅ΠΌ приступим ΠΊ установкС

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

ПослС установки Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π·Π°Π΄Π°Ρ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡŽ для strongswan (ΠΎΠ΄Π½Ρƒ ΠΈΠ· Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΉ IPSec). Для этого ΠΎΡ‚Ρ€Π΅Π΄Π°ΠΊΡ‚ΠΈΡ€ΡƒΠ΅ΠΌ Ρ„Π°ΠΉΠ» /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

Π’Π°ΠΊΠΆΠ΅ Π·Π°Π΄Π°Π΄ΠΈΠΌ ΠΎΠ±Ρ‰ΠΈΠΉ ΠΏΠ°Ρ€ΠΎΠ»ΡŒ для Π²Ρ…ΠΎΠ΄Π°. ΠžΠ±Ρ‰ΠΈΠΉ ΠΏΠ°Ρ€ΠΎΠ»ΡŒ Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ извСстСн всСм участникам сСти для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ. Π”Π°Π½Π½Ρ‹ΠΉ способ ΠΈ являСтся Π·Π°Π²Π΅Π΄ΠΎΠΌΠΎ Π½Π΅Π½Π°Π΄Ρ‘ΠΆΠ½Ρ‹ΠΌ, Ρ‚.ΠΊ. Π΄Π°Π½Π½Ρ‹ΠΉ ΠΏΠ°Ρ€ΠΎΠ»ΡŒ с Π»Ρ‘Π³ΠΊΠΎΡΡ‚ΡŒΡŽ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΡ‚Π°Ρ‚ΡŒ извСстным личностям, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ ΠΌΡ‹ Π½Π΅ Ρ…ΠΎΡ‚ΠΈΠΌ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ доступ ΠΊ сСти.
Π’Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅, Π΄Π°ΠΆΠ΅ этот Ρ„Π°ΠΊΡ‚ Π½Π΅ повлияСт Π½Π° Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ сСти, Ρ‚.ΠΊ. основноС ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ аутСнтификация ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ осущСствляСтся ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠΌ PPP. Но справСдливости Ρ€Π°Π΄ΠΈ стоит Π·Π°ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ strongswan ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ Π±ΠΎΠ»Π΅Π΅ бСзопасныС Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ. Π’Π°ΠΊ ΠΆΠ΅ Π² strongswan имССтся Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ смарт-ΠΊΠ°Ρ€Ρ‚, Π½ΠΎ ΠΏΠΎΠΊΠ° поддСрТиваСтся ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½Ρ‹ΠΉ ΠΊΡ€ΡƒΠ³ устройств ΠΈ поэтому аутСнтификация с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠ² ΠΈ смарт-ΠΊΠ°Ρ€Ρ‚ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ΠΏΠΎΠΊΠ° Π·Π°Ρ‚Ρ€ΡƒΠ΄Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Π°. Π—Π°Π΄Π°Π΄ΠΈΠΌ ΠΎΠ±Ρ‰ΠΈΠΉ ΠΏΠ°Ρ€ΠΎΠ»ΡŒ Ρ‡Π΅Ρ€Π΅Π· Ρ„Π°ΠΉΠ» /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

ΠŸΠ΅Ρ€Π΅Π·Π°ΠΏΡƒΡΡ‚ΠΈΠΌ strongswan:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

Установка xl2tp

sudo dnf install xl2tpd

Π‘ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€ΠΈΡ€ΡƒΠ΅ΠΌ Π΅Π³ΠΎ Ρ‡Π΅Ρ€Π΅Π· Ρ„Π°ΠΉΠ» /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; опрСдСляСт статичСский адрСс сСрвСра Π² Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ сСти
local ip = 100.10.10.1
; Π·Π°Π΄Π°Π΅Ρ‚ Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… адрСсов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; Π΄Π°Π½Π½ΡƒΡŽ ΠΎΠΏΡ†ΠΈΡŽ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ послС ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ настройки сСти
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ адрСс сСрвСра Π² сСти
name = centos.vpn.server.ad

ΠŸΠ΅Ρ€Π΅Π·Π°ΠΏΡƒΡΡ‚ΠΈΠΌ сСрвис:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

Настройка PPP

Π–Π΅Π»Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ ΠΏΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ послСднюю Π²Π΅Ρ€ΡΠΈΡŽ pppd. Для этого Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΠΌ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΡƒΡŽ ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΊΠΎΠΌΠ°Π½Π΄:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

Π’ΠΏΠΈΡˆΠΈΡ‚Π΅ Π² Ρ„Π°ΠΉΠ» /etc/ppp/options.xl2tpd ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅Π΅ (Ссли Ρ‚Π°ΠΌ ΠΏΡ€ΠΈΡΡƒΡ‚ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΊΠ°ΠΊΠΈΠ΅-Ρ‚ΠΎ значСния, Ρ‚ΠΎ ΠΈΡ… ΠΌΠΎΠΆΠ½ΠΎ ΡƒΠ΄Π°Π»ΠΈΡ‚ΡŒ):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

ВыписываСм ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ сСртификат ΠΈ сСртификат сСрвСра:

#дирСктория с сСртификатами ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, Π£Π¦ ΠΈ сСрвСра
sudo mkdir /etc/ppp/certs
#дирСктория с Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌΠΈ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ сСрвСра ΠΈ Π£Π¦
sudo mkdir /etc/ppp/keys
#Π·Π°ΠΏΡ€Π΅Ρ‰Π°Π΅ΠΌ любой доступ ΠΊ этой Π΄ΠΈΡ€Ρ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΈ ΠΊΡ€ΠΎΠΌΠ΅ администатора
sudo chmod 0600 /etc/ppp/keys/

#Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅ΠΌ ΠΊΠ»ΡŽΡ‡ ΠΈ выписываСм сСртификат Π£Π¦
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅ΠΌ ΠΊΠ»ΡŽΡ‡ ΠΈ выписываСм сСртификат сСрвСра
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, ΠΌΡ‹ Π·Π°ΠΊΠΎΠ½Ρ‡ΠΈΠ»ΠΈ с основной настройкой сСрвСра. ΠžΡΡ‚Π°Π»ΡŒΠ½Π°Ρ Ρ‡Π°ΡΡ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ сСрвСра связана с Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ Π½ΠΎΠ²Ρ‹Ρ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ².

Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠ΅ Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°

Π§Ρ‚ΠΎΠ±Ρ‹ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Π² ΡΠ΅Ρ‚ΡŒ, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π·Π°ΠΏΠΈΡΠ°Ρ‚ΡŒ Π΅Π³ΠΎ сСртификат Π² список Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… для Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°.

Если ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ Ρ…ΠΎΡ‡Π΅Ρ‚ ΡΡ‚Π°Ρ‚ΡŒ участником VPN сСти, ΠΎΠ½ создаёт ΠΊΠ»ΡŽΡ‡Π΅Π²ΡƒΡŽ ΠΏΠ°Ρ€Ρƒ ΠΈ заявку Π½Π° сСртификат для Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°. Если ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹ΠΉ, Ρ‚ΠΎ Π΄Π°Π½Π½ΡƒΡŽ заявку ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠ΄ΠΏΠΈΡΠ°Ρ‚ΡŒ, Π° ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ²ΡˆΠΈΠΉΡΡ сСртификат Π·Π°ΠΏΠΈΡΠ°Ρ‚ΡŒ Π² Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΡŽ сСртификатов:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

Π”ΠΎΠ±Π°Π²ΠΈΠΌ строчку Π² Ρ„Π°ΠΉΠ» /etc/ppp/eaptls-server для сопоставлСния ΠΈΠΌΠ΅Π½ΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° ΠΈ Π΅Π³ΠΎ сСртификата:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

NOTE
Π§Ρ‚ΠΎΠ±Ρ‹ Π½Π΅ Π·Π°ΠΏΡƒΡ‚Π°Ρ‚ΡŒΡΡ, Π»ΡƒΡ‡ΡˆΠ΅ Ρ‡Ρ‚ΠΎΠ±Ρ‹: Common Name, имя Ρ„Π°ΠΉΠ»Π° с сСртификатом ΠΈ имя ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π±Ρ‹Π»ΠΈ ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΌΠΈ.

Π’Π°ΠΊΠΆΠ΅ стоит ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π² Π΄Ρ€ΡƒΠ³ΠΈΡ… Ρ„Π°ΠΉΠ»Π°Ρ… Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π½ΠΈΠ³Π΄Π΅ Π½Π΅ Ρ„ΠΈΠ³ΡƒΡ€ΠΈΡ€ΡƒΠ΅Ρ‚ имя ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΌΡ‹ добавляСм, ΠΈΠ½Π°Ρ‡Π΅ Π²ΠΎΠ·Π½ΠΈΠΊΠ½ΡƒΡ‚ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ со способом Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.

Π­Ρ‚ΠΎΡ‚ ΠΆΠ΅ сСртификат Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŽ ΠΎΠ±Ρ€Π°Ρ‚Π½ΠΎ.

ГСнСрация ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΉ ΠΏΠ°Ρ€Ρ‹ ΠΈ сСртификата

Для ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρƒ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ:

  1. ΡΠ³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠ»ΡŽΡ‡Π΅Π²ΡƒΡŽ ΠΏΠ°Ρ€Ρƒ;
  2. ΠΈΠΌΠ΅Ρ‚ΡŒ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ сСртификат Π£Π¦;
  3. ΠΈΠΌΠ΅Ρ‚ΡŒ сСртификат для своСй ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΉ ΠΏΠ°Ρ€Ρ‹, подписанный ΠΊΠΎΡ€Π½Π΅Π²Ρ‹ΠΌ Π£Π¦.

для ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Π½Π° Linux

Для Π½Π°Ρ‡Π°Π»Π° сгСнСрируСм ΠΊΠ»ΡŽΡ‡Π΅Π²ΡƒΡŽ ΠΏΠ°Ρ€Ρƒ Π½Π° Ρ‚ΠΎΠΊΠ΅Π½Π΅ ΠΈ создадим заявку Π½Π° сСртификат:

#ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ ΠΊΠ»ΡŽΡ‡Π° (ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ --id) ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΌΠ΅Π½ΠΈΡ‚ΡŒ Π½Π° любой Π΄Ρ€ΡƒΠ³ΠΎΠΉ.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

ΠŸΠΎΡΠ²ΠΈΠ²ΡˆΡƒΡŽΡΡ заявку client.req ΠΎΡ‚ΠΏΡ€Π°Π²ΡŒΡ‚Π΅ Π² Π£Π¦. ПослС Ρ‚ΠΎΠ³ΠΎ ΠΊΠ°ΠΊ Π²Ρ‹ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚Π΅ сСртификат для своСй ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΉ ΠΏΠ°Ρ€Ρ‹, Π·Π°ΠΏΠΈΡˆΠΈΡ‚Π΅ Π΅Π³ΠΎ Π½Π° Ρ‚ΠΎΠΊΠ΅Π½ с Ρ‚Π΅ΠΌ ΠΆΠ΅ id, Ρ‡Ρ‚ΠΎ ΠΈ Ρƒ ΠΊΠ»ΡŽΡ‡Π°:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Windows ΠΈ Linux (Π±ΠΎΠ»Π΅Π΅ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹ΠΉ способ)

Π”Π°Π½Π½Ρ‹ΠΉ способ являСтся Π±ΠΎΠ»Π΅Π΅ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹ΠΌ, Ρ‚.ΠΊ. позволяСт ΡΠ³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠ»ΡŽΡ‡ ΠΈ сСртификат, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±ΡƒΠ΄Π΅Ρ‚ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ Ρ€Π°ΡΠΏΠΎΠ·Π½Π°Π²Π°Ρ‚ΡŒΡΡ Ρƒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Windows ΠΈ Linux, Π½ΠΎ ΠΎΠ½ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ ΠΌΠ°ΡˆΠΈΠ½Ρ‹ Π½Π° Windows для провСдСния ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.

ΠŸΠ΅Ρ€Π΅Π΄ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠ΅ΠΉ запросов ΠΈ ΠΈΠΌΠΏΠΎΡ€Ρ‚ΠΎΠΌ сСртификатов Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ сСртификат VPN сСти Π² список Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ…. Для этого ΠΎΡ‚ΠΊΡ€ΠΎΠ΅ΠΌ Π΅Π³ΠΎ ΠΈ Π² ΠΎΡ‚ΠΊΡ€Ρ‹Π²ΡˆΠ΅ΠΌΡΡ ΠΎΠΊΠ½Π΅ Π²Ρ‹Π±Π΅Ρ€Π΅ΠΌ ΠΎΠΏΡ†ΠΈΡŽ "Π£ΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ сСртификат":

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ ΠΎΡ‚ΠΊΡ€Ρ‹Π²ΡˆΠ΅ΠΌΡΡ ΠΎΠΊΠ½Π΅ Π²Ρ‹Π±Π΅Ρ€Π΅ΠΌ установку сСртификата для локального ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Установим сСртификат Π² Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… ΠΊΠΎΡ€Π½Π΅Π²Ρ‹Ρ… сСртификатов Π£Π¦:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ПослС всСх этих дСйствий соглашаСмся со всСми дальнСйшими ΠΏΡƒΠ½ΠΊΡ‚Π°ΠΌΠΈ. Π’Π΅ΠΏΠ΅Ρ€ΡŒ систСма настроСна.

Π‘ΠΎΠ·Π΄Π°Π΄ΠΈΠΌ Ρ„Π°ΠΉΠ» cert.tmp со ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌ содСрТимым:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

ПослС этого сгСнСрируСм ΠΊΠ»ΡŽΡ‡Π΅Π²ΡƒΡŽ ΠΏΠ°Ρ€Ρƒ ΠΈ создадим заявку Π½Π° сСртификат. Для этого ΠΎΡ‚ΠΊΡ€ΠΎΠ΅ΠΌ powershell ΠΈ Π²Π²Π΅Π΄Ρ‘ΠΌ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΡƒΡŽ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ:

certreq.exe -new -pin $PIN .cert.tmp .client.req

ΠžΡ‚ΠΏΡ€Π°Π²ΡŒΡ‚Π΅ ΡΠΎΠ·Π΄Π°Π½Π½ΡƒΡŽ заявку client.req Π² ваш Π£Π¦ ΠΈ Π΄ΠΎΠΆΠ΄ΠΈΡ‚Π΅ΡΡŒ получСния сСртификата client.pem. Π•Π³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΏΠΈΡΠ°Ρ‚ΡŒ Π½Π° Ρ‚ΠΎΠΊΠ΅Π½ ΠΈ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ Π² Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ сСртификатов Windows с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹:

certreq.exe -accept .client.pem

Π‘Ρ‚ΠΎΠΈΡ‚ Π·Π°ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½Ρ‹Π΅ дСйствия ΠΌΠΎΠΆΠ½ΠΎ воспроизвСсти с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ графичСского интСрфСйса ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ mmc, Π½ΠΎ Π΄Π°Π½Π½Ρ‹ΠΉ способ являСтся Π±ΠΎΠ»Π΅Π΅ врСмязатратным ΠΈ ΠΌΠ΅Π½Π΅Π΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠΈΡ€ΡƒΠ΅ΠΌΡ‹ΠΌ.

Настройка ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Ubuntu

NOTE
Настройка ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Π½Π° Linux Π² Π΄Π°Π½Π½Ρ‹ΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ‚ являСтся достаточно Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ ΠΏΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ, Ρ‚.ΠΊ. Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ сборки ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ ΠΈΠ· исходников. ΠœΡ‹ постараСмся Π² блиТайшСС врСмя Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ всС измСнСния ΠΏΠΎΠΏΠ°Π»ΠΈ Π² ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ.

Для обСспСчСния ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ IPSec ΠΊ сСрвСру β€” ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΏΠ°ΠΊΠ΅Ρ‚ strongswan ΠΈ Π΄Π΅ΠΌΠΎΠ½ xl2tp. Для упрощСния ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ ΠΊ сСти с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ смарт-ΠΊΠ°Ρ€Ρ‚ – Π±ΡƒΠ΄Π΅ΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠ°ΠΊΠ΅Ρ‚ l2tp-ipsec-vpn, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΠΈΠΉ Π³Ρ€Π°Ρ„ΠΈΡ‡Π΅ΡΠΊΡƒΡŽ ΠΎΠ±ΠΎΠ»ΠΎΡ‡ΠΊΡƒ для ΡƒΠΏΡ€ΠΎΡ‰Π΅Π½Π½ΠΎΠΉ настройки ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ.

Начнём сборку элСмСнтов поэтапно, Π½ΠΎ ΠΏΠ΅Ρ€Π΅Π΄ этим установим всС Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ для нСпосрСдствСнной Ρ€Π°Π±ΠΎΡ‚Ρ‹ VPN:

sudo apt-get install xl2tpd strongswan libp11-3

Установка ПО для Ρ€Π°Π±ΠΎΡ‚Ρ‹ с Ρ‚ΠΎΠΊΠ΅Π½Π°ΠΌΠΈ

УстановитС послСднюю Π²Π΅Ρ€ΡΠΈΡŽ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ librtpkcs11ecp.so с сайта, Ρ‚Π°ΠΊΠΆΠ΅ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ со смарт-ΠΊΠ°Ρ€Ρ‚Π°ΠΌΠΈ:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

ΠŸΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡŒΡ‚Π΅, Ρ‡Ρ‚ΠΎ ΠΎΠ½ распознаСтся систСмой:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

Установка ΠΏΡ€ΠΎΠΏΠ°Ρ‚Ρ‡Π΅Π½Π½ΠΎΠ³ΠΎ ppp

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

Установка ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° L2tpIpsecVpn

Π’ Π΄Π°Π½Π½Ρ‹ΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ‚ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Ρ‚ΠΎΠΆΠ΅ Π½ΡƒΠΆΠ½ΠΎ ΡΠΎΠ±ΠΈΡ€Π°Ρ‚ΡŒ ΠΈΠ· исходников. ДСлаСтся это с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΊΠΎΠΌΠ°Π½Π΄:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

Настройка ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° L2tpIpsecVpn

ЗапускаСм установлСнный ΠΊΠ»ΠΈΠ΅Π½Ρ‚:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ПослС запуска Ρƒ вас Π΄ΠΎΠ»ΠΆΠ΅Π½ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡŒΡΡ Π°ΠΏΠΏΠ»Π΅Ρ‚ L2tpIpsecVPN. НаТмём Π½Π° Π½Π΅Π³ΠΎ ΠΏΡ€Π°Π²ΠΎΠΉ ΠΊΠ½ΠΎΠΏΠΊΠΎΠΉ ΠΌΡ‹ΡˆΠΈ ΠΈ ΠΏΡ€ΠΎΠΈΠ·Π²Π΅Π΄Ρ‘ΠΌ настройку соСдинСния:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Для Ρ€Π°Π±ΠΎΡ‚Ρ‹ с Ρ‚ΠΎΠΊΠ΅Π½Π°ΠΌΠΈ, Π² ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ, ΡƒΠΊΠ°ΠΆΠ΅ΠΌ ΠΏΡƒΡ‚ΡŒ opensc Π΄Π²ΠΈΠΆΠΊΠ° OpenSSL ΠΈ PKCS#11 Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ. Для этого ΠΎΡ‚ΠΊΡ€ΠΎΠΉΡ‚Π΅ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ "Preferences" для настройки ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² openssl:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI.

Π—Π°ΠΊΡ€ΠΎΠ΅ΠΌ ΠΎΠΊΠ½ΠΎ настроСк OpenSSL ΠΈ ΠΏΠ΅Ρ€Π΅ΠΉΠ΄Ρ‘ΠΌ ΠΊ настройкС сСти. Π”ΠΎΠ±Π°Π²ΠΈΠΌ Π½ΠΎΠ²ΡƒΡŽ ΡΠ΅Ρ‚ΡŒ, Π½Π°ΠΆΠ°Π² Π½Π° ΠΊΠ»Π°Π²ΠΈΡˆΡƒ Add… Π² ΠΏΠ°Π½Π΅Π»ΠΈ настроСк ΠΈ Π²Π²Π΅Π΄ΠΈΡ‚Π΅ имя сСти:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ПослС этого данная ΡΠ΅Ρ‚ΡŒ станСт доступна Π² ΠΏΠ°Π½Π΅Π»ΠΈ настроСк. Π”Π²Π°ΠΆΠ΄Ρ‹ ΠΊΠ»ΠΈΠΊΠ½Π΅ΠΌ ΠΏΡ€Π°Π²ΠΎΠΉ ΠΊΠ½ΠΎΠΏΠΊΠΎΠΉ ΠΌΡ‹ΡˆΠΈ ΠΏΠΎ Π½ΠΎΠ²ΠΎΠΉ сСти, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Π΅Ρ‘. На ΠΏΠ΅Ρ€Π²ΠΎΠΉ Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ произвСсти настройки IPsec. Π—Π°Π΄Π°Π΄ΠΈΠΌ адрСс сСрвСра ΠΈ ΠΎΠ±Ρ‰ΠΈΠΉ ΠΊΠ»ΡŽΡ‡:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ПослС этого ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ΠΈΠΌ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΡƒ настройки PPP ΠΈ ΡƒΠΊΠ°ΠΆΠ΅ΠΌ Ρ‚Π°ΠΌ имя ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, ΠΏΠΎΠ΄ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ ΠΌΡ‹ Ρ…ΠΎΡ‚ΠΈΠΌ Π·Π°ΠΉΡ‚ΠΈ Π² ΡΠ΅Ρ‚ΡŒ:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ПослС этого ΠΎΡ‚ΠΊΡ€ΠΎΠ΅ΠΌ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ Properties ΠΈ ΡƒΠΊΠ°ΠΆΠ΅ΠΌ ΠΏΡƒΡ‚ΡŒ Π΄ΠΎ ΠΊΠ»ΡŽΡ‡Π°, сСртификата ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° ΠΈ Π£Π¦:
Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π—Π°ΠΊΡ€ΠΎΠ΅ΠΌ Π΄Π°Π½Π½ΡƒΡŽ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΠΌ Ρ„ΠΈΠ½Π°Π»ΡŒΠ½ΡƒΡŽ настройку, для этого ΠΎΡ‚ΠΊΡ€ΠΎΠ΅ΠΌ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ "IP settings" ΠΈ поставим Π³Π°Π»ΠΎΡ‡ΠΊΡƒ Π½Π°ΠΏΡ€ΠΎΡ‚ΠΈΠ² ΠΎΠΏΡ†ΠΈΠΈ "Obtain DNS server address automatically":

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI
Данная опция ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρƒ ΠΏΠΎΠ»ΡƒΡ‡Π°Ρ‚ΡŒ ΠΎΡ‚ сСрвСра Π»ΠΈΡ‡Π½Ρ‹ΠΉ IP-адрСс Π²Π½ΡƒΡ‚Ρ€ΠΈ сСти.

ПослС всСх настроСк Π·Π°ΠΊΡ€ΠΎΠ΅ΠΌ всС Π²ΠΊΠ»Π°Π΄ΠΊΠΈ ΠΈ ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠ·ΠΈΠΌ ΠΊΠ»ΠΈΠ΅Π½Ρ‚:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ΠŸΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ сСти

ПослС настроСк ΠΌΠΎΠΆΠ½ΠΎ произвСсти ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ сСти. Для этого ΠΎΡ‚ΠΊΡ€ΠΎΠ΅ΠΌ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ Π°ΠΏΠΏΠ»Π΅Ρ‚Π° ΠΈ Π²Ρ‹Π±Π΅Ρ€Π΅ΠΌ ΡΠ΅Ρ‚ΡŒ, ΠΊ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΌΡ‹ Ρ…ΠΎΡ‚ΠΈΠΌ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒΡΡ:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ процСссС установки соСдинСния ΠΊΠ»ΠΈΠ΅Π½Ρ‚ попросит ввСсти нас PIN-ΠΊΠΎΠ΄ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Если Π² статус-Π±Π°Ρ€Π΅ появится ΠΎΠΏΠΎΠ²Π΅Ρ‰Π΅Π½ΠΈΠ΅ ΠΎ Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ соСдинСниС ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ установлСно, Π·Π½Π°Ρ‡ΠΈΡ‚, настройка Π±Ρ‹Π»Π° ΠΏΡ€ΠΎΠΈΠ·Π²Π΅Π΄Π΅Π½Π° ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΎΠΌ случаС стоит Ρ€Π°Π·ΠΎΠ±Ρ€Π°Ρ‚ΡŒΡΡ, ΠΏΠΎΡ‡Π΅ΠΌΡƒ соСдинСниС Π½Π΅ Π±Ρ‹Π»ΠΎ установлСно. Для этого стоит ΠΏΠΎΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ Π»ΠΎΠ³ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹, Π²Ρ‹Π±Ρ€Π°Π² Π² Π°ΠΏΠΏΠ»Π΅Ρ‚Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ "Connection information":

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Настройка ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Windows

Настройка ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Π² Windows осущСствляСтся Π³ΠΎΡ€Π°Π·Π΄ΠΎ ΠΏΡ€ΠΎΡ‰Π΅, Ρ‡Π΅ΠΌ Π² Linux, Ρ‚.ΠΊ. вСсь Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ΠΉ софт ΡƒΠΆΠ΅ встроСн Π² систСму.

Настройка систСмы

Установим всС Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€Ρ‹ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ с Π ΡƒΡ‚ΠΎΠΊΠ΅Π½Π°ΠΌΠΈ скачав ΠΈΡ… c ΠΎΡ„. сайта.

Π˜ΠΌΠΏΠΎΡ€Ρ‚ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠ³ΠΎ сСртификата для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ

Π‘ΠΊΠ°Ρ‡Π°Π΅ΠΌ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ сСртификат сСрвСра ΠΈ установим Π² систСму. Для этого ΠΎΡ‚ΠΊΡ€ΠΎΠ΅ΠΌ Π΅Π³ΠΎ ΠΈ Π² ΠΎΡ‚ΠΊΡ€Ρ‹Π²ΡˆΠ΅ΠΌΡΡ ΠΎΠΊΠ½Π΅ Π²Ρ‹Π±Π΅Ρ€Π΅ΠΌ ΠΎΠΏΡ†ΠΈΡŽ "Π£ΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ сСртификат":

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ ΠΎΡ‚ΠΊΡ€Ρ‹Π²ΡˆΠ΅ΠΌΡΡ ΠΎΠΊΠ½Π΅ Π²Ρ‹Π±Π΅Ρ€Π΅ΠΌ установку сСртификата для локального ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ. Если хочСтся, Ρ‡Ρ‚ΠΎΠ±Ρ‹ сСртификат Π±Ρ‹Π» доступСн всСм ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ Π½Π° ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅, Ρ‚ΠΎ Ρ‚ΠΎΠ³Π΄Π° слСдуСт Π²Ρ‹Π±Ρ€Π°Ρ‚ΡŒ установку сСртификата Π½Π° Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Установим сСртификат Π² Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… ΠΊΠΎΡ€Π½Π΅Π²Ρ‹Ρ… сСртификатов Π£Π¦:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ПослС всСх этих дСйствий соглашаСмся со всСми дальнСйшими ΠΏΡƒΠ½ΠΊΡ‚Π°ΠΌΠΈ. Π’Π΅ΠΏΠ΅Ρ€ΡŒ систСма настроСна.

Настройка VPN соСдинСния

Для настройки VPN соСдинСния ΠΏΠ΅Ρ€Π΅ΠΉΠ΄ΠΈΡ‚Π΅ Π² панСль управлСния ΠΈ Π²Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ ΠΏΡƒΠ½ΠΊΡ‚ для создания Π½ΠΎΠ²ΠΎΠ³ΠΎ соСдинСния.

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ΠΎ Π²ΡΠΏΠ»Ρ‹Π²ΡˆΠ΅ΠΌ ΠΎΠΊΠ½Π΅ Π²Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ ΠΎΠΏΡ†ΠΈΡŽ создания соСдинСния для ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ ΠΊ Ρ€Π°Π±ΠΎΡ‡Π΅ΠΌΡƒ мСсту:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌ ΠΎΠΊΠ½Π΅ Π²Ρ‹Π±Π΅Ρ€Π΅Ρ‚Π΅ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΏΠΎ VPN:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ΠΈ Π²Π²Π΅Π΄ΠΈΡ‚Π΅ Π΄Π°Π½Π½Ρ‹Π΅ VPN соСдинСния, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΡƒΠΊΠ°ΠΆΠΈΡ‚Π΅ ΠΎΠΏΡ†ΠΈΡŽ для использования смарт-ΠΊΠ°Ρ€Ρ‚Ρ‹:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

На этом настройка Π½Π΅ Π·Π°ΠΊΠΎΠ½Ρ‡Π΅Π½Π°. ΠžΡΡ‚Π°Π»ΠΎΡΡŒ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ ΠΎΠ±Ρ‰ΠΈΠΉ ΠΊΠ»ΡŽΡ‡ для ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° IPsec, для этого ΠΏΠ΅Ρ€Π΅ΠΉΠ΄Ρ‘ΠΌ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΡƒ β€œΠΠ°ΡΡ‚Ρ€ΠΎΠΉΠΊΠΈ сСтСвых ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΉβ€ ΠΈ Π·Π°Ρ‚Π΅ΠΌ ΠΏΠ΅Ρ€Π΅ΠΉΠ΄Ρ‘ΠΌ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΡƒ β€œΠ‘Π²ΠΎΠΉΡΡ‚Π²Π° для Π΄Π°Π½Π½ΠΎΠ³ΠΎ соСдинСния”:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ ΠΎΡ‚ΠΊΡ€Ρ‹Π²ΡˆΠ΅ΠΌΡΡ ΠΎΠΊΠ½Π΅ ΠΏΠ΅Ρ€Π΅ΠΉΠ΄Ρ‘ΠΌ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΡƒ "Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ", ΡƒΠΊΠ°ΠΆΠ΅ΠΌ Π² качСствС Ρ‚ΠΈΠΏΠ° сСти "Π‘Π΅Ρ‚ΡŒ L2TP/IPsec" ΠΈ Π²Ρ‹Π±Π΅Ρ€Π΅ΠΌ "Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹":

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ ΠΎΡ‚ΠΊΡ€Ρ‹Π²ΡˆΠ΅ΠΌΡΡ ΠΎΠΊΠ½Π΅ ΡƒΠΊΠ°ΠΆΠ΅ΠΌ ΠΎΠ±Ρ‰ΠΈΠΉ ΠΊΠ»ΡŽΡ‡ IPsec:
Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ΠŸΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅

ПослС Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ настройки ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠΏΡ€ΠΎΠ±ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒΡΡ ΠΊ сСти:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

Π’ процСссС ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ ΠΎΡ‚ нас ΠΏΠΎΡ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ ввСсти PIN-ΠΊΠΎΠ΄ Ρ‚ΠΎΠΊΠ΅Π½Π°:

Настройка Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π² сСти L2TP с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП 2.0 ΠΈ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ PKI

ΠœΡ‹ с Π²Π°ΠΌΠΈ настроили Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΡƒΡŽ VPN ΡΠ΅Ρ‚ΡŒ ΠΈ ΡƒΠ±Π΅Π΄ΠΈΠ»ΠΈΡΡŒ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ это нСслоТно.

Благодарности

Π₯ΠΎΡ‚Π΅Π»ΠΎΡΡŒ Π±Ρ‹ Π΅Ρ‰Ρ‘ Ρ€Π°Π· ΠΏΠΎΠ±Π»Π°Π³ΠΎΠ΄Π°Ρ€ΠΈΡ‚ΡŒ Π½Π°ΡˆΠΈΡ… ΠΊΠΎΠ»Π»Π΅Π³ Василия Π¨ΠΎΠΊΠΎΠ²Π° ΠΈ АлСксандра Π‘ΠΌΠΈΡ€Π½ΠΎΠ²Π° Π·Π° совмСстно ΠΏΡ€ΠΎΠ΄Π΅Π»Π°Π½Π½ΡƒΡŽ Ρ€Π°Π±ΠΎΡ‚Ρƒ для упрощСния создания VPN соСдинСний для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Linux.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com