সমস্যাযুক্ত

সম্প্রতি, অনেকেই জানত না বাড়ি থেকে কাজ করতে কেমন লাগে। মহামারীটি নাটকীয়ভাবে বিশ্বের পরিস্থিতি পরিবর্তন করেছে; প্রত্যেকেই বর্তমান পরিস্থিতির সাথে খাপ খাইয়ে নিতে শুরু করেছে, যেমন বাড়ি ছেড়ে যাওয়া অনিরাপদ হয়ে উঠেছে। এবং অনেককে তাদের কর্মীদের জন্য দ্রুত বাড়ি থেকে কাজ সংগঠিত করতে হয়েছিল।

যাইহোক, দূরবর্তী কাজের জন্য সমাধান বেছে নেওয়ার জন্য একটি উপযুক্ত পদ্ধতির অভাব অপরিবর্তনীয় ক্ষতির কারণ হতে পারে। ব্যবহারকারীর পাসওয়ার্ড চুরি হতে পারে, এবং এটি একটি আক্রমণকারীকে এন্টারপ্রাইজের নেটওয়ার্ক এবং আইটি সংস্থানগুলির সাথে অনিয়ন্ত্রিতভাবে সংযোগ করতে দেয়৷

এ কারণেই এখন নির্ভরযোগ্য কর্পোরেট ভিপিএন নেটওয়ার্ক তৈরির প্রয়োজনীয়তা বেড়েছে। আমি আপনাকে সম্পর্কে বলব নির্ভরযোগ্য, নিরাপদ и সহজ একটি ভিপিএন নেটওয়ার্ক ব্যবহার করে।

এটি IPsec/L2TP স্কিম অনুসারে কাজ করে, যা ক্লায়েন্টদের প্রমাণীকরণের জন্য টোকেনে সংরক্ষিত অ-পুনরুদ্ধারযোগ্য কী এবং শংসাপত্র ব্যবহার করে এবং এনক্রিপ্ট করা আকারে নেটওয়ার্কের মাধ্যমে ডেটা প্রেরণ করে।

CentOS 7 সহ একটি সার্ভার (ঠিকানা: centos.vpn.server.ad) এবং উবুন্টু 20.04 সহ একটি ক্লায়েন্ট, পাশাপাশি উইন্ডোজ 10 সহ একটি ক্লায়েন্ট কনফিগারেশনের জন্য প্রদর্শন হিসাবে ব্যবহৃত হয়েছিল।

সিস্টেম বিবরণ

VPN IPSec + L2TP + PPP স্কিম অনুযায়ী কাজ করবে। প্রোটোকল পয়েন্ট-টু-পয়েন্ট প্রোটোকল (পিপিপি) OSI মডেলের ডেটা লিঙ্ক স্তরে কাজ করে এবং ব্যবহারকারীর প্রমাণীকরণ এবং প্রেরিত ডেটার এনক্রিপশন প্রদান করে। এর ডেটা L2TP প্রোটোকলের ডেটাতে এনক্যাপসুলেট করা হয়েছে, যা আসলে VPN নেটওয়ার্কে একটি সংযোগ তৈরি করা নিশ্চিত করে, কিন্তু প্রমাণীকরণ এবং এনক্রিপশন প্রদান করে না।

L2TP ডেটা IPSec-এ এনক্যাপসুলেট করা হয়, যা প্রমাণীকরণ এবং এনক্রিপশনও প্রদান করে, কিন্তু PPP-এর বিপরীতে, প্রমাণীকরণ এবং এনক্রিপশন ডিভাইস স্তরে ঘটে, ব্যবহারকারী স্তরে নয়।

এই বৈশিষ্ট্যটি আপনাকে শুধুমাত্র নির্দিষ্ট ডিভাইস থেকে ব্যবহারকারীদের প্রমাণীকরণ করতে দেয়। আমরা আইপিসেক প্রোটোকল ব্যবহার করব এবং যে কোনও ডিভাইস থেকে ব্যবহারকারীর প্রমাণীকরণের অনুমতি দেব।

স্মার্ট কার্ড ব্যবহার করে ব্যবহারকারীর প্রমাণীকরণ PPP প্রোটোকল স্তরে EAP-TLS প্রোটোকল ব্যবহার করে সঞ্চালিত হবে।

এই সার্কিটের অপারেশন সম্পর্কে আরও বিস্তারিত তথ্য পাওয়া যাবে এই নিবন্ধটি.

কেন এই স্কিমটি একটি ভাল ভিপিএন নেটওয়ার্কের তিনটি প্রয়োজনীয়তা পূরণ করে?

1. এই প্রকল্পের নির্ভরযোগ্যতা সময় দ্বারা পরীক্ষিত হয়েছে. এটি 2000 সাল থেকে ভিপিএন নেটওয়ার্ক স্থাপন করতে ব্যবহৃত হচ্ছে।
2. PPP প্রোটোকল দ্বারা নিরাপদ ব্যবহারকারী প্রমাণীকরণ প্রদান করা হয়। পল ম্যাকেরাস দ্বারা তৈরি পিপিপি প্রোটোকলের স্ট্যান্ডার্ড বাস্তবায়ন নিরাপত্তা একটি পর্যাপ্ত স্তর প্রদান করে না, কারণ প্রমাণীকরণের জন্য, সর্বোত্তম ক্ষেত্রে, একটি লগইন এবং পাসওয়ার্ড ব্যবহার করে প্রমাণীকরণ ব্যবহার করা হয়। আমরা সবাই জানি যে একটি লগইন পাসওয়ার্ড গুপ্তচরবৃত্তি, অনুমান বা চুরি করা যেতে পারে। তবে দীর্ঘদিন ধরে এখন ডেভেলপার ড জান জাস্ট কিজসার в এর বাস্তবায়ন এই প্রোটোকল এই সমস্যাটি সংশোধন করেছে এবং প্রমাণীকরণের জন্য অপ্রতিসম এনক্রিপশন, যেমন EAP-TLS-এর উপর ভিত্তি করে প্রোটোকল ব্যবহার করার ক্ষমতা যুক্ত করেছে। এছাড়াও, তিনি প্রমাণীকরণের জন্য স্মার্ট কার্ড ব্যবহার করার ক্ষমতা যুক্ত করেছেন, যা সিস্টেমটিকে আরও সুরক্ষিত করেছে।
   বর্তমানে, এই দুটি প্রকল্প একত্রিত করার জন্য সক্রিয় আলোচনা চলছে এবং আপনি নিশ্চিত হতে পারেন যে শীঘ্র বা পরে এটি যেভাবেই ঘটবে। উদাহরণ স্বরূপ, PPP-এর একটি প্যাচ করা সংস্করণ Fedora সংগ্রহস্থলে দীর্ঘকাল ধরে রয়েছে, প্রমাণীকরণের জন্য সুরক্ষিত প্রোটোকল ব্যবহার করে।
3. সম্প্রতি অবধি, এই নেটওয়ার্কটি শুধুমাত্র উইন্ডোজ ব্যবহারকারীদের দ্বারা ব্যবহার করা যেতে পারে, তবে মস্কো স্টেট ইউনিভার্সিটি ভ্যাসিলি শোকভ এবং আলেকজান্ডার স্মিরনভের আমাদের সহকর্মীরা খুঁজে পেয়েছেন লিনাক্সের জন্য পুরানো L2TP ক্লায়েন্ট প্রকল্প এবং এটি পরিবর্তন. একসাথে, আমরা ক্লায়েন্টের কাজের অনেক বাগ এবং ত্রুটিগুলি ঠিক করেছি, সিস্টেমের ইনস্টলেশন এবং কনফিগারেশনকে সরল করেছি, এমনকি উত্স থেকে তৈরি করার সময়ও। তাদের মধ্যে সবচেয়ে উল্লেখযোগ্য হল:
   • Openssl এবং qt-এর নতুন সংস্করণের ইন্টারফেসের সাথে পুরানো ক্লায়েন্টের সামঞ্জস্যপূর্ণ সমস্যাগুলিকে স্থির করা হয়েছে।
   • একটি অস্থায়ী ফাইলের মাধ্যমে টোকেন পিন পাস করা থেকে pppd সরানো হয়েছে।
   • গ্রাফিকাল ইন্টারফেসের মাধ্যমে পাসওয়ার্ড অনুরোধের প্রোগ্রামের ভুল লঞ্চ সংশোধন করা হয়েছে। এটি xl2tpd পরিষেবার জন্য সঠিক পরিবেশ ইনস্টল করে করা হয়েছিল।
   • L2tpIpsecVpn ডেমনের বিল্ড এখন ক্লায়েন্টের বিল্ডের সাথে একসাথে করা হয়, যা বিল্ড এবং কনফিগারেশন প্রক্রিয়াকে সহজ করে।
   • উন্নয়নের স্বাচ্ছন্দ্যের জন্য, Azure পাইপলাইন সিস্টেমটি বিল্ডের সঠিকতা পরীক্ষা করার জন্য সংযুক্ত।
   • জোর করে ডাউনগ্রেড করার ক্ষমতা যোগ করা হয়েছে নিরাপত্তার মাত্রা openssl এর প্রেক্ষাপটে। এটি সঠিকভাবে নতুন অপারেটিং সিস্টেম সমর্থন করার জন্য দরকারী যেখানে স্ট্যান্ডার্ড নিরাপত্তা স্তর 2 সেট করা আছে, VPN নেটওয়ার্কগুলির সাথে যে শংসাপত্রগুলি ব্যবহার করে যা এই স্তরের নিরাপত্তা প্রয়োজনীয়তাগুলি পূরণ করে না৷ এই বিকল্পটি বিদ্যমান পুরানো VPN নেটওয়ার্কগুলির সাথে কাজ করার জন্য কার্যকর হবে৷

সংশোধিত সংস্করণ পাওয়া যাবে এই ভান্ডার.

এই ক্লায়েন্টটি প্রমাণীকরণের জন্য স্মার্ট কার্ডের ব্যবহারকে সমর্থন করে, এবং লিনাক্সের অধীনে এই স্কিমটি সেট আপ করার জন্য যতটা সম্ভব সমস্ত কষ্ট এবং কষ্ট লুকিয়ে রাখে, ক্লায়েন্ট সেটআপকে যতটা সম্ভব সহজ এবং দ্রুত করে তোলে।

অবশ্যই, পিপিপি এবং ক্লায়েন্ট জিইউআই-এর মধ্যে একটি সুবিধাজনক সংযোগের জন্য, প্রতিটি প্রকল্পে অতিরিক্ত সম্পাদনা ছাড়া এটি সম্ভব ছিল না, তবে তবুও সেগুলিকে ছোট করা হয়েছিল এবং সর্বনিম্নে হ্রাস করা হয়েছিল:

• স্থির PPP থেকে openssl প্রসঙ্গে ভুলভাবে টোকেন PIN কোড ফরোয়ার্ড করার ত্রুটি
• স্থির কনফিগারেশন লোড করার এবং openssl প্রসঙ্গ শুরু করার ক্রমে ত্রুটি. এই ত্রুটিটি আমাদের স্থানীয় /etc/ppp/openssl.cnf কনফিগারেশন ফাইল থেকে স্মার্ট কার্ডের সাথে কাজ করার জন্য openssl ইঞ্জিন সম্পর্কে তথ্য ছাড়া কিছু লোড করার অনুমতি দেয়নি, যা একটি গুরুতর অসুবিধা ছিল যদি, উদাহরণস্বরূপ, ইঞ্জিন সম্পর্কে তথ্য ছাড়াও, আমরা অন্য কিছু সেট করতে চেয়েছিলাম। উদাহরণস্বরূপ, একটি সংযোগ স্থাপন করার সময় নিরাপত্তা স্তর ঠিক করুন।

এখন আপনি সেট আপ শুরু করতে পারেন.

সার্ভার টিউনিং

চলুন সব প্রয়োজনীয় প্যাকেজ ইনস্টল করা যাক.

স্ট্রংসওয়ান ইনস্টল করা হচ্ছে (IPsec)

প্রথমত, ipsec অপারেশনের জন্য ফায়ারওয়াল কনফিগার করি

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

তাহলে এর ইনস্টলেশন শুরু করা যাক

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

ইনস্টলেশনের পরে, আপনাকে স্ট্রংওয়ান কনফিগার করতে হবে (আইপিসেক বাস্তবায়নের মধ্যে একটি)। এটি করতে, ফাইলটি সম্পাদনা করুন /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

আমরা একটি সাধারণ লগইন পাসওয়ার্ডও সেট করব। শেয়ার করা পাসওয়ার্ড প্রমাণীকরণের জন্য সমস্ত নেটওয়ার্ক অংশগ্রহণকারীদের জানা থাকতে হবে। এই পদ্ধতি স্পষ্টতই অবিশ্বস্ত, কারণ এই পাসওয়ার্ডটি সহজেই সেই ব্যক্তিদের কাছে পরিচিত হতে পারে যাদের আমরা নেটওয়ার্কে অ্যাক্সেস দিতে চাই না।
যাইহোক, এমনকি এই সত্য নেটওয়ার্ক নিরাপত্তা প্রভাবিত করবে না, কারণ বেসিক ডেটা এনক্রিপশন এবং ব্যবহারকারীর প্রমাণীকরণ পিপিপি প্রোটোকল দ্বারা সঞ্চালিত হয়। কিন্তু ন্যায্যতার ক্ষেত্রে, এটা লক্ষণীয় যে স্ট্রংওয়ান প্রমাণীকরণের জন্য আরও নিরাপদ প্রযুক্তি সমর্থন করে, উদাহরণস্বরূপ, ব্যক্তিগত কী ব্যবহার করে। স্ট্রংসওয়ানের স্মার্ট কার্ড ব্যবহার করে প্রমাণীকরণ প্রদান করার ক্ষমতাও রয়েছে, কিন্তু এখনও পর্যন্ত শুধুমাত্র সীমিত পরিসরের ডিভাইস সমর্থিত এবং তাই রুটোকেন টোকেন এবং স্মার্ট কার্ড ব্যবহার করে প্রমাণীকরণ করা এখনও কঠিন। ফাইলের মাধ্যমে একটি সাধারণ পাসওয়ার্ড সেট করা যাক /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

আসুন স্ট্রংওয়ান পুনরায় চালু করি:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tp ইনস্টল করা হচ্ছে

sudo dnf install xl2tpd

ফাইলের মাধ্যমে কনফিগার করা যাক /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

পরিষেবাটি পুনরায় চালু করা যাক:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

পিপিপি সেটআপ

pppd এর সর্বশেষ সংস্করণটি ইনস্টল করার পরামর্শ দেওয়া হচ্ছে। এটি করার জন্য, কমান্ডের নিম্নলিখিত ক্রমটি চালান:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

ফাইলে লিখুন /etc/ppp/options.xl2tpd নিম্নলিখিতগুলি (যদি সেখানে কোনও মান থাকে তবে আপনি সেগুলি মুছতে পারেন):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

আমরা রুট সার্টিফিকেট এবং সার্ভার সার্টিফিকেট ইস্যু করি:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

এইভাবে, আমরা বেসিক সার্ভার সেটআপ সম্পন্ন করেছি। সার্ভারের বাকি কনফিগারেশনে নতুন ক্লায়েন্ট যোগ করা জড়িত।

একটি নতুন ক্লায়েন্ট যোগ করা হচ্ছে

নেটওয়ার্কে একটি নতুন ক্লায়েন্ট যোগ করতে, আপনাকে অবশ্যই এই ক্লায়েন্টের জন্য বিশ্বস্তদের তালিকায় এর শংসাপত্র যোগ করতে হবে।

যদি একজন ব্যবহারকারী একটি VPN নেটওয়ার্কের সদস্য হতে চান, তাহলে তিনি এই ক্লায়েন্টের জন্য একটি মূল জোড়া এবং একটি শংসাপত্র অ্যাপ্লিকেশন তৈরি করেন। যদি ব্যবহারকারী বিশ্বস্ত হয়, তাহলে এই অ্যাপ্লিকেশনটি স্বাক্ষরিত হতে পারে, এবং ফলাফল শংসাপত্রটি সার্টিফিকেট ডিরেক্টরিতে লেখা যেতে পারে:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

ক্লায়েন্টের নাম এবং এর শংসাপত্রের সাথে মেলে /etc/ppp/eaptls-server ফাইলে একটি লাইন যোগ করা যাক:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

বিঃদ্রঃ
বিভ্রান্তি এড়াতে, এটি ভাল যে: সাধারণ নাম, সার্টিফিকেট ফাইলের নাম এবং ব্যবহারকারীর নাম অনন্য।

আমরা যে ব্যবহারকারীর নাম যোগ করছি সেটি অন্য প্রমাণীকরণ ফাইলে কোথাও দেখা যাচ্ছে না তাও যাচাই করা উচিত, অন্যথায় ব্যবহারকারীর প্রমাণীকরণের পদ্ধতিতে সমস্যা হবে।

একই সার্টিফিকেট ব্যবহারকারীকে ফেরত পাঠাতে হবে।

একটি মূল জোড়া এবং শংসাপত্র তৈরি করা হচ্ছে

সফল প্রমাণীকরণের জন্য, ক্লায়েন্টকে অবশ্যই:

1. একটি কী জোড়া তৈরি করুন;
2. একটি CA রুট সার্টিফিকেট আছে;
3. মূল CA দ্বারা স্বাক্ষরিত আপনার কী জোড়ার জন্য একটি শংসাপত্র আছে৷

লিনাক্সে ক্লায়েন্টের জন্য

প্রথমে, আসুন টোকেনে একটি কী জোড়া তৈরি করি এবং শংসাপত্রের জন্য একটি অ্যাপ্লিকেশন তৈরি করি:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

CA-তে প্রদর্শিত client.req অ্যাপ্লিকেশনটি পাঠান। একবার আপনি আপনার কী জোড়ার জন্য একটি শংসাপত্র পেয়ে গেলে, কী হিসাবে একই আইডি সহ একটি টোকেনে এটি লিখুন:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

উইন্ডোজ এবং লিনাক্স ক্লায়েন্টদের জন্য (আরো সর্বজনীন পদ্ধতি)

এই পদ্ধতিটি আরও সার্বজনীন, কারণ আপনাকে একটি কী এবং সার্টিফিকেট তৈরি করতে দেয় যা উইন্ডোজ এবং লিনাক্স ব্যবহারকারীদের দ্বারা সফলভাবে স্বীকৃত হবে, তবে কী তৈরির প্রক্রিয়াটি চালানোর জন্য এটির একটি উইন্ডোজ মেশিনের প্রয়োজন।

অনুরোধ তৈরি এবং শংসাপত্র আমদানি করার আগে, আপনাকে অবশ্যই বিশ্বস্তদের তালিকায় VPN নেটওয়ার্কের মূল শংসাপত্র যোগ করতে হবে৷ এটি করার জন্য, এটি খুলুন এবং যে উইন্ডোটি খোলে, সেখানে "ইনস্টল সার্টিফিকেট" বিকল্পটি নির্বাচন করুন:

খোলা উইন্ডোতে, স্থানীয় ব্যবহারকারীর জন্য একটি শংসাপত্র ইনস্টল করা নির্বাচন করুন:

CA এর বিশ্বস্ত রুট সার্টিফিকেট স্টোরে শংসাপত্রটি ইনস্টল করা যাক:

এই সমস্ত কর্মের পরে, আমরা আরও সমস্ত পয়েন্টের সাথে একমত। সিস্টেম এখন কনফিগার করা হয়েছে.

আসুন নিম্নলিখিত বিষয়বস্তু সহ একটি cert.tmp ফাইল তৈরি করি:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

এর পরে, আমরা একটি কী জোড়া তৈরি করব এবং শংসাপত্রের জন্য একটি অ্যাপ্লিকেশন তৈরি করব। এটি করার জন্য, পাওয়ারশেল খুলুন এবং নিম্নলিখিত কমান্ডটি প্রবেশ করুন:

certreq.exe -new -pin $PIN .cert.tmp .client.req

তৈরি করা অ্যাপ্লিকেশন client.req আপনার CA-তে পাঠান এবং client.pem সার্টিফিকেট পাওয়ার জন্য অপেক্ষা করুন। এটি একটি টোকেনে লেখা এবং নিম্নলিখিত কমান্ড ব্যবহার করে Windows সার্টিফিকেট স্টোরে যোগ করা যেতে পারে:

certreq.exe -accept .client.pem

এটি লক্ষণীয় যে অনুরূপ ক্রিয়াগুলি এমএমসি প্রোগ্রামের গ্রাফিকাল ইন্টারফেস ব্যবহার করে পুনরুত্পাদন করা যেতে পারে, তবে এই পদ্ধতিটি বেশি সময়সাপেক্ষ এবং কম প্রোগ্রামযোগ্য।

উবুন্টু ক্লায়েন্ট সেট আপ করা হচ্ছে

বিঃদ্রঃ
লিনাক্সে একটি ক্লায়েন্ট সেট আপ করা বর্তমানে বেশ সময়সাপেক্ষ, কারণ... উৎস থেকে পৃথক প্রোগ্রাম নির্মাণ প্রয়োজন. আমরা নিশ্চিত করার চেষ্টা করব যে সমস্ত পরিবর্তন অদূর ভবিষ্যতে অফিসিয়াল রিপোজিটরিতে অন্তর্ভুক্ত করা হয়েছে।

সার্ভারের সাথে IPSec স্তরে সংযোগ নিশ্চিত করতে, strongswan প্যাকেজ এবং xl2tp ডেমন ব্যবহার করা হয়। স্মার্ট কার্ড ব্যবহার করে নেটওয়ার্কে সংযোগ সহজ করতে, আমরা l2tp-ipsec-vpn প্যাকেজ ব্যবহার করব, যা সরলীকৃত সংযোগ সেটআপের জন্য একটি গ্রাফিক্যাল শেল প্রদান করে।

আসুন ধাপে ধাপে উপাদানগুলি একত্রিত করা শুরু করি, তবে তার আগে আমরা ভিপিএন সরাসরি কাজ করার জন্য প্রয়োজনীয় সমস্ত প্যাকেজ ইনস্টল করব:

sudo apt-get install xl2tpd strongswan libp11-3

টোকেন দিয়ে কাজ করার জন্য সফ্টওয়্যার ইনস্টল করা

থেকে সর্বশেষ librtpkcs11ecp.so লাইব্রেরি ইনস্টল করুন সাইট, এছাড়াও স্মার্ট কার্ডের সাথে কাজ করার জন্য লাইব্রেরি:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

রুটোকেন সংযোগ করুন এবং এটি সিস্টেম দ্বারা স্বীকৃত কিনা তা পরীক্ষা করুন:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

প্যাচড পিপিপি ইনস্টল করা হচ্ছে

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

L2tpIpsecVpn ক্লায়েন্ট ইনস্টল করা হচ্ছে

এই মুহূর্তে, ক্লায়েন্টকেও সোর্স কোড থেকে কম্পাইল করা দরকার। নিম্নলিখিত কমান্ডের ক্রম ব্যবহার করে এটি করা হয়:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

L2tpIpsecVpn ক্লায়েন্ট সেট আপ করা হচ্ছে

ইনস্টল করা ক্লায়েন্ট চালু করুন:

লঞ্চের পরে, L2tpIpsecVPN অ্যাপলেট খোলা উচিত। এটিতে ডান ক্লিক করুন এবং সংযোগটি কনফিগার করুন:

টোকেনগুলির সাথে কাজ করার জন্য, প্রথমত, আমরা OpenSSL এর opensc ইঞ্জিন এবং PKCS#11 লাইব্রেরির পথ নির্দেশ করি। এটি করার জন্য, openssl প্যারামিটারগুলি কনফিগার করতে "পছন্দগুলি" ট্যাবটি খুলুন:

.

ওপেনএসএসএল সেটিংস উইন্ডোটি বন্ধ করে নেটওয়ার্ক সেট আপ করতে এগিয়ে চলুন। সেটিংস প্যানেলে যোগ করুন... বোতামে ক্লিক করে একটি নতুন নেটওয়ার্ক যোগ করা যাক এবং নেটওয়ার্কের নাম লিখুন:

এর পরে, এই নেটওয়ার্ক সেটিংস প্যানেলে উপলব্ধ হবে। এটি কনফিগার করতে নতুন নেটওয়ার্কে ডাবল-ডান-ক্লিক করুন। প্রথম ট্যাবে আপনাকে IPsec সেটিংস করতে হবে। সার্ভার ঠিকানা এবং সর্বজনীন কী সেট করা যাক:

এর পরে, পিপিপি সেটিংস ট্যাবে যান এবং সেখানে ব্যবহারকারীর নাম নির্দেশ করুন যার অধীনে আমরা নেটওয়ার্ক অ্যাক্সেস করতে চাই:

এর পরে, বৈশিষ্ট্য ট্যাবটি খুলুন এবং কী, ক্লায়েন্ট শংসাপত্র এবং CA-এর পথটি নির্দিষ্ট করুন:

আসুন এই ট্যাবটি বন্ধ করি এবং চূড়ান্ত সেটিংস সম্পাদন করি; এটি করার জন্য, "আইপি সেটিংস" ট্যাবটি খুলুন এবং "স্বয়ংক্রিয়ভাবে DNS সার্ভার ঠিকানা প্রাপ্ত করুন" বিকল্পের পাশের বাক্সটি চেক করুন:

এই বিকল্পটি ক্লায়েন্টকে সার্ভার থেকে নেটওয়ার্কের মধ্যে একটি ব্যক্তিগত আইপি ঠিকানা পেতে অনুমতি দেবে।

সমস্ত সেটিংসের পরে, সমস্ত ট্যাব বন্ধ করুন এবং ক্লায়েন্ট পুনরায় চালু করুন:

নেটওয়ার্কের সাথে সংযুক্ত হচ্ছে

সেটিংসের পরে, আপনি নেটওয়ার্কের সাথে সংযোগ করতে পারেন। এটি করার জন্য, অ্যাপলেট ট্যাবটি খুলুন এবং যে নেটওয়ার্কটিতে আমরা সংযোগ করতে চাই সেটি নির্বাচন করুন:

সংযোগ স্থাপন প্রক্রিয়া চলাকালীন, ক্লায়েন্ট আমাদের রুটোকেন পিন কোড লিখতে বলবেন:

যদি স্ট্যাটাস বারে একটি বিজ্ঞপ্তি উপস্থিত হয় যে সংযোগটি সফলভাবে প্রতিষ্ঠিত হয়েছে, তাহলে এর মানে হল সেটআপ সফল হয়েছে:

অন্যথায়, কেন সংযোগটি প্রতিষ্ঠিত হয়নি তা খুঁজে বের করা মূল্যবান। এটি করার জন্য, অ্যাপলেটে "সংযোগ তথ্য" কমান্ডটি নির্বাচন করে আপনাকে প্রোগ্রাম লগটি দেখতে হবে:

উইন্ডোজ ক্লায়েন্ট সেট আপ করা হচ্ছে

লিনাক্সের তুলনায় উইন্ডোজে ক্লায়েন্ট সেট আপ করা অনেক সহজ, কারণ... সমস্ত প্রয়োজনীয় সফ্টওয়্যার ইতিমধ্যে সিস্টেমে তৈরি করা হয়েছে।

সিস্টেম সেটআপ

আমরা রুটোকেনগুলির সাথে কাজ করার জন্য প্রয়োজনীয় সমস্ত ড্রাইভারগুলি থেকে ডাউনলোড করে ইনস্টল করব এর সাইট.

প্রমাণীকরণের জন্য একটি রুট শংসাপত্র আমদানি করা হচ্ছে

সার্ভার রুট সার্টিফিকেট ডাউনলোড করুন এবং এটি সিস্টেমে ইনস্টল করুন। এটি করার জন্য, এটি খুলুন এবং যে উইন্ডোটি খোলে, সেখানে "ইনস্টল সার্টিফিকেট" বিকল্পটি নির্বাচন করুন:

খোলা উইন্ডোতে, স্থানীয় ব্যবহারকারীর জন্য একটি শংসাপত্র ইনস্টল করা নির্বাচন করুন। আপনি যদি কম্পিউটারে সমস্ত ব্যবহারকারীদের জন্য শংসাপত্রটি উপলব্ধ করতে চান, তাহলে আপনার স্থানীয় কম্পিউটারে শংসাপত্রটি ইনস্টল করা বেছে নেওয়া উচিত:

CA এর বিশ্বস্ত রুট সার্টিফিকেট স্টোরে শংসাপত্রটি ইনস্টল করা যাক:

এই সমস্ত কর্মের পরে, আমরা আরও সমস্ত পয়েন্টের সাথে একমত। সিস্টেম এখন কনফিগার করা হয়েছে.

একটি VPN সংযোগ সেট আপ করা হচ্ছে

একটি VPN সংযোগ সেট আপ করতে, নিয়ন্ত্রণ প্যানেলে যান এবং একটি নতুন সংযোগ তৈরি করার বিকল্পটি নির্বাচন করুন৷

পপ-আপ উইন্ডোতে, আপনার কর্মক্ষেত্রে সংযোগ করতে একটি সংযোগ তৈরি করার বিকল্পটি নির্বাচন করুন:

পরবর্তী উইন্ডোতে, একটি VPN সংযোগ নির্বাচন করুন:

এবং VPN সংযোগের বিবরণ লিখুন, এবং একটি স্মার্ট কার্ড ব্যবহার করার বিকল্পটিও উল্লেখ করুন:

সেটআপ এখনও সম্পূর্ণ হয়নি. যা অবশিষ্ট থাকে তা হল IPsec প্রোটোকলের জন্য ভাগ করা কী নির্দিষ্ট করা; এটি করার জন্য, "নেটওয়ার্ক সংযোগ সেটিংস" ট্যাবে যান এবং তারপরে "এই সংযোগের বৈশিষ্ট্যগুলি" ট্যাবে যান:

যে উইন্ডোটি খোলে, সেখানে "নিরাপত্তা" ট্যাবে যান, নেটওয়ার্ক প্রকার হিসাবে "L2TP/IPsec নেটওয়ার্ক" নির্দিষ্ট করুন এবং "উন্নত সেটিংস" নির্বাচন করুন:

খোলা উইন্ডোতে, ভাগ করা IPsec কী নির্দিষ্ট করুন:

Подключение

সেটআপ সম্পূর্ণ করার পরে, আপনি নেটওয়ার্কে সংযোগ করার চেষ্টা করতে পারেন:

সংযোগ প্রক্রিয়া চলাকালীন, আমাদের টোকেন পিন কোড লিখতে হবে:

আমরা একটি নিরাপদ VPN নেটওয়ার্ক সেট আপ করেছি এবং নিশ্চিত করেছি যে এটি কঠিন নয়।

স্বীকৃতি

আমি আবারও আমাদের সহকর্মী ভ্যাসিলি শোকভ এবং আলেকজান্ডার স্মিরনভকে ধন্যবাদ জানাতে চাই যে তারা লিনাক্স ক্লায়েন্টদের জন্য ভিপিএন সংযোগ তৈরিকে সহজ করার জন্য একসাথে কাজ করেছে।

উত্স: www.habr.com