Formulación del problema
El artículo describe la organización del acceso remoto para empleados a productos de código abierto y puede usarse tanto para construir un sistema completamente autónomo como para expandirlo cuando haya escasez de licencias en el sistema comercial existente o su rendimiento sea insuficiente.
El propósito de este artículo es implementar un sistema completo para proporcionar acceso remoto a una organización, que es poco más que “instalación”. OpenVPN en 10 minutos."
Como resultado, obtendremos un sistema en el que se utilizarán certificados y (opcionalmente) el Active Directory corporativo para autenticar a los usuarios. Eso. obtendremos un sistema con dos factores de verificación: lo que tengo (certificado) y lo que sé (contraseña).
Una señal de que un usuario puede conectarse es su membresía en el grupo myVPNUsr. La autoridad de certificación se utilizará sin conexión.
El costo de implementar la solución es de solo pequeños recursos de hardware y 1 hora de trabajo del administrador del sistema.
Usaremos una máquina virtual con OpenVPN y Easy-RSA versión 3 en CetntOS 7, al que se le asignan 4 vCPU y 4 GiB de RAM por cada 100 conexiones.
En el ejemplo, la red de nuestra organización es 172.16.0.0/16, en la cual el servidor VPN con la dirección 172.16.19.123 se ubica en el segmento 172.16.19.0/24, los servidores DNS 172.16.16.16 y 172.16.17.17, y la subred 172.16.20.0 .23/XNUMX está asignado para clientes VPN.
Para conectarse desde el exterior, se utiliza una conexión a través del puerto 1194/udp y se ha creado un registro A gw.abc.ru en el DNS de nuestro servidor.
Se recomienda encarecidamente no deshabilitar SELinux! OpenVPN Funciona sin desactivar las políticas de seguridad.
contenido
Instalación del sistema operativo y software de aplicación.
Utilizamos la distribución CentOS 7.8.2003. Necesitamos instalar el sistema operativo en una configuración mínima. Es conveniente hacerlo usando , clonación de una imagen del sistema operativo previamente instalada y otros medios.
Después de la instalación, asignando una dirección a la interfaz de red (según los términos de la tarea 172.16.19.123), actualizamos el sistema operativo:
$ sudo yum update -y && reboot
También debemos asegurarnos de que se realice la sincronización horaria en nuestra máquina.
Para instalar el software de la aplicación, necesita los paquetes openvpn, openvpn-auth-ldap, easy-rsa y vim como editor principal (necesitará el repositorio EPEL).
$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim
Es útil instalar un agente invitado para una máquina virtual:
$ sudo yum install open-vm-toolspara hosts VMware ESXi o para oVirt
$ sudo yum install ovirt-guest-agent
Configurar criptografía
Vaya al directorio easy-rsa:
$ cd /usr/share/easy-rsa/3/Crea un archivo de variables:
$ sudo vim varsel siguiente contenido:
export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="admin@abc.ru"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652
Los parámetros para la organización condicional ABC LLC se describen aquí, puede corregirlos a los reales o dejarlos del ejemplo. Lo más importante en los parámetros es la última línea, que determina el período de validez del certificado en días. El ejemplo utiliza el valor 10 años (365*10+2 años bisiestos). Este valor deberá ajustarse antes de emitir los certificados de usuario.
A continuación, configuramos una autoridad de certificación autónoma.
La configuración incluye exportar variables, inicializar la CA, emitir la clave raíz y el certificado de la CA, la clave Diffie-Hellman, la clave TLS y la clave y el certificado del servidor. ¡La clave CA debe protegerse cuidadosamente y mantenerse en secreto! Todos los parámetros de consulta se pueden dejar como predeterminados.
cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key
Esto completa la parte principal de la configuración del mecanismo criptográfico.
Ajuste OpenVPN
Ir al catalogo OpenVPN, crea directorios de servicio y agrega un enlace a easy-rsa:
cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/
Cree un archivo de configuración principal. OpenVPN:
$ sudo vim server.confel siguiente contenido
port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf
Algunas notas sobre los parámetros:
- si al emitir el certificado se especificó un nombre diferente, indíquelo;
- especifique el conjunto de direcciones que se adaptan a sus tareas*;
- puede haber una o más rutas y servidores DNS;
- Las últimas 2 líneas son necesarias para implementar la autenticación en AD**.
*El rango de direcciones seleccionado en el ejemplo permitirá que hasta 127 clientes se conecten simultáneamente, ya que se selecciona la red /23, y OpenVPN crea una subred con máscara /30 para cada cliente.
Si surge una necesidad especial, se pueden cambiar el puerto y el protocolo; sin embargo, cabe señalar que cambiar el número de puerto implicará la configuración de SE.Linuxy el uso del protocolo TCP aumentará los costos generales, ya que el control de la entrega de paquetes TCP ya se realiza a nivel de los paquetes encapsulados en el túnel.
**Si no es necesaria la autenticación en AD, coméntelos, omita la siguiente sección y en la plantilla eliminar la línea de contraseña de usuario de autenticación.
Autenticación de anuncios
Para respaldar el segundo factor, utilizaremos la verificación de cuenta en AD.
Necesitamos una cuenta en el dominio con los derechos de un usuario común y un grupo, cuya membresía determinará la capacidad de conectarse.
Cree un archivo de configuración:
/etc/openvpn/ldap.confel siguiente contenido
<LDAP>
URL "ldap://ldap.abc.ru"
BindDN "CN=bindUsr,CN=Users,DC=abc,DC=ru"
Password b1ndP@SS
Timeout 15
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "OU=allUsr,DC=abc,DC=ru"
SearchFilter "(sAMAccountName=%u)"
RequireGroup true
<Group>
BaseDN "OU=myGrp,DC=abc,DC=ru"
SearchFilter "(cn=myVPNUsr)"
MemberAttribute "member"
</Group>
</Authorization>
Los parámetros principales:
- URL "ldap://ldap.abc.ru" - dirección del controlador de dominio;
- BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” - nombre canónico para vincular a LDAP (UZ - bindUsr en el contenedor abc.ru/Users);
- Contraseña b1ndP@SS — contraseña de usuario para vinculación;
- BaseDN “OU=allUsr,DC=abc,DC=ru” — la ruta desde la cual comenzar a buscar al usuario;
- BaseDN “OU=myGrp,DC=abc,DC=ru” – contenedor del grupo permitido (grupo myVPNUsr en el contenedor abc.rumyGrp);
- SearchFilter "(cn=myVPNUsr)" es el nombre del grupo permitido.
Puesta en marcha y diagnóstico
Ahora podemos intentar habilitar e iniciar nuestro servidor:
$ sudo systemctl enable openvpn@server.service
$ sudo systemctl start openvpn@server.service
Comprobación de inicio:
systemctl status openvpn@server.service
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log
Expedición y revocación de certificados
Dado que se necesitan claves y otras configuraciones además de los certificados, resulta muy práctico agruparlo todo en un único archivo de perfil. Este archivo se transfiere al usuario y, posteriormente, el perfil se importa en el cliente. OpenVPNPara ello, crearemos una plantilla de configuración y un script que genere un perfil.
Debe agregar el contenido de los archivos del certificado raíz (ca.crt) y de la clave TLS (ta.key) al perfil.
Antes de emitir certificados de usuario no olvide establecer el período de validez requerido para los certificados en el archivo de parámetros. No debes alargarlo demasiado, te recomiendo limitarte a un máximo de 180 días.
vim /usr/share/easy-rsa/3/vars...
export EASYRSA_CERT_EXPIRE=180
vim /usr/share/easy-rsa/3/client/template.ovpnclient
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>
Notas:
- escaso PONGA SU... cambiar al contenido su certificados;
- en la directiva remota, especifique el nombre/dirección de su puerta de enlace;
- la directiva auth-user-pass se utiliza para autenticación externa adicional.
En el directorio de inicio (u otro lugar conveniente) creamos un script para solicitar un certificado y crear un perfil:
vim ~/make.profile.sh#!/bin/bash
if [ -z "$1" ] ; then
echo Missing mandatory client name. Usage: $0 vpn-username
exit 1
fi
#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn
#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client
cd $basepath
if [ -f client/$client* ]; then
echo "*** ERROR! ***"
echo "Certificate $client already issued!"
echo "*** ERROR! ***"
exit 1
fi
. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client
#Make profile
cp $clntpath/template.ovpn $profile
echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile
echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt
echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile
#remove tmp file
rm -f $basepath/$1.crt
echo Complete. See $profile file.
cd ~
Haciendo el archivo ejecutable:
chmod a+x ~/make.profile.shY podremos emitir nuestro primer certificado.
~/make.profile.sh my-first-userretirada
En caso de compromiso de un certificado (pérdida, robo), es necesario revocar este certificado:
cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl
Ver certificados emitidos y revocados
Para ver los certificados emitidos y revocados, simplemente vea el archivo de índice:
cd /usr/share/easy-rsa/3/
cat pki/index.txt
Explicación:
- la primera línea es el certificado del servidor;
- primer personaje
- V (válido) - válido;
- R (Revocado) - retirado.
Configuración de red
Los últimos pasos son configurar la red de transmisión: enrutamiento y firewalls.
Permitir conexiones en el firewall local:
$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent
A continuación, habilite el enrutamiento del tráfico IP:
$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf
En un entorno corporativo, es probable que haya subredes y debemos decirle a los enrutadores cómo enviar paquetes destinados a nuestros clientes VPN. En la línea de comando ejecutamos el comando de la manera (dependiendo del equipo utilizado):
# ip route 172.16.20.0 255.255.254.0 172.16.19.123y guarde la configuración.
Además, en la interfaz del enrutador fronterizo donde se sirve la dirección externa gw.abc.ru, es necesario permitir el paso de paquetes udp/1194.
En caso de que la organización tenga reglas de seguridad estrictas, también se debe configurar un firewall en nuestro servidor VPN. En mi opinión, la mayor flexibilidad se obtiene configurando cadenas FORWARD de iptables, aunque configurarlas es menos conveniente. Un poco más sobre cómo configurarlos. Para hacer esto, lo más conveniente es utilizar "reglas directas": reglas directas almacenadas en un archivo. /etc/firewalld/direct.xml. La configuración actual de las reglas se puede encontrar de la siguiente manera:
$ sudo firewall-cmd --direct --get-all-ruleAntes de cambiar un archivo, haga una copia de seguridad del mismo:
cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bakEl contenido aproximado del archivo es:
<?xml version="1.0" encoding="utf-8"?>
<direct>
<!--Common Remote Services-->
<!--DNS-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
<!--web-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<!--Some Other Systems-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<!--just logging-->
<rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>
Explicación
Estas son esencialmente reglas regulares de iptables, empaquetadas después de la llegada de firewalld.
La interfaz de destino con la configuración predeterminada es tun0 y la interfaz externa para el túnel puede ser diferente, por ejemplo, ens192, según la plataforma utilizada.
La última línea es para registrar paquetes descartados. Para que el inicio de sesión funcione, debe cambiar el nivel de depuración en la configuración del firewalld:
vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2
Aplicar la configuración es el comando habitual de firewalld para volver a leer la configuración:
$ sudo firewall-cmd --reloadPuede ver paquetes descartados como este:
grep forward_fw /var/log/messages
¿Qué sigue
¡Esto completa la configuración!
Lo único que queda por hacer en el lado del cliente es instalar el software cliente, importar el perfil y conectarse. Para el tipo de sistema operativo Windows La distribución se encuentra en .
Finalmente, conectamos nuestro nuevo servidor a los sistemas de monitoreo y archivo, y no nos olvidamos de instalar actualizaciones periódicamente.
¡Conexión estable!
Fuente: habr.com
