OpenVPN पर एक SMB संगठन के दूरस्थ कार्य का संगठन

समस्या का निरूपण

लेख ओपन सोर्स उत्पादों पर कर्मचारियों के लिए रिमोट एक्सेस के संगठन का वर्णन करता है और इसका उपयोग पूरी तरह से स्वायत्त प्रणाली बनाने के लिए किया जा सकता है, और मौजूदा वाणिज्यिक प्रणाली में लाइसेंस की कमी होने या इसका प्रदर्शन अपर्याप्त होने पर विस्तार के लिए उपयोगी होगा।

लेख का लक्ष्य किसी संगठन को दूरस्थ पहुंच प्रदान करने के लिए एक संपूर्ण प्रणाली लागू करना है, जो "10 मिनट में ओपनवीपीएन स्थापित करने" से थोड़ा अधिक है।

परिणामस्वरूप, हमें एक प्रणाली मिलेगी जिसमें प्रमाणपत्र और (वैकल्पिक रूप से) कॉर्पोरेट सक्रिय निर्देशिका का उपयोग उपयोगकर्ताओं को प्रमाणित करने के लिए किया जाएगा। वह। हमें दो सत्यापन कारकों के साथ एक प्रणाली मिलेगी - मेरे पास क्या है (प्रमाणपत्र) और मुझे क्या पता है (पासवर्ड)।

एक संकेत जो उपयोगकर्ता को कनेक्ट करने की अनुमति देता है वह myVPNUsr समूह में उनकी सदस्यता है। प्रमाणपत्र प्राधिकरण का उपयोग ऑफ़लाइन किया जाएगा.

समाधान को लागू करने की लागत केवल छोटे हार्डवेयर संसाधन और सिस्टम प्रशासक के 1 घंटे के काम की है।

हम CetntOS 3 पर OpenVPN और Easy-RSA संस्करण 7 के साथ एक वर्चुअल मशीन का उपयोग करेंगे, जिसे प्रति 100 कनेक्शन पर 4 vCPU और 4 GiB RAM आवंटित किया गया है।

उदाहरण में, हमारे संगठन का नेटवर्क 172.16.0.0/16 है, जिसमें 172.16.19.123 पते वाला वीपीएन सर्वर खंड 172.16.19.0/24, डीएनएस सर्वर 172.16.16.16 और 172.16.17.17 और सबनेट 172.16.20.0 में स्थित है। वीपीएन ग्राहकों के लिए .23/XNUMX आवंटित किया गया है।

बाहर से कनेक्ट करने के लिए, पोर्ट 1194/udp के माध्यम से एक कनेक्शन का उपयोग किया जाता है, और हमारे सर्वर के लिए DNS में एक A-रिकॉर्ड gw.abc.ru बनाया गया है।

SELinux को अक्षम करने की कड़ाई से अनुशंसा नहीं की जाती है! OpenVPN सुरक्षा नीतियों को अक्षम किए बिना काम करता है।

सामग्री

1. ओएस और एप्लिकेशन सॉफ़्टवेयर की स्थापना
2. क्रिप्टोग्राफी की स्थापना
3. OpenVPN को कॉन्फ़िगर करना
4. विज्ञापन प्रमाणीकरण
5. स्टार्टअप और निदान
6. प्रमाणपत्र जारी करना और रद्द करना
7. नेटवर्क विन्यास
8. आगे क्या है

ओएस और एप्लिकेशन सॉफ़्टवेयर की स्थापना

हम CentOS 7.8.2003 वितरण का उपयोग करते हैं। हमें न्यूनतम कॉन्फ़िगरेशन में OS स्थापित करने की आवश्यकता है। इसका उपयोग करना सुविधाजनक है प्रारंभब, पहले से स्थापित ओएस छवि और अन्य माध्यमों की क्लोनिंग।

स्थापना के बाद, नेटवर्क इंटरफ़ेस को एक पता निर्दिष्ट करते हुए (कार्य की शर्तों 172.16.19.123 के अनुसार), हम ओएस को अपडेट करते हैं:

$ sudo yum update -y && reboot

हमें यह भी सुनिश्चित करना होगा कि हमारी मशीन पर समय सिंक्रनाइज़ेशन निष्पादित हो।
एप्लिकेशन सॉफ़्टवेयर स्थापित करने के लिए, आपको मुख्य संपादक के रूप में openvpn, openvpn-auth-ldap, easy-rsa और vim पैकेज की आवश्यकता होगी (आपको EPEL रिपॉजिटरी की आवश्यकता होगी)।

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

वर्चुअल मशीन के लिए अतिथि एजेंट स्थापित करना उपयोगी है:

$ sudo yum install open-vm-tools

VMware ESXi होस्ट के लिए, या oVirt के लिए

$ sudo yum install ovirt-guest-agent

क्रिप्टोग्राफी की स्थापना

easy-rsa निर्देशिका पर जाएँ:

$ cd /usr/share/easy-rsa/3/

एक वैरिएबल फ़ाइल बनाएँ:

$ sudo vim vars

निम्नलिखित सामग्री:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

सशर्त संगठन एबीसी एलएलसी के पैरामीटर यहां वर्णित हैं; आप उन्हें वास्तविक लोगों में सही कर सकते हैं या उन्हें उदाहरण से छोड़ सकते हैं। मापदंडों में सबसे महत्वपूर्ण बात अंतिम पंक्ति है, जो प्रमाणपत्र की वैधता अवधि को दिनों में निर्धारित करती है। उदाहरण 10 वर्ष (365*10+2 लीप वर्ष) के मान का उपयोग करता है। उपयोगकर्ता प्रमाणपत्र जारी करने से पहले इस मान को समायोजित करने की आवश्यकता होगी।

इसके बाद, हम एक स्वायत्त प्रमाणन प्राधिकरण को कॉन्फ़िगर करते हैं।

सेटअप में वेरिएबल निर्यात करना, सीए को आरंभ करना, सीए रूट कुंजी और प्रमाणपत्र जारी करना, डिफी-हेलमैन कुंजी, टीएलएस कुंजी और सर्वर कुंजी और प्रमाणपत्र जारी करना शामिल है। सीए कुंजी को सावधानीपूर्वक संरक्षित और गुप्त रखा जाना चाहिए! सभी क्वेरी पैरामीटर को डिफ़ॉल्ट के रूप में छोड़ा जा सकता है।

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

यह क्रिप्टोग्राफ़िक तंत्र की स्थापना का मुख्य भाग पूरा करता है।

OpenVPN को कॉन्फ़िगर करना

OpenVPN निर्देशिका पर जाएं, सेवा निर्देशिका बनाएं और easy-rsa में एक लिंक जोड़ें:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

मुख्य OpenVPN कॉन्फ़िगरेशन फ़ाइल बनाएं:

$ sudo vim server.conf

निम्नलिखित सामग्री

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

पैरामीटर्स पर कुछ नोट्स:

• यदि प्रमाणपत्र जारी करते समय कोई भिन्न नाम निर्दिष्ट किया गया था, तो उसे इंगित करें;
• अपने कार्यों के अनुरूप पतों का पूल निर्दिष्ट करें*;
• एक या अधिक मार्ग और DNS सर्वर हो सकते हैं;
• AD** में प्रमाणीकरण लागू करने के लिए अंतिम 2 पंक्तियों की आवश्यकता है।

*उदाहरण में चयनित पतों की श्रेणी 127 ग्राहकों को एक साथ जुड़ने की अनुमति देगी, क्योंकि /23 नेटवर्क का चयन किया जाता है, और OpenVPN /30 मास्क का उपयोग करके प्रत्येक क्लाइंट के लिए एक सबनेट बनाता है।
यदि विशेष रूप से आवश्यक हो, तो पोर्ट और प्रोटोकॉल को बदला जा सकता है, हालांकि, यह ध्यान में रखा जाना चाहिए कि पोर्ट पोर्ट नंबर बदलने से SELinux को कॉन्फ़िगर करना होगा, और tcp प्रोटोकॉल का उपयोग करने से ओवरहेड बढ़ जाएगा, क्योंकि टीसीपी पैकेट वितरण नियंत्रण पहले से ही सुरंग में समाहित पैकेटों के स्तर पर किया जाता है।

**यदि AD में प्रमाणीकरण की आवश्यकता नहीं है, तो उन्हें टिप्पणी दें, अगला भाग छोड़ें, और टेम्पलेट में ऑथ-यूजर-पास लाइन को हटा दें.

विज्ञापन प्रमाणीकरण

दूसरे कारक का समर्थन करने के लिए, हम AD में खाता सत्यापन का उपयोग करेंगे।

हमें एक सामान्य उपयोगकर्ता और एक समूह के अधिकारों के साथ डोमेन में एक खाते की आवश्यकता है, जिसकी सदस्यता कनेक्ट करने की क्षमता निर्धारित करेगी।

एक कॉन्फ़िगरेशन फ़ाइल बनाएं:

/etc/openvpn/ldap.conf

निम्नलिखित सामग्री

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

मुख्य पैरामीटर:

• यूआरएल "ldap://ldap.abc.ru" - डोमेन नियंत्रक पता;
• बाइंडडीएन "CN=bindUsr,CN=Users,DC=abc,DC=ru" - एलडीएपी से बाइंडिंग के लिए विहित नाम (UZ - abc.ru/Users कंटेनर मेंbindUsr);
• पासवर्ड b1ndP@SS - बाइंडिंग के लिए उपयोगकर्ता पासवर्ड;
• BaseDN "OU=allUsr,DC=abc,DC=ru" - वह पथ जहां से उपयोगकर्ता की खोज शुरू की जाए;
• BaseDN "OU=myGrp,DC=abc,DC=ru" - अनुमति समूह का कंटेनर (कंटेनर abc.rumyGrp में समूह myVPNUsr);
• SearchFilter "(cn=myVPNUsr)" अनुमति देने वाले समूह का नाम है।

स्टार्टअप और निदान

अब हम अपने सर्वर को सक्षम और प्रारंभ करने का प्रयास कर सकते हैं:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

स्टार्टअप जांच:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

प्रमाणपत्र जारी करना और रद्द करना

क्योंकि प्रमाणपत्रों के अलावा, आपको कुंजियाँ और अन्य सेटिंग्स की आवश्यकता होती है; यह सब एक प्रोफ़ाइल फ़ाइल में लपेटना बहुत सुविधाजनक है। फिर यह फ़ाइल उपयोगकर्ता को स्थानांतरित कर दी जाती है और प्रोफ़ाइल OpenVPN क्लाइंट पर आयात की जाती है। ऐसा करने के लिए, हम एक सेटिंग टेम्प्लेट और एक स्क्रिप्ट बनाएंगे जो प्रोफ़ाइल उत्पन्न करती है।

आपको प्रोफ़ाइल में रूट प्रमाणपत्र (ca.crt) और TLS कुंजी (ta.key) फ़ाइलों की सामग्री जोड़ने की आवश्यकता है।

उपयोगकर्ता प्रमाणपत्र जारी करने से पहले प्रमाणपत्रों के लिए आवश्यक वैधता अवधि निर्धारित करना न भूलें पैरामीटर फ़ाइल में. आपको इसे बहुत लंबा नहीं करना चाहिए; मैं अपने आप को अधिकतम 180 दिनों तक सीमित रखने की सलाह देता हूं।

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

नोट:

• पंक्तियां अपना डालें... सामग्री में बदलें आग प्रमाणपत्र;
• दूरस्थ निर्देश में, अपने गेटवे का नाम/पता निर्दिष्ट करें;
• अतिरिक्त बाहरी प्रमाणीकरण के लिए ऑथ-यूज़र-पास निर्देश का उपयोग किया जाता है।

होम निर्देशिका (या अन्य सुविधाजनक स्थान) में हम प्रमाणपत्र का अनुरोध करने और प्रोफ़ाइल बनाने के लिए एक स्क्रिप्ट बनाते हैं:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

फ़ाइल को निष्पादन योग्य बनाना:

chmod a+x ~/make.profile.sh

और हम अपना पहला प्रमाणपत्र जारी कर सकते हैं।

~/make.profile.sh my-first-user

समीक्षा करें

किसी प्रमाणपत्र से समझौता (हानि, चोरी) होने की स्थिति में, इस प्रमाणपत्र को रद्द करना आवश्यक है:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

जारी किए गए और निरस्त किए गए प्रमाणपत्र देखें

जारी किए गए और निरस्त किए गए प्रमाणपत्र देखने के लिए, बस अनुक्रमणिका फ़ाइल देखें:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

स्पष्टीकरण:

• पहली पंक्ति सर्वर प्रमाणपत्र है;
• पहला पात्र
  • वी (वैध) - वैध;
  • आर (निरस्त) - वापस बुला लिया गया।

नेटवर्क विन्यास

अंतिम चरण ट्रांसमिशन नेटवर्क - रूटिंग और फ़ायरवॉल को कॉन्फ़िगर करना है।

स्थानीय फ़ायरवॉल में कनेक्शन की अनुमति:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

इसके बाद, आईपी ट्रैफ़िक रूटिंग सक्षम करें:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

कॉर्पोरेट वातावरण में, सबनेटिंग होने की संभावना है और हमें राउटर को यह बताने की ज़रूरत है कि हमारे वीपीएन ग्राहकों के लिए पैकेट कैसे भेजें। कमांड लाइन पर हम कमांड को इस प्रकार निष्पादित करते हैं (इस्तेमाल किए गए उपकरण के आधार पर):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

और कॉन्फ़िगरेशन को सहेजें.

इसके अलावा, बॉर्डर राउटर इंटरफ़ेस पर जहां बाहरी पता gw.abc.ru परोसा जाता है, udp/1194 पैकेट के पारित होने की अनुमति देना आवश्यक है।

यदि संगठन के पास सख्त सुरक्षा नियम हैं, तो हमारे वीपीएन सर्वर पर एक फ़ायरवॉल भी कॉन्फ़िगर किया जाना चाहिए। मेरी राय में, आईपीटेबल्स फॉरवर्ड चेन स्थापित करने से सबसे बड़ी लचीलापन प्रदान की जाती है, हालांकि उन्हें स्थापित करना कम सुविधाजनक है। उन्हें स्थापित करने के बारे में थोड़ा और। ऐसा करने के लिए, "प्रत्यक्ष नियम" का उपयोग करना सबसे सुविधाजनक है - एक फ़ाइल में संग्रहीत प्रत्यक्ष नियम /etc/firewalld/direct.xml. नियमों का वर्तमान विन्यास इस प्रकार पाया जा सकता है:

$ sudo firewall-cmd --direct --get-all-rule

किसी फ़ाइल को बदलने से पहले, उसकी एक बैकअप प्रतिलिपि बना लें:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

फ़ाइल की अनुमानित सामग्री इस प्रकार है:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

स्पष्टीकरण

ये अनिवार्य रूप से नियमित iptables नियम हैं, अन्यथा फ़ायरवॉल के आगमन के बाद पैक किए जाते हैं।

डिफ़ॉल्ट सेटिंग्स के साथ गंतव्य इंटरफ़ेस tun0 है, और सुरंग के लिए बाहरी इंटरफ़ेस भिन्न हो सकता है, उदाहरण के लिए, उपयोग किए गए प्लेटफ़ॉर्म के आधार पर, ens192।

अंतिम पंक्ति गिराए गए पैकेटों को लॉग करने के लिए है। काम पर लॉग इन करने के लिए, आपको फ़ायरवॉल कॉन्फ़िगरेशन में डिबग स्तर को बदलना होगा:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

सेटिंग्स को फिर से पढ़ने के लिए सेटिंग्स लागू करना सामान्य फ़ायरवॉल कमांड है:

$ sudo firewall-cmd --reload

आप गिराए गए पैकेटों को इस प्रकार देख सकते हैं:

grep forward_fw /var/log/messages

आगे क्या है

यह सेटअप पूरा करता है!

जो कुछ बचा है वह क्लाइंट सॉफ़्टवेयर को क्लाइंट साइड पर इंस्टॉल करना, प्रोफ़ाइल आयात करना और कनेक्ट करना है। विंडोज़ ऑपरेटिंग सिस्टम के लिए, वितरण किट स्थित है डेवलपर साइट.

अंत में, हम अपने नए सर्वर को मॉनिटरिंग और आर्काइविंग सिस्टम से जोड़ते हैं, और नियमित रूप से अपडेट इंस्टॉल करना नहीं भूलते हैं।

स्थिर कनेक्शन!

स्रोत: www.habr.com