SMB կազմակերպության հեռավար աշխատանքի կազմակերպում OpenVPN-ում
Խնդրի ձևակերպում
Հոդվածում նկարագրվում է բաց կոդով արտադրանքի վրա աշխատողների համար հեռահար մուտքի կազմակերպումը և կարող է օգտագործվել ինչպես ամբողջովին ինքնավար համակարգ կառուցելու համար, այնպես էլ օգտակար կլինի ընդլայնելու համար, երբ առկա առևտրային համակարգում լիցենզիաների պակաս կա կամ դրա կատարումը անբավարար է:
Հոդվածի նպատակն է ներդնել կազմակերպությանը հեռահար մուտք ապահովելու ամբողջական համակարգ, որը մի փոքր ավելին է, քան «10 րոպեում OpenVPN-ի տեղադրումը»:
Արդյունքում մենք կստանանք համակարգ, որում սերտիֆիկատները և (ըստ ցանկության) կորպորատիվ Active Directory-ը կօգտագործվեն օգտատերերի իսկությունը հաստատելու համար: Դա. մենք կստանանք երկու ստուգիչ գործոն ունեցող համակարգ՝ այն, ինչ ունեմ (սերտիֆիկատ) և այն, ինչ գիտեմ (գաղտնաբառ):
Նշան, որ օգտագործողին թույլատրվում է միանալ, նրա անդամակցությունն է myVPNUsr խմբին: Վկայագրի լիազորությունը կօգտագործվի անցանց:
Լուծման ներդրման արժեքը կազմում է միայն փոքր ապարատային ռեսուրսները և համակարգի ադմինիստրատորի 1 ժամ աշխատանքը։
Մենք կօգտագործենք վիրտուալ մեքենա OpenVPN-ով և Easy-RSA 3-րդ տարբերակով CetntOS 7-ում, որին հատկացվում է 100 vCPU և 4 GiB RAM 4 միացման համար:
Օրինակում մեր կազմակերպության ցանցն է 172.16.0.0/16, որում 172.16.19.123 հասցեով VPN սերվերը գտնվում է 172.16.19.0/24 հատվածում, DNS սերվերները 172.16.16.16 և 172.16.17.17, 172.16.20.0. .23/XNUMX հատկացված է VPN հաճախորդների համար :
Դրսից միանալու համար օգտագործվում է կապ 1194/udp պորտի միջոցով, և մեր սերվերի համար DNS-ում ստեղծվել է A-record gw.abc.ru:
Խստիվ խորհուրդ չի տրվում անջատել SELinux-ը: OpenVPN-ն աշխատում է առանց անվտանգության քաղաքականությունը անջատելու։
Մենք օգտագործում ենք CentOS 7.8.2003 բաշխումը: Մենք պետք է տեղադրենք ՕՀ-ը նվազագույն կոնֆիգուրացիայով: Դա հարմար է դա անել օգտագործելով ատկատ, նախկինում տեղադրված OS պատկերի և այլ միջոցների կլոնավորում։
Տեղադրվելուց հետո, ցանցի ինտերֆեյսին հասցե նշանակելով (ըստ 172.16.19.123 առաջադրանքի պայմանների), մենք թարմացնում ենք ՕՀ-ը.
$ sudo yum update -y && reboot
Մենք նաև պետք է համոզվենք, որ ժամանակի համաժամացումը կատարվում է մեր մեքենայի վրա:
Հավելվածային ծրագրեր տեղադրելու համար ձեզ անհրաժեշտ են openvpn, openvpn-auth-ldap, easy-rsa և vim փաթեթները որպես հիմնական խմբագրիչ (ձեզ անհրաժեշտ կլինի EPEL պահեստը):
Պայմանական կազմակերպության ABC LLC-ի պարամետրերը նկարագրված են այստեղ, կարող եք դրանք ուղղել իրականին կամ թողնել օրինակից: Պարամետրերում ամենակարևորը վերջին տողն է, որը որոշում է վկայագրի վավերականության ժամկետը օրերով: Օրինակում օգտագործվում է 10 տարի (365*10+2 նահանջ տարի) արժեքը։ Այս արժեքը պետք է ճշգրտվի նախքան օգտագործողի վկայականների տրամադրումը:
Հաջորդը, մենք կազմաձևում ենք ինքնավար սերտիֆիկացման մարմին:
Կարգավորումը ներառում է փոփոխականների արտահանում, CA-ի սկզբնավորում, CA արմատային բանալի և վկայականի, Diffie-Hellman բանալին, TLS բանալի և սերվերի բանալի և վկայականի թողարկում: CA բանալին պետք է խնամքով պաշտպանված լինի և գաղտնի պահվի: Հարցման բոլոր պարամետրերը կարող են լռելյայն մնալ:
Սա ավարտում է ծածկագրման մեխանիզմի ստեղծման հիմնական մասը:
OpenVPN-ի կարգավորում
Գնացեք OpenVPN գրացուցակ, ստեղծեք ծառայության գրացուցակներ և ավելացրեք հղում easy-rsa-ին.
cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/
Ստեղծեք հիմնական OpenVPN կազմաձևման ֆայլը.
$ sudo vim server.conf
հետևյալ բովանդակությունը
port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf
Որոշ նշումներ պարամետրերի վերաբերյալ.
եթե վկայականը տրամադրելիս նշվել է այլ անուն, նշեք այն.
նշեք հասցեների խումբը, որը համապատասխանում է ձեր առաջադրանքներին*;
կարող են լինել մեկ կամ մի քանի երթուղիներ և DNS սերվերներ.
Վերջին 2 տողերն անհրաժեշտ են AD**-ում նույնականացումն իրականացնելու համար:
*Օրինակում ընտրված հասցեների շրջանակը թույլ կտա միաժամանակ միանալ մինչև 127 հաճախորդ, քանի որ ընտրված է /23 ցանցը, և OpenVPN-ը յուրաքանչյուր հաճախորդի համար ստեղծում է ենթացանց՝ օգտագործելով /30 դիմակը:
Հատկապես անհրաժեշտության դեպքում նավահանգիստը և արձանագրությունը կարող են փոխվել, այնուամենայնիվ, պետք է հիշել, որ նավահանգստի պորտի համարը փոխելը կհանգեցնի SELinux-ի կազմաձևմանը, իսկ tcp արձանագրության օգտագործումը կբարձրացնի ծախսերը, քանի որ TCP փաթեթների առաքման հսկողությունն արդեն իրականացվում է թունելում պարփակված փաթեթների մակարդակով:
**Եթե AD-ում նույնականացումն անհրաժեշտ չէ, մեկնաբանեք դրանք, բաց թողեք հաջորդ բաժինը և կաղապարում հեռացնել auth-user-pass տողը.
AD Նույնականացում
Երկրորդ գործոնին աջակցելու համար մենք կօգտագործենք հաշվի ստուգումը AD-ում:
Մեզ անհրաժեշտ է տիրույթում սովորական օգտատիրոջ և խմբի իրավունքներով հաշիվ, որի անդամակցությունը կորոշի կապվելու հնարավորությունը։
systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log
Վկայականի տրամադրում և չեղարկում
Որովհետեւ Բացի հենց վկայագրերից, ձեզ անհրաժեշտ են բանալիներ և այլ կարգավորումներ, շատ հարմար է այս ամենը փաթաթել մեկ պրոֆիլային ֆայլում: Այնուհետև այս ֆայլը փոխանցվում է օգտագործողին և պրոֆիլը ներմուծվում է OpenVPN հաճախորդի վրա: Դա անելու համար մենք կստեղծենք կարգավորումների ձևանմուշ և պրոֆիլը ստեղծող սցենար:
Դուք պետք է պրոֆիլին ավելացնեք արմատային վկայագրի (ca.crt) և TLS բանալի (ta.key) ֆայլերի բովանդակությունը:
Օգտագործողի վկայականներ տրամադրելուց առաջ մի մոռացեք սահմանել վկայագրերի վավերականության պահանջվող ժամկետը պարամետրերի ֆայլում: Պետք չէ շատ երկարացնել, խորհուրդ եմ տալիս սահմանափակվել առավելագույնը 180 օրով:
vim /usr/share/easy-rsa/3/vars
...
export EASYRSA_CERT_EXPIRE=180
vim /usr/share/easy-rsa/3/client/template.ovpn
client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>
Ծանուցում:
գծերը ԴՐԵՔ ՁԵՐ... փոխել բովանդակությանը նրանց վկայականներ;
հեռավոր հրահանգում նշեք ձեր դարպասի անունը/հասցեն.
auth-user-pass հրահանգն օգտագործվում է լրացուցիչ արտաքին նույնականացման համար:
Տնային գրացուցակում (կամ այլ հարմար վայրում) մենք ստեղծում ենք սկրիպտ՝ վկայագիր պահանջելու և պրոֆիլ ստեղծելու համար.
vim ~/make.profile.sh
#!/bin/bash
if [ -z "$1" ] ; then
echo Missing mandatory client name. Usage: $0 vpn-username
exit 1
fi
#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn
#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client
cd $basepath
if [ -f client/$client* ]; then
echo "*** ERROR! ***"
echo "Certificate $client already issued!"
echo "*** ERROR! ***"
exit 1
fi
. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client
#Make profile
cp $clntpath/template.ovpn $profile
echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile
echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt
echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile
#remove tmp file
rm -f $basepath/$1.crt
echo Complete. See $profile file.
cd ~
Ֆայլը գործարկելի դարձնելը.
chmod a+x ~/make.profile.sh
Եվ մենք կարող ենք տալ մեր առաջին վկայականը:
~/make.profile.sh my-first-user
մտաբերել
Վկայականի խախտման (կորստի, գողության) դեպքում անհրաժեշտ է չեղյալ համարել սույն վկայագիրը.
cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl
Դիտեք տրված և չեղյալ համարված վկայականները
Տրված և չեղյալ համարված վկայագրերը դիտելու համար պարզապես դիտեք ինդեքսային ֆայլը.
cd /usr/share/easy-rsa/3/
cat pki/index.txt
Բացատրություններ.
առաջին տողը սերվերի վկայագիրն է.
առաջին կերպարը
V (Վավերական) - վավեր;
R (Չեղյալ) - հիշեց.
Ցանցի կոնֆիգուրացիա
Վերջին քայլերը հաղորդման ցանցի կազմաձևումն է՝ երթուղավորում և firewalls:
Կորպորատիվ միջավայրում, ամենայն հավանականությամբ, կլինեն ենթացանց, և մենք պետք է ասենք երթուղիչին (երթուղիչներին), թե ինչպես ուղարկել փաթեթներ, որոնք նախատեսված են մեր VPN հաճախորդների համար: Հրամանի տողում մենք հրամանը կատարում ենք հետևյալ կերպ (կախված օգտագործվող սարքավորումներից).
# ip route 172.16.20.0 255.255.254.0 172.16.19.123
և պահպանել կոնֆիգուրացիան:
Բացի այդ, սահմանային երթուղիչի ինտերֆեյսի վրա, որտեղ սպասարկվում է gw.abc.ru արտաքին հասցեն, անհրաժեշտ է թույլատրել udp/1194 փաթեթների անցումը:
Այն դեպքում, երբ կազմակերպությունն ունի անվտանգության խիստ կանոններ, ապա մեր VPN սերվերում պետք է կազմաձևվի նաև firewall: Իմ կարծիքով, ամենամեծ ճկունությունն ապահովվում է iptables FORWARD շղթաների տեղադրմամբ, թեև դրանց տեղադրումն ավելի քիչ հարմար է: Մի փոքր ավելին դրանց ստեղծման մասին: Դա անելու համար առավել հարմար է օգտագործել «ուղիղ կանոններ»՝ ուղղակի կանոններ, որոնք պահվում են ֆայլում /etc/firewalld/direct.xml. Կանոնների ընթացիկ կոնֆիգուրացիան կարելի է գտնել հետևյալ կերպ.
Ըստ էության, դրանք կանոնավոր iptables կանոններ են, որոնք տարբեր կերպով փաթեթավորված են firewalld-ի հայտնվելուց հետո:
Նախնական կարգավորումներով նպատակակետ միջերեսը tun0 է, իսկ թունելի արտաքին ինտերֆեյսը կարող է տարբեր լինել, օրինակ՝ ens192՝ կախված օգտագործվող հարթակից:
Վերջին տողը ընկած փաթեթները գրանցելու համար է: Որպեսզի գրանցումը աշխատի, դուք պետք է փոխեք վրիպազերծման մակարդակը firewall-ի կազմաձևում.
vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2
Կարգավորումների կիրառումը սովորական firewall հրամանն է՝ կարգավորումները նորից կարդալու համար.
$ sudo firewall-cmd --reload
Դուք կարող եք դիտել բաց թողնված փաթեթները հետևյալ կերպ.
grep forward_fw /var/log/messages
Ինչ է հաջորդը
Սա ավարտում է կարգավորումը:
Մնում է միայն տեղադրել հաճախորդի ծրագրակազմը հաճախորդի կողմից, ներմուծել պրոֆիլը և միացնել: Windows օպերացիոն համակարգերի համար բաշխման փաթեթը տեղադրված է մշակողի կայք.
Վերջապես, մենք միացնում ենք մեր նոր սերվերը մոնիտորինգի և արխիվացման համակարգերին և չենք մոռանում պարբերաբար թարմացումներ տեղադրել: