OpenVPN での SMB 組織のリモート作業の組織化

問題の定式化

この記事では、オープンソース製品での従業員のリモート アクセスの構成について説明しています。これは完全に自律的なシステムの構築にも使用でき、既存の商用システムでライセンスが不足している場合やパフォーマンスが不十分な場合の拡張にも役立ちます。

この記事の目標は、組織にリモート アクセスを提供するための完全なシステムを実装することであり、これは「10 分で OpenVPN をインストールする」にすぎません。

その結果、証明書と (オプションで) 企業 Active Directory をユーザーの認証に使用するシステムが得られます。 それ。 私たちは、私が持っているもの (証明書) と私が知っているもの (パスワード) という XNUMX つの検証要素を備えたシステムを取得します。

ユーザーが接続を許可されていることは、myVPNUsr グループのメンバーシップであることを示します。 認証局はオフラインで使用されます。

ソリューションの実装コストは、わずかなハードウェア リソースとシステム管理者の 1 時間の作業のみです。

CetntOS 3 上の OpenVPN と Easy-RSA バージョン 7 を備えた仮想マシンを使用します。これには、100 接続ごとに 4 つの vCPU と 4 GiB RAM が割り当てられます。

この例では、組織のネットワークは 172.16.0.0/16 で、アドレス 172.16.19.123 の VPN サーバーがセグメント 172.16.19.0/24、DNS サーバー 172.16.16.16 および 172.16.17.17、およびサブネット 172.16.20.0 に配置されています。 .23/XNUMX は VPN クライアントに割り当てられます。

外部から接続するには、ポート 1194/udp 経由の接続が使用され、サーバーの DNS に A レコード gw.abc.ru が作成されています。

SELinux を無効にすることは厳密には推奨されません。 OpenVPN はセキュリティ ポリシーを無効にすることなく動作します。

ページ内容

1. OSやアプリケーションソフトのインストール
2. 暗号化のセットアップ
3. OpenVPN の設定
4. AD認証
5. 起動と診断
6. 証明書の発行と失効
7. ネットワーク設定
8. 次のステップ

OSやアプリケーションソフトのインストール

CentOS 7.8.2003 ディストリビューションを使用します。 最小構成で OS をインストールする必要があります。 これを使用すると便利です キックスタート、以前にインストールされた OS イメージのクローン作成などの手段。

インストール後、ネットワーク インターフェイスにアドレスを割り当て (タスク 172.16.19.123 の条件に従って)、OS を更新します。

$ sudo yum update -y && reboot

また、マシン上で時刻同期が実行されていることを確認する必要もあります。
アプリケーション ソフトウェアをインストールするには、メイン エディタとして openvpn、openvpn-auth-ldap、easy-rsa、および vim パッケージが必要です (EPEL リポジトリが必要です)。

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

仮想マシンにゲスト エージェントをインストールすると便利です。

$ sudo yum install open-vm-tools

VMware ESXi ホストの場合、または oVirt の場合

$ sudo yum install ovirt-guest-agent

暗号化のセットアップ

easy-rsa ディレクトリに移動します。

$ cd /usr/share/easy-rsa/3/

変数ファイルを作成します。

$ sudo vim vars

次のコンテンツ：

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

ここでは、条件付き組織 ABC LLC のパラメータについて説明します。これらのパラメータを実際のパラメータに修正することも、例からのパラメータをそのまま使用することもできます。 パラメーターの中で最も重要なのは最後の行で、証明書の有効期間を日数で決定します。 この例では、値 10 年 (365*10+2 閏年) を使用します。 この値は、ユーザー証明書を発行する前に調整する必要があります。

次に、自律的な認証局を構成します。

セットアップには、変数のエクスポート、CA の初期化、CA ルート キーと証明書、Diffie-Hellman キー、TLS キー、サーバー キーと証明書の発行が含まれます。 CA キーは慎重に保護し、秘密にしておく必要があります。 すべてのクエリパラメータはデフォルトのままにすることができます。

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

これで、暗号化メカニズムのセットアップの主要部分が完了しました。

OpenVPN の設定

OpenVPN ディレクトリに移動し、サービス ディレクトリを作成し、easy-rsa へのリンクを追加します。

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

メインの OpenVPN 構成ファイルを作成します。

$ sudo vim server.conf

以下の内容

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

パラメータに関する注意事項:

• 証明書の発行時に別の名前が指定された場合は、それを示します。
• タスクに合わせてアドレスのプールを指定します*。
• XNUMX つ以上のルートと DNS サーバーが存在する可能性があります。
• 最後の 2 行は、AD** で認証を実装するために必要です。

*例で選択したアドレスの範囲では、最大 127 のクライアントが同時に接続できます。 /23 ネットワークが選択され、OpenVPN は /30 マスクを使用して各クライアントのサブネットを作成します。
特に必要な場合は、ポートとプロトコルを変更できます。ただし、ポートのポート番号を変更するには SELinux の設定が必要になり、tcp プロトコルを使用するとオーバーヘッドが増加することに留意する必要があります。 TCP パケットの配信制御は、トンネル内にカプセル化されたパケットのレベルですでに実行されています。

**AD での認証が必要ない場合は、コメントアウトして次のセクションをスキップし、テンプレート内で認証してください。 auth-user-pass 行を削除します.

AD認証

XNUMX 番目の要素をサポートするために、AD でアカウント検証を使用します。

通常のユーザーとグループの権限を持つドメイン内のアカウントが必要です。そのメンバーシップによって接続できるかどうかが決まります。

構成ファイルを作成します。

/etc/openvpn/ldap.conf

以下の内容

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

Основныепараметры：

• URL「ldap://ldap.abc.ru」 - ドメインコントローラーのアドレス。
• BindDN "CN=bindUsr,CN=Users,DC=abc,DC=ru" - LDAP にバインドするための正規名 (UZ - abc.ru/Users コンテナーの bindingUsr)。
• パスワード b1ndP@SS — バインド用のユーザー パスワード。
• BaseDN "OU=allUsr,DC=abc,DC=ru" — ユーザーの検索を開始するパス。
• BaseDN "OU=myGrp,DC=abc,DC=ru" – 許可グループのコンテナー (abc.rumyGrp コンテナー内のグループ myVPNUsr)。
• SearchFilter "(cn=myVPNUsr)" は、許可するグループの名前です。

起動と診断

これで、サーバーを有効にして起動してみます。

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

起動チェック：

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

証明書の発行と失効

なぜなら証明書自体に加えて、キーやその他の設定が必要となるため、これらすべてを XNUMX つのプロファイル ファイルにラップすると非常に便利です。 このファイルはユーザーに転送され、プロファイルが OpenVPN クライアントにインポートされます。 これを行うには、設定テンプレートとプロファイルを生成するスクリプトを作成します。

ルート証明書 (ca.crt) ファイルと TLS キー (ta.key) ファイルの内容をプロファイルに追加する必要があります。

ユーザー証明書を発行する前に 証明書に必要な有効期間を設定することを忘れないでください パラメータファイル内。 あまり長くしすぎないようにしてください。最長 180 日までに制限することをお勧めします。

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

備考：

• 行 あなたのものを置いてください... コンテンツに変更 火災 証明書。
• リモート ディレクティブで、ゲートウェイの名前/アドレスを指定します。
• auth-user-pass ディレクティブは、追加の外部認証に使用されます。

ホーム ディレクトリ (またはその他の便利な場所) に、証明書を要求してプロファイルを作成するためのスクリプトを作成します。

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

ファイルを実行可能にする:

chmod a+x ~/make.profile.sh

そして、最初の証明書を発行できます。

~/make.profile.sh my-first-user

レビュー

証明書が侵害された場合 (紛失、盗難)、この証明書を取り消す必要があります。

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

発行済みおよび失効した証明書を表示する

発行済みおよび失効した証明書を表示するには、インデックス ファイルを表示するだけです。

cd /usr/share/easy-rsa/3/
cat pki/index.txt

説明：

• 最初の行はサーバー証明書です。
• 最初の文字
  • V (有効) - 有効。
  • R (取り消し) - リコールされました。

ネットワーク設定

最後のステップは、伝送ネットワーク (ルーティングとファイアウォール) を構成することです。

ローカル ファイアウォールでの接続を許可します。

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

次に、IP トラフィック ルーティングを有効にします。

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

企業環境では、サブネット化が行われる可能性があり、ルーターに VPN クライアント宛てのパケットの送信方法を指示する必要があります。 コマンド ラインでは、次の方法でコマンドを実行します (使用する機器に応じて異なります)。

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

そして設定を保存します。

さらに、外部アドレス gw.abc.ru が提供されるボーダー ルーター インターフェイスでは、udp/1194 パケットの通過を許可する必要があります。

組織に厳格なセキュリティ ルールがある場合は、VPN サーバー上にファイアウォールも設定する必要があります。 私の意見では、iptables FORWARD チェーンを設定することで最大の柔軟性が提供されますが、設定はそれほど便利ではありません。 それらの設定についてもう少し詳しく説明します。 これを行うには、ファイルに保存された直接ルールである「直接ルール」を使用するのが最も便利です。 /etc/firewalld/direct.xml。 ルールの現在の構成は次のようになります。

$ sudo firewall-cmd --direct --get-all-rule

ファイルを変更する前に、そのバックアップ コピーを作成します。

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

ファイルのおおよその内容は次のとおりです。

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

説明

これらは基本的に通常の iptables ルールですが、それ以外の場合は firewalld の出現後にパッケージ化されています。

デフォルト設定の宛先インターフェイスは tun0 で、トンネルの外部インターフェイスは、使用されているプラ​​ットフォームに応じて、たとえば ens192 など異なる場合があります。

最後の行は、ドロップされたパケットをログに記録するためのものです。 ログを機能させるには、firewalld 構成のデバッグ レベルを変更する必要があります。

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

設定の適用は、設定を再読み取る通常の firewalld コマンドです。

$ sudo firewall-cmd --reload

ドロップされたパケットは次のように表示できます。

grep forward_fw /var/log/messages

次のステップ

これで設定は完了です！

残っているのは、クライアント側にクライアント ソフトウェアをインストールし、プロファイルをインポートして接続することだけです。 Windows オペレーティング システムの場合、配布キットは次の場所にあります。 開発者サイト.

最後に、新しいサーバーを監視およびアーカイブ システムに接続し、定期的に更新プログラムをインストールすることを忘れないでください。

安定した接続！

出所： habr.com