საკითხები

სულ ახლახან, ბევრმა არ იცოდა, როგორი იყო სახლიდან მუშაობა. პანდემიამ მკვეთრად შეცვალა ვითარება მსოფლიოში, ყველამ დაიწყო ადაპტაცია არსებულ ვითარებასთან, კერძოდ იმ ფაქტთან, რომ სახლიდან გასვლა უბრალოდ სახიფათო გახდა. და ბევრს მოუწია სწრაფად მოეწყო სამუშაო სახლიდან მათი თანამშრომლებისთვის.

ამასთან, კომპეტენტური მიდგომის არარსებობამ დისტანციური მუშაობისთვის გადაწყვეტილებების არჩევისას შეიძლება გამოიწვიოს შეუქცევადი დანაკარგები. მომხმარებლის პაროლების მოპარვა შესაძლებელია და ეს საშუალებას მისცემს თავდამსხმელს უკონტროლოდ დაუკავშირდეს საწარმოს ქსელსა და IT რესურსებს.

სწორედ ამიტომ გაიზარდა საიმედო კორპორატიული VPN ქსელების შექმნის საჭიროება. მე გეტყვით შესახებ საიმედო, უსაფრთხო и მარტივი VPN ქსელის გამოყენებისას.

ის მუშაობს IPsec/L2TP სქემის მიხედვით, რომელიც იყენებს ტოკენებზე შენახულ კლავიშებს და სერთიფიკატებს კლიენტების ავთენტიფიკაციისთვის და ასევე გადასცემს მონაცემებს ქსელში დაშიფრული ფორმით.

სერვერი CentOS 7-ით (მისამართი: centos.vpn.server.ad) და კლიენტი Ubuntu 20.04-ით, ისევე როგორც კლიენტი Windows 10-ით, გამოიყენებოდა კონფიგურაციის სადემონსტრაციო სტენდებად.

Სისტემის აღწერა

VPN იმუშავებს IPSec + L2TP + PPP სქემის მიხედვით. Ოქმი წერტილი-წერტილი პროტოკოლი (PPP) მუშაობს OSI მოდელის მონაცემთა ბმულის ფენაზე და უზრუნველყოფს მომხმარებლის ავტორიზაციას და გადაცემული მონაცემების დაშიფვრას. მისი მონაცემები ჩასმულია L2TP პროტოკოლის მონაცემებში, რომელიც ფაქტობრივად უზრუნველყოფს VPN ქსელში კავშირის შექმნას, მაგრამ არ უზრუნველყოფს ავთენტიფიკაციას და დაშიფვრას.

L2TP მონაცემები ინკაფსულირებულია IPSec-ში, რომელიც ასევე უზრუნველყოფს ავთენტიფიკაციას და დაშიფვრას, მაგრამ PPP-ისგან განსხვავებით, ავტორიზაცია და დაშიფვრა ხდება მოწყობილობის დონეზე და არა მომხმარებლის დონეზე.

ეს ფუნქცია საშუალებას გაძლევთ დაადასტუროთ მომხმარებლები მხოლოდ გარკვეული მოწყობილობებიდან. ჩვენ გამოვიყენებთ IPSec პროტოკოლს, როგორც არის და დავუშვებთ მომხმარებლის ავტორიზაციას ნებისმიერი მოწყობილობიდან.

სმარტ ბარათების გამოყენებით მომხმარებლის ავტორიზაცია განხორციელდება PPP პროტოკოლის დონეზე EAP-TLS პროტოკოლის გამოყენებით.

უფრო დეტალური ინფორმაცია ამ მიკროსქემის მუშაობის შესახებ შეგიძლიათ იხილოთ ეს მუხლი.

რატომ აკმაყოფილებს ეს სქემა კარგი VPN ქსელის სამივე მოთხოვნას?

1. ამ სქემის სანდოობა დროთა განმავლობაში გამოცდილია. იგი გამოიყენება VPN ქსელების განსათავსებლად 2000 წლიდან.
2. მომხმარებლის უსაფრთხო ავთენტიფიკაცია უზრუნველყოფილია PPP პროტოკოლით. პოლ მაკერასის მიერ შემუშავებული PPP პროტოკოლის სტანდარტული განხორციელება არ უზრუნველყოფს უსაფრთხოების საკმარის დონეს, რადგან ავთენტიფიკაციისთვის, საუკეთესო შემთხვევაში, ავტორიზაცია გამოიყენება შესვლისა და პაროლის გამოყენებით. ჩვენ ყველამ ვიცით, რომ შესვლის პაროლის თვალთვალის, გამოცნობა ან მოპარვა შესაძლებელია. თუმცა, უკვე დიდი ხანია დეველოპერი იან ჯასტ კეისერი в მისი განხორციელება ამ პროტოკოლმა გამოასწორა ეს პრობლემა და დაამატა ასიმეტრიულ დაშიფვრაზე დაფუძნებული პროტოკოლების გამოყენების შესაძლებლობა, როგორიცაა EAP-TLS, ავტორიზაციისთვის. გარდა ამისა, მან დაამატა სმარტ ბარათების ავთენტიფიკაციისთვის გამოყენების შესაძლებლობა, რამაც სისტემა უფრო უსაფრთხო გახადა.
   ამჟამად აქტიური მოლაპარაკებები მიმდინარეობს ამ ორი პროექტის გაერთიანებაზე და დარწმუნებული იყავით, რომ ადრე თუ გვიან ეს მაინც მოხდება. მაგალითად, PPP-ის დაპატჩირებული ვერსია დიდი ხანია იყო Fedora-ს საცავებში, იყენებდა უსაფრთხო პროტოკოლებს ავთენტიფიკაციისთვის.
3. ბოლო დრომდე, ამ ქსელის გამოყენება მხოლოდ Windows-ის მომხმარებლებს შეეძლოთ, მაგრამ ჩვენმა კოლეგებმა მოსკოვის სახელმწიფო უნივერსიტეტიდან ვასილი შოკოვმა და ალექსანდრე სმირნოვმა აღმოაჩინეს. ძველი L2TP კლიენტის პროექტი Linux-ისთვის და შეცვალა იგი. ჩვენ ერთად დავაფიქსირეთ ბევრი ხარვეზი და ხარვეზი კლიენტის მუშაობაში, გავამარტივეთ სისტემის ინსტალაცია და კონფიგურაცია, მაშინაც კი, როდესაც აშენებთ წყაროდან. მათგან ყველაზე მნიშვნელოვანი არის:
   • დაფიქსირდა ძველი კლიენტის თავსებადობის პრობლემები openssl და qt ახალი ვერსიების ინტერფეისთან.
   • ამოღებულია pppd ჟეტონის PIN-ის დროებით ფაილში გადაცემისგან.
   • დაფიქსირდა პაროლის მოთხოვნის პროგრამის არასწორი გაშვება გრაფიკული ინტერფეისის საშუალებით. ეს გაკეთდა xl2tpd სერვისისთვის სწორი გარემოს დაყენებით.
   • L2tpIpsecVpn დემონის აწყობა ახლა ხორციელდება თავად კლიენტის აშენებასთან ერთად, რაც ამარტივებს აშენების და კონფიგურაციის პროცესს.
   • განვითარების სიმარტივისთვის, Azure Pipelines სისტემა დაკავშირებულია კონსტრუქციის სისწორის შესამოწმებლად.
   • დამატებულია იძულებითი დაქვეითების შესაძლებლობა უსაფრთხოების დონე openssl-ის კონტექსტში. ეს სასარგებლოა ახალი ოპერაციული სისტემების სწორი მხარდაჭერისთვის, სადაც უსაფრთხოების სტანდარტული დონე დაყენებულია 2-ზე, VPN ქსელებით, რომლებიც იყენებენ სერთიფიკატებს, რომლებიც არ აკმაყოფილებენ ამ დონის უსაფრთხოების მოთხოვნებს. ეს ვარიანტი სასარგებლო იქნება არსებულ ძველ VPN ქსელებთან მუშაობისთვის.

შესწორებული ვერსია შეგიძლიათ იხილოთ აქ ეს საცავი.

ეს კლიენტი მხარს უჭერს სმარტ ბარათების გამოყენებას ავთენტიფიკაციისთვის და ასევე მაქსიმალურად მალავს ყველა სირთულეს და სირთულეს ამ სქემის დაყენებისას Linux-ში, რაც კლიენტის დაყენებას რაც შეიძლება მარტივ და სწრაფს ხდის.

რა თქმა უნდა, PPP-სა და კლიენტის GUI-ს შორის მოსახერხებელი კავშირისთვის, შეუძლებელი იყო თითოეული პროექტის დამატებითი რედაქტირების გარეშე, მაგრამ მიუხედავად ამისა, ისინი მინიმუმამდე დაყვანილი და მინიმუმამდე შემცირდა:

• დაფიქსირდა PPP-დან openssl კონტექსტში ტოკენის PIN კოდის არასწორად გადამისამართების შეცდომა
• დაფიქსირდა შეცდომა კონფიგურაციის ჩატვირთვისა და openssl კონტექსტის ინიციალიზაციის თანმიმდევრობაში. ეს შეცდომა არ გვაძლევდა საშუალებას, ჩატვირთოთ არაფერი ადგილობრივი /etc/ppp/openssl.cnf კონფიგურაციის ფაილიდან გარდა ინფორმაციის openssl ძრავების შესახებ სმარტ ბარათებთან მუშაობისთვის, რაც სერიოზული უხერხულობა იყო, თუ, მაგალითად, ძრავების შესახებ ინფორმაციის გარდა, რაღაც სხვა რამის დაყენება გვინდოდა. მაგალითად, დააფიქსირეთ უსაფრთხოების დონე კავშირის დამყარებისას.

ახლა თქვენ შეგიძლიათ დაიწყოთ დაყენება.

სერვერის დაყენება

მოდით დავაყენოთ ყველა საჭირო პაკეტი.

ძლიერი სვანის ინსტალაცია (IPsec)

უპირველეს ყოვლისა, მოდით დავაკონფიგურიროთ firewall ipsec ოპერაციისთვის

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

მაშინ დავიწყოთ ინსტალაცია

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

ინსტალაციის შემდეგ, თქვენ უნდა დააკონფიგურიროთ strongswan (ერთ-ერთი IPSec განხორციელება). ამისათვის შეცვალეთ ფაილი /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

ჩვენ ასევე დავაყენებთ საერთო შესვლის პაროლს. გაზიარებული პაროლი უნდა იცოდეს ქსელის ყველა მონაწილეს ავთენტიფიკაციისთვის. ეს მეთოდი აშკარად არასანდოა, რადგან ეს პაროლი ადვილად გახდება ცნობილი იმ პირებისთვის, ვისთვისაც არ გვინდა ქსელში წვდომის მიცემა.
თუმცა, ეს ფაქტიც არ იმოქმედებს ქსელის უსაფრთხოებაზე, რადგან მონაცემთა ძირითადი დაშიფვრა და მომხმარებლის ავთენტიფიკაცია ხორციელდება PPP პროტოკოლით. მაგრამ სამართლიანობისთვის, აღსანიშნავია, რომ ძლიერი სვანი მხარს უჭერს უფრო უსაფრთხო ტექნოლოგიებს ავტორიზაციისთვის, მაგალითად, პირადი გასაღებების გამოყენებით. Strongswan-ს ასევე აქვს უნარი უზრუნველყოს ავთენტიფიკაცია ჭკვიანი ბარათების გამოყენებით, მაგრამ ჯერჯერობით მხოლოდ მოწყობილობების შეზღუდული სპექტრია მხარდაჭერილი და, შესაბამისად, ავტორიზაცია რუტოკენის ტოკენების და ჭკვიანი ბარათების გამოყენებით ჯერ კიდევ რთულია. მოდით დავაყენოთ ზოგადი პაროლი ფაილის საშუალებით /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

მოდით გადატვირთოთ ძლიერი:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tp-ის ინსტალაცია

sudo dnf install xl2tpd

მოდით დავაკონფიგურიროთ ის ფაილის საშუალებით /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

მოდით გადატვირთოთ სერვისი:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

PPP დაყენება

მიზანშეწონილია დააინსტალიროთ pppd-ის უახლესი ვერსია. ამისათვის შეასრულეთ ბრძანებების შემდეგი თანმიმდევრობა:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

ჩაწერეთ ფაილში /etc/ppp/options.xl2tpd შემდეგი (თუ არსებობს რაიმე მნიშვნელობა, შეგიძლიათ წაშალოთ ისინი):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

ჩვენ გავცემთ root სერთიფიკატს და სერვერის სერთიფიკატს:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

ამრიგად, ჩვენ დავასრულეთ სერვერის ძირითადი დაყენება. სერვერის დანარჩენი კონფიგურაცია მოიცავს ახალი კლიენტების დამატებას.

ახალი კლიენტის დამატება

ქსელში ახალი კლიენტის დასამატებლად, თქვენ უნდა დაამატოთ მისი სერთიფიკატი ამ კლიენტის სანდოების სიაში.

თუ მომხმარებელს სურს გახდეს VPN ქსელის წევრი, ის ქმნის გასაღების წყვილს და სერტიფიკატის აპლიკაციას ამ კლიენტისთვის. თუ მომხმარებელი სანდოა, მაშინ ამ აპლიკაციის ხელმოწერა შესაძლებელია და მიღებული სერთიფიკატის ჩაწერა სერტიფიკატების დირექტორიაში:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

მოდით დავამატოთ ხაზი /etc/ppp/eaptls-server ფაილს, რათა შეესაბამებოდეს კლიენტის სახელსა და მის სერთიფიკატს:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

შენიშვნა
დაბნეულობის თავიდან ასაცილებლად, უმჯობესია: საერთო სახელი, სერთიფიკატის ფაილის სახელი და მომხმარებლის სახელი იყოს უნიკალური.

ასევე ღირს იმის შემოწმება, რომ მომხმარებლის სახელი, რომელსაც ჩვენ ვამატებთ, არსად არ ჩანს სხვა ავთენტიფიკაციის ფაილებში, წინააღმდეგ შემთხვევაში, პრობლემები შეექმნება მომხმარებლის ავთენტიფიკაციის გზას.

იგივე სერტიფიკატი უნდა გაუგზავნოს მომხმარებელს.

გასაღების წყვილის და სერტიფიკატის გენერირება

წარმატებული ავთენტიფიკაციისთვის კლიენტმა უნდა:

1. გასაღების წყვილის გენერირება;
2. გქონდეთ CA root სერთიფიკატი;
3. გქონდეთ სერთიფიკატი თქვენი გასაღების წყვილისთვის, ხელმოწერილი root CA-ს მიერ.

კლიენტისთვის Linux-ზე

პირველ რიგში, მოდით შევქმნათ გასაღების წყვილი ჟეტონზე და შევქმნათ აპლიკაცია სერთიფიკატისთვის:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

გაგზავნეთ client.req აპლიკაცია, რომელიც გამოჩნდება CA-ს. მას შემდეგ რაც მიიღებთ სერთიფიკატს თქვენი გასაღების წყვილისთვის, ჩაწერეთ ის ჟეტონზე იგივე ID, როგორც გასაღები:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

Windows და Linux კლიენტებისთვის (უფრო უნივერსალური მეთოდი)

ეს მეთოდი უფრო უნივერსალურია, რადგან საშუალებას გაძლევთ შექმნათ გასაღები და სერთიფიკატი, რომელიც წარმატებით იქნება აღიარებული Windows-ისა და Linux-ის მომხმარებლების მიერ, მაგრამ ეს მოითხოვს Windows-ის აპარატს გასაღების გენერირების პროცედურის განსახორციელებლად.

მოთხოვნების გენერირებამდე და სერთიფიკატების იმპორტამდე, თქვენ უნდა დაამატოთ VPN ქსელის ძირეული სერტიფიკატი სანდოების სიაში. ამისათვის გახსენით და ფანჯარაში, რომელიც იხსნება, აირჩიეთ "სერთიფიკატის ინსტალაციის" ვარიანტი:

ფანჯარაში, რომელიც იხსნება, აირჩიეთ სერთიფიკატის დაყენება ადგილობრივი მომხმარებლისთვის:

მოდით დავაყენოთ სერთიფიკატი CA-ს სანდო root სერტიფიკატების მაღაზიაში:

ყველა ამ მოქმედების შემდეგ, ჩვენ ვეთანხმებით ყველა შემდგომ პუნქტს. სისტემა ახლა კონფიგურირებულია.

მოდით შევქმნათ ფაილი cert.tmp შემდეგი შინაარსით:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

ამის შემდეგ, ჩვენ გამოვქმნით გასაღების წყვილს და შევქმნით აპლიკაციას სერტიფიკატისთვის. ამისათვის გახსენით powershell და შეიყვანეთ შემდეგი ბრძანება:

certreq.exe -new -pin $PIN .cert.tmp .client.req

გაგზავნეთ შექმნილი აპლიკაცია client.req თქვენს CA-ში და დაელოდეთ client.pem სერთიფიკატის მიღებას. ის შეიძლება ჩაიწეროს ჟეტონზე და დაემატოს Windows სერტიფიკატების მაღაზიას შემდეგი ბრძანების გამოყენებით:

certreq.exe -accept .client.pem

აღსანიშნავია, რომ მსგავსი მოქმედებების რეპროდუცირება შესაძლებელია mmc პროგრამის გრაფიკული ინტერფეისის გამოყენებით, მაგრამ ეს მეთოდი უფრო შრომატევადი და ნაკლებად პროგრამირებადია.

Ubuntu კლიენტის დაყენება

შენიშვნა
Linux-ზე კლიენტის დაყენება ამჟამად საკმაოდ შრომატევადია, რადგან... მოითხოვს ცალკეული პროგრამების შექმნას წყაროდან. ჩვენ ვეცდებით უზრუნველვყოთ, რომ უახლოეს მომავალში ყველა ცვლილება შევიდეს ოფიციალურ საცავებში.

სერვერთან IPSec დონეზე კავშირის უზრუნველსაყოფად, გამოიყენება ძლიერი სვანის პაკეტი და xl2tp დემონი. სმარტ ბარათების გამოყენებით ქსელთან დაკავშირების გასამარტივებლად, ჩვენ გამოვიყენებთ l2tp-ipsec-vpn პაკეტს, რომელიც უზრუნველყოფს გამარტივებული კავშირის დაყენების გრაფიკულ გარსს.

დავიწყოთ ელემენტების ეტაპობრივად აწყობა, მაგრამ მანამდე დავაინსტალირებთ ყველა საჭირო პაკეტს VPN-ის უშუალო მუშაობისთვის:

sudo apt-get install xl2tpd strongswan libp11-3

პროგრამული უზრუნველყოფის ინსტალაცია ტოკენებთან მუშაობისთვის

დააინსტალირეთ უახლესი librtpkcs11ecp.so ბიბლიოთეკა сайта, ასევე სმარტ ბარათებთან მუშაობის ბიბლიოთეკები:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

შეაერთეთ Rutoken და შეამოწმეთ, რომ ის აღიარებულია სისტემის მიერ:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

ინსტალაცია დაყენებული ppp

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

L2tpIpsecVpn კლიენტის ინსტალაცია

ამ დროისთვის კლიენტს ასევე სჭირდება წყაროს კოდიდან შედგენა. ეს კეთდება ბრძანებების შემდეგი თანმიმდევრობის გამოყენებით:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

L2tpIpsecVpn კლიენტის დაყენება

გაუშვით დაინსტალირებული კლიენტი:

გაშვების შემდეგ, L2tpIpsecVPN აპლეტი უნდა გაიხსნას. დააწკაპუნეთ მასზე მარჯვენა ღილაკით და დააკონფიგურირეთ კავშირი:

ტოკენებთან მუშაობისთვის, პირველ რიგში, ჩვენ მივუთითებთ გზას OpenSSL ძრავის opensc ძრავისა და PKCS#11 ბიბლიოთეკისკენ. ამისათვის გახსენით "Preferences" ჩანართი openssl პარამეტრების კონფიგურაციისთვის:

.

მოდით დავხუროთ OpenSSL პარამეტრების ფანჯარა და გადავიდეთ ქსელის დაყენებაზე. მოდით დავამატოთ ახალი ქსელი პარამეტრების პანელში ღილაკზე Add... დაწკაპუნებით და ჩაწერეთ ქსელის სახელი:

ამის შემდეგ, ეს ქსელი ხელმისაწვდომი გახდება პარამეტრების პანელში. ორჯერ დააწკაპუნეთ მაუსის მარჯვენა ღილაკით ახალ ქსელზე მისი კონფიგურაციისთვის. პირველ ჩანართზე თქვენ უნდა გააკეთოთ IPsec პარამეტრები. მოდით დავაყენოთ სერვერის მისამართი და საჯარო გასაღები:

ამის შემდეგ გადადით PPP პარამეტრების ჩანართზე და მიუთითეთ მომხმარებლის სახელი, რომლის მიხედვითაც გვინდა ქსელში წვდომა:

ამის შემდეგ გახსენით თვისებების ჩანართი და მიუთითეთ გასაღების, კლიენტის სერტიფიკატის და CA-ს გზა:

დავხუროთ ეს ჩანართი და შევასრულოთ საბოლოო პარამეტრები; ამისათვის გახსენით „IP პარამეტრების“ ჩანართი და მონიშნეთ ყუთი „ავტომატურად მიიღეთ DNS სერვერის მისამართის“ გვერდით:

ეს პარამეტრი საშუალებას მისცემს კლიენტს მიიღოს პერსონალური IP მისამართი ქსელში სერვერისგან.

ყველა პარამეტრის შემდეგ დახურეთ ყველა ჩანართი და გადატვირთეთ კლიენტი:

ქსელის კავშირი

პარამეტრების შემდეგ, შეგიძლიათ დაუკავშირდეთ ქსელს. ამისათვის გახსენით აპლეტის ჩანართი და აირჩიეთ ქსელი, რომელთანაც გვინდა დაკავშირება:

კავშირის დამყარების პროცესში კლიენტი გვთხოვს შევიტანოთ Rutoken PIN კოდი:

თუ სტატუსის ზოლში გამოჩნდება შეტყობინება, რომ კავშირი წარმატებით დამყარდა, ეს ნიშნავს, რომ დაყენება წარმატებით დასრულდა:

წინააღმდეგ შემთხვევაში, ღირს იმის გარკვევა, თუ რატომ არ დამყარდა კავშირი. ამისათვის თქვენ უნდა გადახედოთ პროგრამის ჟურნალს აპლეტში ბრძანების "დაკავშირების ინფორმაციის" არჩევით:

Windows კლიენტის დაყენება

Windows-ზე კლიენტის დაყენება ბევრად უფრო ადვილია, ვიდრე Linux-ზე, რადგან... ყველა საჭირო პროგრამა უკვე ჩაშენებულია სისტემაში.

სისტემის დაყენება

ჩვენ დავაინსტალირებთ ყველა საჭირო დრაივერს Rutokens-თან მუშაობისთვის მათი ჩამოტვირთვის გზით დან. საიტი.

ავთენტიფიკაციისთვის root სერთიფიკატის იმპორტი

ჩამოტვირთეთ სერვერის root სერთიფიკატი და დააინსტალირეთ სისტემაში. ამისათვის გახსენით და ფანჯარაში, რომელიც იხსნება, აირჩიეთ "სერთიფიკატის ინსტალაციის" ვარიანტი:

ფანჯარაში, რომელიც იხსნება, აირჩიეთ სერთიფიკატის დაყენება ადგილობრივი მომხმარებლისთვის. თუ გსურთ, რომ სერთიფიკატი ხელმისაწვდომი იყოს კომპიუტერის ყველა მომხმარებლისთვის, მაშინ უნდა აირჩიოთ სერთიფიკატის დაინსტალირება ადგილობრივ კომპიუტერზე:

მოდით დავაყენოთ სერთიფიკატი CA-ს სანდო root სერტიფიკატების მაღაზიაში:

ყველა ამ მოქმედების შემდეგ, ჩვენ ვეთანხმებით ყველა შემდგომ პუნქტს. სისტემა ახლა კონფიგურირებულია.

VPN კავშირის დაყენება

VPN კავშირის დასაყენებლად გადადით მართვის პანელზე და აირჩიეთ ახალი კავშირის შექმნის ვარიანტი.

ამომხტარ ფანჯარაში აირჩიეთ ვარიანტი, რომ შექმნათ კავშირი თქვენს სამუშაო ადგილთან დასაკავშირებლად:

შემდეგ ფანჯარაში აირჩიეთ VPN კავშირი:

და შეიყვანეთ VPN კავშირის დეტალები და ასევე მიუთითეთ სმარტ ბარათის გამოყენების ვარიანტი:

დაყენება ჯერ არ დასრულებულა. რჩება მხოლოდ IPsec პროტოკოლისთვის გაზიარებული გასაღების მითითება; ამისათვის გადადით "ქსელის კავშირის პარამეტრების" ჩანართზე და შემდეგ გადადით "თვისებები ამ კავშირისთვის" ჩანართზე:

ფანჯარაში, რომელიც იხსნება, გადადით "უსაფრთხოების" ჩანართზე, მიუთითეთ "L2TP/IPsec ქსელი", როგორც ქსელის ტიპი და აირჩიეთ "Advanced Settings":

ფანჯარაში, რომელიც იხსნება, მიუთითეთ საერთო IPsec გასაღები:

Подключение

დაყენების დასრულების შემდეგ, შეგიძლიათ სცადოთ ქსელთან დაკავშირება:

დაკავშირების პროცესში, ჩვენ მოგვიწევს შევიტანოთ ტოკენის PIN კოდი:

ჩვენ დავაყენეთ უსაფრთხო VPN ქსელი და დავრწმუნდით, რომ ეს არ არის რთული.

მადლობა

კიდევ ერთხელ მინდა მადლობა გადავუხადო ჩვენს კოლეგებს ვასილი შოკოვს და ალექსანდრე სმირნოვს იმ სამუშაოსთვის, რომელიც მათ ერთად გააკეთეს Linux-ის კლიენტებისთვის VPN კავშირების შექმნის გასამარტივებლად.

წყარო: www.habr.com