SMB ორგანიზაციის დისტანციური მუშაობის ორგანიზება OpenVPN-ზე

პრობლემის შესახებ განცხადება

სტატიაში აღწერილია თანამშრომლებისთვის დისტანციური წვდომის ორგანიზაცია ღია კოდის პროდუქტებზე და შეიძლება გამოყენებულ იქნას როგორც სრულიად ავტონომიური სისტემის ასაშენებლად, ასევე სასარგებლო იქნება გაფართოებისთვის, როდესაც არსებობს ლიცენზიების დეფიციტი არსებულ კომერციულ სისტემაში ან მისი შესრულება არასაკმარისია.

სტატიის მიზანია ორგანიზაციაში დისტანციური წვდომის უზრუნველსაყოფად სრული სისტემის დანერგვა, რაც ცოტა მეტია ვიდრე „OpenVPN 10 წუთში დაყენება“.

შედეგად, ჩვენ მივიღებთ სისტემას, რომელშიც სერთიფიკატები და (სურვილისამებრ) კორპორატიული Active Directory გამოყენებული იქნება მომხმარებლების ავთენტიფიკაციისთვის. რომ. ჩვენ მივიღებთ სისტემას ორი გადამოწმების ფაქტორით - რა მაქვს (სერთიფიკატი) და რა ვიცი (პაროლი).

ნიშანი იმისა, რომ მომხმარებელს დაკავშირების უფლება აქვს არის მისი წევრობა myVPNUsr ჯგუფში. სერტიფიკატის ავტორიტეტი გამოყენებული იქნება ხაზგარეშე.

გადაწყვეტის დანერგვის ღირებულება არის მხოლოდ მცირე ტექნიკის რესურსი და სისტემის ადმინისტრატორის 1 საათი მუშაობა.

ჩვენ გამოვიყენებთ ვირტუალურ მანქანას OpenVPN-ით და Easy-RSA ვერსიით 3 CetntOS 7-ზე, რომელსაც გამოყოფს 100 vCPU და 4 GiB ოპერატიული მეხსიერება 4 კავშირზე.

მაგალითში ჩვენი ორგანიზაციის ქსელია 172.16.0.0/16, რომელშიც VPN სერვერი მისამართით 172.16.19.123 მდებარეობს სეგმენტში 172.16.19.0/24, DNS სერვერები 172.16.16.16 და 172.16.17.17, 172.16.20.0. .23/XNUMX გამოყოფილია VPN კლიენტებისთვის .

გარედან დასაკავშირებლად გამოიყენება კავშირი პორტით 1194/udp და ჩვენი სერვერის DNS-ში შეიქმნა A-record gw.abc.ru.

მკაცრად არ არის რეკომენდებული SELinux-ის გამორთვა! OpenVPN მუშაობს უსაფრთხოების პოლიტიკის გამორთვის გარეშე.

ინფორმაციის

1. OS და აპლიკაციის პროგრამული უზრუნველყოფის ინსტალაცია
2. კრიპტოგრაფიის დაყენება
3. OpenVPN-ის დაყენება
4. AD ავთენტიფიკაცია
5. გაშვება და დიაგნოსტიკა
6. სერთიფიკატის გაცემა და გაუქმება
7. ქსელის კონფიგურაცია
8. რა არის შემდეგი

OS და აპლიკაციის პროგრამული უზრუნველყოფის ინსტალაცია

ჩვენ ვიყენებთ CentOS 7.8.2003 დისტრიბუციას. ჩვენ უნდა დავაყენოთ OS მინიმალურ კონფიგურაციაში. მოსახერხებელია ამის გაკეთება გამოყენებით kickstart, ადრე დაინსტალირებული OS სურათის და სხვა საშუალებების კლონირება.

ინსტალაციის შემდეგ, ქსელის ინტერფეისისთვის მისამართის მინიჭებით (172.16.19.123 დავალების პირობების მიხედვით), ვაახლებთ OS:

$ sudo yum update -y && reboot

ჩვენ ასევე უნდა დავრწმუნდეთ, რომ დროის სინქრონიზაცია შესრულებულია ჩვენს აპარატზე.
აპლიკაციის პროგრამული უზრუნველყოფის ინსტალაციისთვის, თქვენ გჭირდებათ openvpn, openvpn-auth-ldap, easy-rsa და vim პაკეტები, როგორც მთავარი რედაქტორი (თქვენ დაგჭირდებათ EPEL საცავი).

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

სასარგებლოა ვირტუალური მანქანისთვის სტუმრის აგენტის დაყენება:

$ sudo yum install open-vm-tools

VMware ESXi ჰოსტებისთვის, ან oVirt-ისთვის

$ sudo yum install ovirt-guest-agent

კრიპტოგრაფიის დაყენება

გადადით easy-rsa დირექტორიაში:

$ cd /usr/share/easy-rsa/3/

შექმენით ცვლადი ფაილი:

$ sudo vim vars

შემდეგი შინაარსი:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

პირობითი ორგანიზაციის პარამეტრები შპს ABC აღწერილია აქ, შეგიძლიათ შეასწოროთ ისინი რეალურზე ან დატოვოთ ისინი მაგალითიდან. პარამეტრებში ყველაზე მნიშვნელოვანი არის ბოლო ხაზი, რომელიც განსაზღვრავს სერტიფიკატის მოქმედების ვადას დღეებში. მაგალითში გამოყენებულია მნიშვნელობა 10 წელი (365*10+2 ნახტომი წელი). ეს მნიშვნელობა უნდა დარეგულირდეს მომხმარებლის სერთიფიკატების გაცემამდე.

შემდეგი, ჩვენ ვაკონფიგურირებთ ავტონომიური სერტიფიცირების ორგანოს.

დაყენება მოიცავს ცვლადების ექსპორტს, CA-ს ინიციალიზაციას, CA root გასაღებისა და სერთიფიკატის გაცემას, Diffie-Hellman გასაღებს, TLS კლავიშს და სერვერის კლავიშს და სერთიფიკატს. CA გასაღები საგულდაგულოდ უნდა იყოს დაცული და საიდუმლოდ დაცული! შეკითხვის ყველა პარამეტრი შეიძლება დარჩეს ნაგულისხმევად.

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

ეს ასრულებს კრიპტოგრაფიული მექანიზმის დაყენების ძირითად ნაწილს.

OpenVPN-ის დაყენება

გადადით OpenVPN დირექტორიაში, შექმენით სერვისის დირექტორიები და დაამატეთ ბმული easy-rsa-ზე:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

შექმენით მთავარი OpenVPN კონფიგურაციის ფაილი:

$ sudo vim server.conf

შემდეგი შინაარსი

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

რამდენიმე შენიშვნა პარამეტრების შესახებ:

• თუ მოწმობის გაცემისას სხვა სახელი იყო მითითებული, მიუთითეთ იგი;
• მიუთითეთ მისამართების ჯგუფი, რომელიც შეესაბამება თქვენს ამოცანებს*;
• შეიძლება იყოს ერთი ან მეტი მარშრუტი და DNS სერვერი;
• ბოლო 2 ხაზი საჭიროა AD**-ში ავთენტიფიკაციის განსახორციელებლად.

*მაგალითში შერჩეული მისამართების დიაპაზონი საშუალებას მისცემს 127-მდე კლიენტს დაკავშირდეს ერთდროულად, რადგან არჩეულია /23 ქსელი და OpenVPN ქმნის ქვექსელს თითოეული კლიენტისთვის /30 ნიღბის გამოყენებით.
განსაკუთრებით საჭიროების შემთხვევაში, პორტი და პროტოკოლი შეიძლება შეიცვალოს, თუმცა უნდა გვახსოვდეს, რომ პორტის პორტის ნომრის შეცვლა გამოიწვევს SELinux-ის კონფიგურაციას, ხოლო tcp პროტოკოლის გამოყენება გაზრდის ზედნადებს, რადგან TCP პაკეტის მიწოდების კონტროლი უკვე შესრულებულია გვირაბში ჩასმული პაკეტების დონეზე.

** თუ AD-ში ავთენტიფიკაცია არ არის საჭირო, გააკეთეთ კომენტარი მათზე, გამოტოვეთ შემდეგი განყოფილება და შაბლონში ამოიღეთ auth-user-pass ხაზი.

AD ავთენტიფიკაცია

მეორე ფაქტორის მხარდასაჭერად, ჩვენ გამოვიყენებთ ანგარიშის დადასტურებას AD-ში.

ჩვენ გვჭირდება ანგარიში დომენში ჩვეულებრივი მომხმარებლის და ჯგუფის უფლებებით, რომელშიც წევრობა განსაზღვრავს დაკავშირების შესაძლებლობას.

შექმენით კონფიგურაციის ფაილი:

/etc/openvpn/ldap.conf

შემდეგი შინაარსი

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

Основные параметры:

• URL „ldap://ldap.abc.ru“ - დომენის კონტროლერის მისამართი;
• BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” - კანონიკური სახელი LDAP-თან შესაერთებლად (UZ - bindUsr კონტეინერში abc.ru/Users);
• პაროლი b1ndP@SS — მომხმარებლის პაროლი სავალდებულო;
• BaseDN “OU=allUsr,DC=abc,DC=ru” — გზა, საიდანაც უნდა დაიწყოს მომხმარებლის ძებნა;
• BaseDN “OU=myGrp,DC=abc,DC=ru” – დასაშვები ჯგუფის კონტეინერი (ჯგუფი myVPNUsr კონტეინერში abc.rumyGrp);
• SearchFilter "(cn=myVPNUsr)" არის დასაშვები ჯგუფის სახელი.

გაშვება და დიაგნოსტიკა

ახლა ჩვენ შეგვიძლია ვცადოთ ჩვენი სერვერის ჩართვა და გაშვება:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

გაშვების შემოწმება:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

სერთიფიკატის გაცემა და გაუქმება

იმიტომ რომ თავად სერთიფიკატების გარდა, გჭირდებათ გასაღებები და სხვა პარამეტრები, ძალიან მოსახერხებელია ამ ყველაფრის ერთ პროფილის ფაილში გადატანა. ეს ფაილი შემდეგ გადაეცემა მომხმარებელს და პროფილი იმპორტირებულია OpenVPN კლიენტზე. ამისათვის ჩვენ შევქმნით პარამეტრების შაბლონს და სკრიპტს, რომელიც წარმოქმნის პროფილს.

თქვენ უნდა დაამატოთ ძირეული სერტიფიკატის (ca.crt) და TLS გასაღების (ta.key) ფაილების შიგთავსი პროფილში.

მომხმარებლის სერთიფიკატების გაცემამდე არ დაგავიწყდეთ სერტიფიკატების მოქმედების საჭირო ვადის დაყენება პარამეტრების ფაილში. ძალიან არ უნდა გახანგრძლივოთ, გირჩევთ, მაქსიმუმ 180 დღით შეზღუდოთ.

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

შენიშვნები:

• ხაზები განათავსეთ თქვენი... შინაარსის შეცვლა საკუთარი სერთიფიკატები;
• დისტანციურ დირექტივაში მიუთითეთ თქვენი კარიბჭის სახელი/მისამართი;
• auth-user-pass დირექტივა გამოიყენება დამატებითი გარე ავთენტიფიკაციისთვის.

სახლის დირექტორიაში (ან სხვა მოსახერხებელ ადგილას) ჩვენ ვქმნით სკრიპტს სერთიფიკატის მოთხოვნისა და პროფილის შესაქმნელად:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

ფაილის შესრულებადი გახადა:

chmod a+x ~/make.profile.sh

და ჩვენ შეგვიძლია გავცეთ ჩვენი პირველი სერთიფიკატი.

~/make.profile.sh my-first-user

განხილვა

სერტიფიკატის კომპრომისის (დაკარგვის, ქურდობის) შემთხვევაში აუცილებელია ამ მოწმობის გაუქმება:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

გაცემული და გაუქმებული სერთიფიკატების ნახვა

გაცემული და გაუქმებული სერთიფიკატების სანახავად, უბრალოდ ნახეთ ინდექსის ფაილი:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

განმარტება:

• პირველი ხაზი არის სერვერის სერთიფიკატი;
• პირველი პერსონაჟი
  • V (Valid) - მოქმედებს;
  • რ (გაუქმებული) - გაიხსენა.

ქსელის კონფიგურაცია

ბოლო ნაბიჯები არის გადამცემი ქსელის კონფიგურაცია - მარშრუტიზაცია და ფაირვოლლები.

კავშირების დაშვება ადგილობრივ ფეიერვოლში:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

შემდეგი, ჩართეთ IP ტრაფიკის მარშრუტიზაცია:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

კორპორატიულ გარემოში, სავარაუდოდ, არსებობს ქვექსელური ქსელი და ჩვენ უნდა ვუთხრათ როუტერ(ებ)ს, როგორ გაგზავნონ პაკეტები, რომლებიც განკუთვნილია ჩვენი VPN კლიენტებისთვის. ბრძანების ხაზზე ჩვენ ვასრულებთ ბრძანებას (გამოყენებული აღჭურვილობის მიხედვით):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

და შეინახეთ კონფიგურაცია.

გარდა ამისა, სასაზღვრო როუტერის ინტერფეისზე, სადაც ემსახურება გარე მისამართი gw.abc.ru, აუცილებელია დაუშვას udp/1194 პაკეტების გავლა.

იმ შემთხვევაში, თუ ორგანიზაციას აქვს უსაფრთხოების მკაცრი წესები, Firewall ასევე უნდა იყოს კონფიგურირებული ჩვენს VPN სერვერზე. ჩემი აზრით, ყველაზე დიდი მოქნილობა უზრუნველყოფილია iptables FORWARD ჯაჭვების დაყენებით, თუმცა მათი დაყენება ნაკლებად მოსახერხებელია. ცოტა მეტი მათი დაყენების შესახებ. ამისათვის ყველაზე მოსახერხებელია "პირდაპირი წესების" გამოყენება - ფაილში შენახული პირდაპირი წესები /etc/firewalld/direct.xml. წესების მიმდინარე კონფიგურაცია შეგიძლიათ იხილოთ შემდეგნაირად:

$ sudo firewall-cmd --direct --get-all-rule

ფაილის შეცვლამდე გააკეთეთ მისი სარეზერვო ასლი:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

ფაილის სავარაუდო შინაარსია:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

განმარტებები

ეს არის არსებითად რეგულარული iptables წესები, სხვაგვარად შეფუთული Firewall-ის გამოჩენის შემდეგ.

დანიშნულების ინტერფეისი ნაგულისხმევი პარამეტრებით არის tun0, ხოლო გვირაბის გარე ინტერფეისი შეიძლება იყოს განსხვავებული, მაგალითად, ens192, გამოყენებული პლატფორმის მიხედვით.

ბოლო ხაზი არის ჩამოგდებული პაკეტების აღრიცხვა. იმისთვის, რომ ჟურნალმა იმუშაოს, თქვენ უნდა შეცვალოთ გამართვის დონე firewalld-ის კონფიგურაციაში:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

პარამეტრების გამოყენება არის ჩვეულებრივი firewalld ბრძანება პარამეტრების ხელახლა წასაკითხად:

$ sudo firewall-cmd --reload

ჩამოშვებული პაკეტების ნახვა შეგიძლიათ ასე:

grep forward_fw /var/log/messages

რა არის შემდეგი

ეს დაასრულებს დაყენებას!

რჩება მხოლოდ კლიენტის პროგრამული უზრუნველყოფის დაყენება კლიენტის მხარეს, პროფილის იმპორტი და დაკავშირება. Windows ოპერაციული სისტემებისთვის, სადისტრიბუციო ნაკრები განთავსებულია დეველოპერის საიტი.

დაბოლოს, ჩვენ ვაკავშირებთ ჩვენს ახალ სერვერს მონიტორინგისა და არქივის სისტემებს და არ დაგავიწყდეთ განახლებების რეგულარულად ინსტალაცია.

სტაბილური კავშირი!

წყარო: www.habr.com