Exitus
Nuper, multi nesciebant quid esset domi laborare. Pandemicus condicionem in mundo dramatically mutavit, quisque ad hodiernas circumstantias accommodare coepit, eo nempe quod prorsus tutus evasit domo exeundi. Et multi oportuit cito ordinare opus a domo pro suis operariis.
Sed defectus competentis accessus ad solutiones eligendas pro remoto labore ad damna irreversibilia ducere potest. Tesserae usoris subripi possunt, et hoc oppugnatorem ad retiaculum et IT facultates incepti permittet impotenter coniungere.
Quam ob rem opus est retiacula certa creandi corporatum VPN nunc augeri. Dicam tibi reliable, tutum ΠΈ simplex in usus VPN network.
Secundum schema IPsec/L2TP laborat, quod claves non-retrieves ac testimoniales in signis ad clientium authenticas repositas utitur, et etiam notitias trans retiaculis in forma encryptata transmittit.
Servus cum CentOS 7 (inscriptio: centos.vpn.server.ad) et client cum Ubuntu 20.04, tum client cum Fenestra X, demonstratio pro configuratione ponitur.
Systema Descriptio
VPN operabitur secundum propositum IPSec + L2TP + PPP. Protocol Point-ad-point Protocol (PPP| Eius notitia in notitia protocolli L2TP encapsulatur, quod revera creationem connexionis in retis VPN efficit, sed authenticas et encryptionem non praebet.
L2TP data in IPSec encapsulatur, quod etiam authenticas et encryptiones praebet, sed dissimilis PPP, authenticas et encryption in gradu machinationis, non in gradu usoris.
Haec factura permittit ut usores tantum ex quibusdam machinis authenticitatis. IPSec protocollo utemur sicut est et permittit user authenticas ab omni fabrica.
Usoris authenticas utens chartulas callidioris fient in protocollo PPP protocollo EAP-TLS adhibito.
Plures informationes de operatione circuli huius inueniri possunt .
Cur haec ratio omnibus tribus requisitis boni VPN retis occurrit?
- Fiducia huius schematis tempore probata est. Usus est ad retiacula explicandi VPN cum 2000.
- Securus user authenticas a protocollo PPP praebetur. sufficientem gradum securitatis non praebet, quia Ad authenticas, in optimo casu, authenticas usus rationis et tesserae adhibetur. Scimus omnes tesseram rationis inspici posse, coniectans vel furatum esse. Sed enim elit tempor nunc Π² Haec protocollo hanc quaestionem emendavit et facultatem adiecit utendi protocolla secundum encryptionem asymmetricam, ut EAP-TLS, ad authenticas. Praeterea facultatem ad chartas callidos ad authenticas adhibendi addidit, quae systema securiorem reddebat.
In praesenti, actuosi tractatus comparati sunt ut haec duo incepta iungantur et certo scias hoc prius vel serius usquam futurum esse. Exempli gratia, versio PPP consarcinata in repositoria Fedora diu fuit, adhibitis protocolla ad authenticas securas. - Usque nuper haec retis modo uti potest ab usoribus Windows, sed collegae nostri ex Universitate Moscuensi Vasily Shokov et Alexander Smirnov invenerunt ac mutari. Simul, multos cimices et delicta in huius opere destinavimus, institutionem et conformationem systematis simpliciorem, etiam cum a fonte aedificans. Insignes earum sunt:
- Certae convenientiae problematum veteris clientis cum instrumento novarum versionum openssl et qt.
- Remota pppd ne transeat signum PIN per tempus lima.
- Certae immissio falsa tesserae petitionis programmatis per interface graphical. Hoc factum est, insertis rectis ambitus ad xl2tpd servitutis.
- Aedificium daemonis L2tpIpsecVpn nunc una cum aedificatione ipsius clientis exercetur, quod simpliciorem efficit processum et configurationem.
- Pro facilitate evolutionis, ratio azure Pipelines coniuncta est ad rectitudinem aedificandi probandam.
- Addidit facultatem ad opprimere downgrade in contextu openssl. Hoc utile est ad novas systemata operativas recte sustinendas, ubi vexillum securitatis gradui ad 2 positum est, cum retiacula VPN, quae testimoniales utuntur, quae in hoc gradu securitatis postulationes non conveniant. Haec optio utilis erit ad operandum cum retiacula veterum VPN existentium.
Versio emendata potest inveniri in .
Hic clientis usum chartarum callidiorum ad authenticas adiuvat, et etiam occultat quam maxime omnes labores et labores instituendi hoc schema sub Linux, ut clientem habeat ut simplex et celeriter quam maxime.
Utique, pro convenienti nexu inter PPP et clientem GUI, fieri non potuit sine additamentis ad singula incepta, sed tamen ad minimum elevata et redacta sunt;
- Fixum
- Fixum . Hic error non permittit nos aliquid onerare ex file locali /etc/ppp/openssl.cnf configurationis, nisi informationes machinarum openssl ad operandum cum chartis callosis, quod erat grave incommodum si, exempli gratia, praeter informationes de machinationibus; aliud apponere voluimus. Exempli gratia: securitatem figere gradu cum nexum constituens.
Nunc incipias erigere.
Servo Tuning
Let's install all the necessary packages.
Installing strongswan (IPsec)
Imprimis murum ad ipsec operationis configuramus
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reloadTum satus installation
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswanPost institutionem debes configurare strongwanum (unum e exsecutionibus IPSec). Ad hoc faciendum tabellam edit /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024Nos quoque tesseram communem login constituemus. Tessera communis nota omnibus retis participantibus authenticas esse debet. Haec methodus manifesto vacillet, quod Haec tessera singulis facile innotescere potest quibus accessum ad retiaculum praebere nolumus.
Attamen ne hoc quidem securitatem retis non afficit, quia Praecipua notitia encryptionis et usoris authenticas per protocollum PPP peragitur. Sed in aequitate notandum est quod fortisswan tutiores technologias ad authenticas sustinet, exempli gratia, claves privatas utens. Strongswan etiam facultatem praebet authenticas utendi schedulis captiosis, sed tantum limitata machinarum amplitudine fulciuntur ideoque authenticas utens Rutoken signa et schedulae captiosae adhuc difficile est. Lets pone communem password per file /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"Lets strongswan sileo:
sudo systemctl enable strongswan
sudo systemctl restart strongswanInstalling xl2tp
sudo dnf install xl2tpdLets configurare per lima /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; ΠΎΠΏΡΠ΅Π΄Π΅Π»ΡΠ΅Ρ ΡΡΠ°ΡΠΈΡΠ΅ΡΠΊΠΈΠΉ Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ° Π² Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΠΎΠΉ ΡΠ΅ΡΠΈ
local ip = 100.10.10.1
; Π·Π°Π΄Π°Π΅Ρ Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΡ
Π°Π΄ΡΠ΅ΡΠΎΠ²
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; Π΄Π°Π½Π½ΡΡ ΠΎΠΏΡΠΈΡ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡΠΊΠ»ΡΡΠΈΡΡ ΠΏΠΎΡΠ»Π΅ ΡΡΠΏΠ΅ΡΠ½ΠΎΠΉ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ ΡΠ΅ΡΠΈ
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; ΡΠΊΠ°Π·ΡΠ²Π°Π΅Ρ Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ° Π² ΡΠ΅ΡΠΈ
name = centos.vpn.server.adSit scriptor sileo servitium:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpdPPP setup
Suadetur ut versionem novissimam instituere pppd. Ad hoc faciunt ut sequatur imperata;
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installScribere ad lima /etc/ppp/options.xl2tpd sequentia (si quae sunt ibi bona, eas delere potes);
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000Constituimus radicem certificatorium et servo certificatorium;
#Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ Ρ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ°ΠΌΠΈ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ, Π£Π¦ ΠΈ ΡΠ΅ΡΠ²Π΅ΡΠ°
sudo mkdir /etc/ppp/certs
#Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ Ρ Π·Π°ΠΊΡΡΡΡΠΌΠΈ ΠΊΠ»ΡΡΠ°ΠΌΠΈ ΡΠ΅ΡΠ²Π΅ΡΠ° ΠΈ Π£Π¦
sudo mkdir /etc/ppp/keys
#Π·Π°ΠΏΡΠ΅ΡΠ°Π΅ΠΌ Π»ΡΠ±ΠΎΠΉ Π΄ΠΎΡΡΡΠΏ ΠΊ ΡΡΠΎΠΉ Π΄ΠΈΡΡΠ΅ΠΊΡΠΎΡΠΈΠΈ ΠΊΡΠΎΠΌΠ΅ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΠ°ΡΠΎΡΠ°
sudo chmod 0600 /etc/ppp/keys/
#Π³Π΅Π½Π΅ΡΠΈΡΡΠ΅ΠΌ ΠΊΠ»ΡΡ ΠΈ Π²ΡΠΏΠΈΡΡΠ²Π°Π΅ΠΌ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ Π£Π¦
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#Π³Π΅Π½Π΅ΡΠΈΡΡΠ΅ΠΌ ΠΊΠ»ΡΡ ΠΈ Π²ΡΠΏΠΈΡΡΠ²Π°Π΅ΠΌ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserialSic fit cum servo fundamentali setup. Configuratio servientis reliquas clientes novos addendo implicat.
Addit novum client
Ad novum clientem retis addere, libellum suum addere debetis creditorum huic clienti indicem.
Si user membrum retis VPN fieri vult, par clavem et libellum applicationis huius clientis creat. Si usor creditus est, haec applicatio signari potest, et testimonium inde conscribi potest ad directorium testimonialium;
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserialAddamus lineam ad fasciculum /etc/ppp/eaptls-servo ut par nomen clientis eiusque certificatorium:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *NOTA
Ad evitandam confusionem melius est: Nomen commune, nomen certificatorium et nomen usoris unicum est.
Valet etiam reprehendo quod nomen utentis quod addimus, non uspiam in aliis documentis authenticationis apparet, alioquin problemata erunt cum modo utentis authenticitatis.
Idem certificatorium remitti debet ad usum.
Key par et certificatorium generating
Pro felici authenticitate, clienti debet;
- clavis gignunt par;
- habent ca radicem certificatorium;
- libellum habes pro clavibus paribus signatis ab radice CA.
ad clientem in Linux
Primum, clavem par in signum generare et applicationem pro testimonio creare;
#ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡ ΠΊΠ»ΡΡΠ° (ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡ --id) ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΌΠ΅Π½ΠΈΡΡ Π½Π° Π»ΡΠ±ΠΎΠΉ Π΄ΡΡΠ³ΠΎΠΉ.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"Mitte client.req applicationis quae ad CA videtur. Cum acceperis libellum pro clavibus paribus tuis, id scribe signum cum ide ac clavibus:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45pro Fenestra clientium et Linux (modus universalis)
Hic modus universalior est, quia dat tibi clavem et libellum generare quod ex Fenestra et Linux utentes cognoscetur feliciter, sed machinam Fenestram requirit ut processum clavem generationis exsequatur.
Antequam petitiones generare et libellos inferentes, libellum radicem retis VPN ad indicem creditorum addere debes. Hoc ut facias, aperi et in fenestra aperiente, elige "Instrue libellum" optionis:
In fenestra aperiente, libellum de usuario locali elige installando:
Let's install the certificatorium in CA's trusted root libellum store:
His omnibus factis, omnibus punctis adhuc consentimus. Nunc systema felis.
Faciamus fasciculum cert.tmp cum sequenti contento:
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSEPost hoc, par clavis generabimus et applicationem testimonium creabimus. Ad hoc faciendum, aperi potestates tuas et ingredere hoc mandatum;
certreq.exe -new -pin $PIN .cert.tmp .client.reqMitte applicationem clientem.req creatum ad CA tuum et exspecta client.pem libellum recipiendum. Scriptum esse potest ad indicium et in Fenestra certificatorium copia utens mandato sequenti:
certreq.exe -accept .client.pemNotatu dignum est similes actiones reproduci posse utentes graphicali interventu programmatis mmc, sed haec methodus plus temporis consumens et minus programmabilis est.
Erexerit Ubuntu clientis
NOTA
Clientem in Linux erexisse nunc satis temporis consumens est, quia... progressio a fonte separatum requirit aedificationem. Conabimur efficere ut omnes mutationes in promptuario officialium in proximo futuro comprehendantur.
Ut nexum in gradu IPSec ministranti, sarcina fortis et daemonis xl2tp adhibeantur. Ad simplicioremus connexionem cum retiacula utentes schedulae captiosae, sarcina l2tp-ipsec-vpn adhibebimus, quae testam graphicam praebet ad faciliorem nexum paroecialem.
Elementa gradatim aggregare incipiamus, sed ante nos instituemus omnes sarcinas necessarias ad VPN ad operandum directe:
sudo apt-get install xl2tpd strongswan libp11-3Software installing in signis opus est
Install the latest librtpkcs11ecp.so library from item bibliothecae ad operandum schedulis captiosis;
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-opensslConiungere Rutoken et reprehendo quod per systema cognoscitur:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -lInstalling adduci ppp
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installInstalling L2tpIpsecVpn clientem
In momento, cliens etiam e fonte codice conficiendus est. Hoc fit utens sequenti ordine mandatorum;
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make installErexit L2tpIpsecVpn clientem
Lorem installed clientis:
Post launch, L2tpIpsecVPN applet debet aperire. Dextra deprime et nexum configurare;
Ad signa operari, imprimis viam ad machinam openssl machinae ac bibliothecae PKCS#11 indicamus. Ad hoc fac, aperi "Optiones" tab ad parametris openssl configurandas;
.
claudamus fenestras OpenSSL occasus et proficiscor ad ornatum ornatum. Addamus retis novam strepitando in Add... bullam in uncinis tabulis et nomen retis intrant:
Post haec, haec retis in uncinis tabulis prompta fiet. Geminus-dextra deprime in retis novis ad illud configurandum. In prima tab debes IPsec occasus facere. Eamus servo electronicam et clavem publicam:
Postea ad PPP uncinis tab accede et ibi indica nomen usoris sub quo retis accedere volumus;
Post haec, Proprietates tab aperi et viam clavem, libellum clientis et CA designa;
Hanc tab claudamus et extremas unctiones exsequamur, hoc facere, aperi "IP occasus" tab et deprime capsam proximam "Contine DNS inscriptionem electronicam automatice" bene:
Haec optio permittet clientem ut IP oratio personalis intra retiaculum a servo recipere possit.
Post omnes occasus, omnia tabs claude et clientem sileo;
Connectens ad network
Post uncinos, ad ornatum coniungere potes. Ad hoc fac, pomum tab aperi et retiaculum ad quod coniungere volumus;
Per nexum processus constitutionis, cliens nos rogabit ut codicem Rutoken PIN ingrediatur:
Si notificatio apparet in vecte statui nexum bene constitutum esse, significat positionem assecuti esse;
Alioquin pretium est remanere cur nexus non constet. Ad hoc faciendum, inspicere debes tabulam programmatis eligendo "connexionem informationem" in pomo mandare;
Occasus sursum in Fenestra clientis
Clientem in Fenestra constituens multo facilius est quam in Linux, quod... Omnes programmata necessaria iam in systemate aedificata sunt.
Ratio Setup
Nos omnes rectores necessarii ad operandum cum Rutokens instituemus, eas ab extrahendo .
Inferens radix certificatorium pro authenticas
Servo radicem certificamenti dele et in systematis institue. Hoc ut facias, aperi et in fenestra aperiente, elige "Instrue libellum" optionis:
In fenestra quae aperit, libellum de usuario locali elige inaugurari. Si libellum vis omnibus usoribus in computatro praesto esse, debes libellum instituere in computatro locali:
Let's install the certificatorium in CA's trusted root libellum store:
His omnibus factis, omnibus punctis adhuc consentimus. Nunc systema felis.
VPN nexum usque ad occasum
Ut nexum VPN constituas, vade ad tabulam moderandam et optionem elige creandi novam connexionem.
In fenestra pop-up, elige optionem creandi nexum coniungendi cum fabrica tua:
In altera fenestra, nexum VPN elige:
et in VPN nexum intrant singula, ac etiam optionem denota ut card acri utaris:
Set non totum tamen. Reliquum est ut clavem communem IPsec protocollo definias: hoc facere, vade ad "connexionem uncinis Network" tab ac deinde ad "Properties huius connexionis" tab.
In fenestra aperiente, ad "Securitatis" tab, specificare "L2TP/IPsec Network" ut genus retis et "Optiones Provectus":
In fenestra aperiens, IPsec clavem communem denota:
ΠΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅
Setup peracta, conemur connectens retiaculis;
Per nexum processum, signum PIN codicem ingredi debebimus:
Securam VPN retis posuimus et certam non difficilem fecimus.
agnitiones
Velim iterum collegas nostros Vasily Shokov et Alexander Smirnov gratias agere pro opera quae simul fecerunt ut nexus pro clientibus Linux VPN creandis simpliciorem redderent.
Source: www.habr.com