ບັນຫາ

ເມື່ອບໍ່ດົນມານີ້, ຫຼາຍຄົນບໍ່ຮູ້ວ່າການເຮັດວຽກຈາກເຮືອນເປັນແນວໃດ. ໂລກລະບາດໄດ້ປ່ຽນແປງສະຖານະການໃນໂລກຢ່າງຫຼວງຫຼາຍ; ທຸກໆຄົນໄດ້ເລີ່ມປັບຕົວເຂົ້າກັບສະຖານະການໃນປະຈຸບັນ, ຄືຄວາມຈິງທີ່ວ່າມັນໄດ້ກາຍເປັນເລື່ອງທີ່ບໍ່ປອດໄພທີ່ຈະອອກຈາກເຮືອນ. ແລະຫຼາຍຄົນຕ້ອງໄດ້ຈັດລະບຽບວຽກຈາກເຮືອນໃຫ້ພະນັກງານຂອງເຂົາເຈົ້າຢ່າງໄວວາ.

ຢ່າງໃດກໍ່ຕາມ, ການຂາດວິທີການທີ່ມີຄວາມສາມາດທີ່ຈະເລືອກເອົາການແກ້ໄຂສໍາລັບການເຮັດວຽກຫ່າງໄກສອກຫຼີກສາມາດນໍາໄປສູ່ການສູນເສຍທີ່ບໍ່ສາມາດປ່ຽນແປງໄດ້. ລະຫັດຜ່ານຂອງຜູ້ໃຊ້ສາມາດຖືກລັກ, ແລະນີ້ຈະຊ່ວຍໃຫ້ຜູ້ໂຈມຕີສາມາດເຊື່ອມຕໍ່ເຄືອຂ່າຍແລະຊັບພະຍາກອນ IT ຂອງວິສາຫະກິດໂດຍບໍ່ສາມາດຄວບຄຸມໄດ້.

ນັ້ນແມ່ນເຫດຜົນທີ່ວ່າຄວາມຕ້ອງການໃນການສ້າງເຄືອຂ່າຍ VPN ຂອງບໍລິສັດທີ່ເຊື່ອຖືໄດ້ໃນປັດຈຸບັນໄດ້ເພີ່ມຂຶ້ນ. ຂ້ອຍຈະບອກເຈົ້າກ່ຽວກັບ ເຊື່ອຖືໄດ້, ປອດໄພ и ລະບົບປະຕິບັດການ ໃນ​ການ​ນໍາ​ໃຊ້​ເຄືອ​ຂ່າຍ VPN​.

ມັນເຮັດວຽກຕາມໂຄງການ IPsec/L2TP, ເຊິ່ງໃຊ້ກະແຈແລະໃບຢັ້ງຢືນທີ່ບໍ່ສາມາດເອົາຄືນມາໄດ້ທີ່ເກັບໄວ້ໃນ tokens ເພື່ອກວດສອບລູກຄ້າ, ແລະຍັງສົ່ງຂໍ້ມູນຜ່ານເຄືອຂ່າຍໃນຮູບແບບທີ່ຖືກເຂົ້າລະຫັດ.

ເຊີບເວີທີ່ມີ CentOS 7 (ທີ່ຢູ່: centos.vpn.server.ad) ແລະລູກຄ້າທີ່ມີ Ubuntu 20.04, ເຊັ່ນດຽວກັນກັບລູກຄ້າທີ່ມີ Windows 10, ໄດ້ຖືກນໍາໃຊ້ເປັນການສາທິດຢືນສໍາລັບການຕັ້ງຄ່າ.

ລາຍລະອຽດຂອງລະບົບ

VPN ຈະເຮັດວຽກຕາມໂຄງການ IPSec + L2TP + PPP. ພິທີການ ພິທີການຈຸດຫາຈຸດ (ພີພີພີ) ດໍາເນີນການຢູ່ໃນຊັ້ນເຊື່ອມຕໍ່ຂໍ້ມູນຂອງແບບຈໍາລອງ OSI ແລະສະຫນອງການກວດສອບຜູ້ໃຊ້ແລະການເຂົ້າລະຫັດຂໍ້ມູນທີ່ຖືກສົ່ງຜ່ານ. ຂໍ້ມູນຂອງມັນຖືກຫຸ້ມຢູ່ໃນຂໍ້ມູນຂອງໂປໂຕຄອນ L2TP, ເຊິ່ງໃນຕົວຈິງແມ່ນຮັບປະກັນການສ້າງການເຊື່ອມຕໍ່ໃນເຄືອຂ່າຍ VPN, ແຕ່ບໍ່ໄດ້ສະຫນອງການກວດສອບແລະການເຂົ້າລະຫັດ.

ຂໍ້ມູນ L2TP ຖືກຫຸ້ມຫໍ່ຢູ່ໃນ IPSec, ເຊິ່ງຍັງສະຫນອງການພິສູດຢືນຢັນແລະການເຂົ້າລະຫັດ, ແຕ່ບໍ່ຄືກັບ PPP, ການພິສູດຢືນຢັນແລະການເຂົ້າລະຫັດເກີດຂື້ນໃນລະດັບອຸປະກອນ, ບໍ່ແມ່ນຢູ່ໃນລະດັບຜູ້ໃຊ້.

ຄຸນ​ນະ​ສົມ​ບັດ​ນີ້​ອະ​ນຸ​ຍາດ​ໃຫ້​ທ່ານ​ເພື່ອ​ກວດ​ສອບ​ຜູ້​ໃຊ້​ພຽງ​ແຕ່​ຈາກ​ອຸ​ປະ​ກອນ​ສະ​ເພາະ​ໃດ​ຫນຶ່ງ​. ພວກເຮົາຈະໃຊ້ໂປໂຕຄອນ IPSec ຕາມທີ່ມັນເປັນ ແລະອະນຸຍາດໃຫ້ມີການຢືນຢັນຜູ້ໃຊ້ຈາກອຸປະກອນຕ່າງໆ.

ການພິສູດຢືນຢັນຜູ້ໃຊ້ໂດຍໃຊ້ບັດອັດສະລິຍະຈະຖືກປະຕິບັດໃນລະດັບ PPP protocol ໂດຍໃຊ້ EAP-TLS protocol.

ຂໍ້ມູນລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບການດໍາເນີນງານຂອງວົງຈອນນີ້ສາມາດພົບໄດ້ໃນ ບົດຂຽນນີ້.

ເປັນຫຍັງໂຄງການນີ້ຈຶ່ງຕອບສະໜອງໄດ້ທັງສາມຄວາມຕ້ອງການຂອງເຄືອຂ່າຍ VPN ທີ່ດີ?

1. ຄວາມຫນ້າເຊື່ອຖືຂອງໂຄງການນີ້ໄດ້ຖືກທົດສອບໂດຍເວລາ. ມັນຖືກນໍາໃຊ້ເພື່ອປັບໃຊ້ເຄືອຂ່າຍ VPN ຕັ້ງແຕ່ປີ 2000.
2. ການພິສູດຢືນຢັນຜູ້ໃຊ້ທີ່ປອດໄພແມ່ນສະໜອງໃຫ້ໂດຍໂປໂຕຄອນ PPP. ການປະຕິບັດມາດຕະຖານຂອງອະນຸສັນຍາ PPP ພັດທະນາໂດຍ Paul Mackerras ບໍ່ໄດ້ສະຫນອງລະດັບຄວາມປອດໄພພຽງພໍ, ເພາະວ່າ ສໍາລັບການກວດສອບຄວາມຖືກຕ້ອງ, ໃນກໍລະນີທີ່ດີທີ່ສຸດ, ການກວດສອບຄວາມຖືກຕ້ອງໂດຍໃຊ້ການເຂົ້າສູ່ລະບົບແລະລະຫັດຜ່ານຖືກນໍາໃຊ້. ພວກເຮົາທຸກຄົນຮູ້ວ່າລະຫັດຜ່ານເຂົ້າສູ່ລະບົບສາມາດຖືກສອດແນມ, ຄາດເດົາຫຼືຖືກລັກ. ຢ່າງໃດກໍຕາມ, ສໍາລັບເວລາດົນນານໃນປັດຈຸບັນນັກພັດທະນາ Jan Just Keijser в ການ​ປະ​ຕິ​ບັດ​ຂອງ​ຕົນ​ ໂປຣໂຕຄໍນີ້ແກ້ໄຂບັນຫານີ້ ແລະເພີ່ມຄວາມສາມາດໃນການໃຊ້ໂປຣໂຕຄໍໂດຍອີງໃສ່ການເຂົ້າລະຫັດແບບບໍ່ສົມມາຕຣິກ ເຊັ່ນ: EAP-TLS ສຳລັບການພິສູດຢືນຢັນ. ນອກຈາກນັ້ນ, ລາວໄດ້ເພີ່ມຄວາມສາມາດໃນການໃຊ້ບັດອັດສະລິຍະເພື່ອການກວດສອບຄວາມຖືກຕ້ອງ, ເຊິ່ງເຮັດໃຫ້ລະບົບມີຄວາມປອດໄພຫຼາຍຂຶ້ນ.
   ປະຈຸ​ບັນ, ການ​ເຈລະຈາ​ຢ່າງ​ຕັ້ງໜ້າ​ພວມ​ດຳ​ເນີນ​ຢູ່​ໃນ​ການ​ສົມທົບ​ສອງ​ໂຄງການ​ນີ້ ​ແລະ ທ່ານ​ສາມາດ​ໝັ້ນ​ໃຈ​ໄດ້​ວ່າ​ບໍ່​ດົນ​ຈະ​ເກີດ​ຂຶ້ນ​ຢ່າງ​ໃດ​ກໍ່ຕາມ. ຕົວຢ່າງ, ສະບັບປັບປຸງຂອງ PPP ໄດ້ຢູ່ໃນບ່ອນເກັບມ້ຽນ Fedora ເປັນເວລາດົນ, ໂດຍນໍາໃຊ້ໂປໂຕຄອນທີ່ປອດໄພສໍາລັບການພິສູດຢືນຢັນ.
3. ຈົນກ່ວາບໍ່ດົນມານີ້, ເຄືອຂ່າຍນີ້ສາມາດຖືກນໍາໃຊ້ໂດຍຜູ້ໃຊ້ Windows, ແຕ່ເພື່ອນຮ່ວມງານຂອງພວກເຮົາຈາກມະຫາວິທະຍາໄລລັດ Moscow Vasily Shokov ແລະ Alexander Smirnov ພົບເຫັນ. ໂຄງການລູກຄ້າ L2TP ເກົ່າສໍາລັບ Linux ແລະດັດແກ້ມັນ. ຮ່ວມກັນ, ພວກເຮົາແກ້ໄຂຂໍ້ບົກຜ່ອງແລະຂໍ້ບົກຜ່ອງຫຼາຍຢ່າງໃນການເຮັດວຽກຂອງລູກຄ້າ, ເຮັດໃຫ້ການຕິດຕັ້ງແລະການຕັ້ງຄ່າລະບົບງ່າຍດາຍ, ເຖິງແມ່ນວ່າການກໍ່ສ້າງຈາກແຫຼ່ງ. ທີ່​ສໍາ​ຄັນ​ທີ່​ສຸດ​ຂອງ​ພວກ​ເຂົາ​ແມ່ນ​:
   • ແກ້ໄຂບັນຫາຄວາມເຂົ້າກັນໄດ້ຂອງລູກຄ້າເກົ່າທີ່ມີການໂຕ້ຕອບຂອງ openssl ແລະ qt ຮຸ່ນໃຫມ່.
   • ຖອນ pppd ຈາກການສົ່ງລະຫັດ PIN token ຜ່ານໄຟລ໌ຊົ່ວຄາວ.
   • ແກ້ໄຂການເປີດຕົວທີ່ບໍ່ຖືກຕ້ອງຂອງໂຄງການຮ້ອງຂໍລະຫັດຜ່ານໂດຍຜ່ານການໂຕ້ຕອບຮູບພາບ. ນີ້ແມ່ນເຮັດໄດ້ໂດຍການຕິດຕັ້ງສະພາບແວດລ້ອມທີ່ຖືກຕ້ອງສໍາລັບການບໍລິການ xl2tpd.
   • ການກໍ່ສ້າງຂອງ daemon L2tpIpsecVpn ປະຈຸບັນໄດ້ຖືກປະຕິບັດຮ່ວມກັນກັບການກໍ່ສ້າງຂອງລູກຄ້າເອງ, ເຊິ່ງເຮັດໃຫ້ຂະບວນການສ້າງແລະການຕັ້ງຄ່າງ່າຍຂຶ້ນ.
   • ເພື່ອຄວາມສະດວກໃນການພັດທະນາ, ລະບົບ Azure Pipelines ແມ່ນເຊື່ອມຕໍ່ເພື່ອທົດສອບຄວາມຖືກຕ້ອງຂອງການກໍ່ສ້າງ.
   • ເພີ່ມຄວາມສາມາດໃນການບັງຄັບຫຼຸດລະດັບ ລະດັບຄວາມປອດໄພ ໃນສະພາບການຂອງ openssl. ນີ້ເປັນປະໂຫຍດສໍາລັບການສະຫນັບສະຫນູນລະບົບປະຕິບັດການໃຫມ່ຢ່າງຖືກຕ້ອງທີ່ລະດັບຄວາມປອດໄພມາດຕະຖານຖືກກໍານົດເປັນ 2, ກັບເຄືອຂ່າຍ VPN ທີ່ໃຊ້ໃບຢັ້ງຢືນທີ່ບໍ່ຕອບສະຫນອງຄວາມຕ້ອງການຄວາມປອດໄພຂອງລະດັບນີ້. ຕົວເລືອກນີ້ຈະເປັນປະໂຫຍດສໍາລັບການເຮັດວຽກກັບເຄືອຂ່າຍ VPN ເກົ່າທີ່ມີຢູ່ແລ້ວ.

ສະ​ບັບ​ແກ້​ໄຂ​ສາ​ມາດ​ພົບ​ເຫັນ​ຢູ່​ໃນ​ repository ນີ້.

ລູກຄ້ານີ້ສະຫນັບສະຫນູນການນໍາໃຊ້ບັດອັດສະລິຍະສໍາລັບການພິສູດຢືນຢັນ, ແລະຍັງເຊື່ອງຄວາມລໍາບາກແລະຄວາມລໍາບາກຫຼາຍເທົ່າທີ່ເປັນໄປໄດ້ໃນການຕັ້ງຄ່າໂຄງການນີ້ພາຍໃຕ້ Linux, ເຮັດໃຫ້ການຕິດຕັ້ງລູກຄ້າງ່າຍດາຍແລະໄວທີ່ສຸດເທົ່າທີ່ເປັນໄປໄດ້.

ແນ່ນອນ, ສໍາລັບການເຊື່ອມຕໍ່ທີ່ສະດວກລະຫວ່າງ PPP ແລະລູກຄ້າ GUI, ມັນເປັນໄປບໍ່ໄດ້ໂດຍບໍ່ມີການດັດແກ້ເພີ່ມເຕີມຕໍ່ກັບແຕ່ລະໂຄງການ, ແຕ່ຢ່າງໃດກໍ່ຕາມພວກມັນໄດ້ຖືກຫຼຸດລົງແລະຫຼຸດລົງເປັນຕໍາ່ສຸດທີ່:

• ແກ້ໄຂ ຄວາມຜິດພາດຂອງການສົ່ງຕໍ່ລະຫັດ PIN token ທີ່ບໍ່ຖືກຕ້ອງຈາກ PPP ໄປຫາບໍລິບົດ openssl
• ແກ້ໄຂ ຜິດພາດໃນຄໍາສັ່ງຂອງການໂຫຼດການຕັ້ງຄ່າແລະການເລີ່ມຕົ້ນຂອງ openssl context. ຂໍ້ຜິດພາດນີ້ບໍ່ໄດ້ອະນຸຍາດໃຫ້ພວກເຮົາໂຫລດສິ່ງໃດຈາກໄຟລ໌ການຕັ້ງຄ່າທ້ອງຖິ່ນ /etc/ppp/openssl.cnf ຍົກເວັ້ນຂໍ້ມູນກ່ຽວກັບເຄື່ອງຈັກ openssl ສໍາລັບການເຮັດວຽກກັບບັດອັດສະລິຍະ, ເຊິ່ງເປັນຄວາມບໍ່ສະດວກທີ່ຮ້າຍແຮງ, ຕົວຢ່າງ, ນອກເຫນືອຈາກຂໍ້ມູນກ່ຽວກັບເຄື່ອງຈັກ, ພວກເຮົາຕ້ອງການຕັ້ງບາງສິ່ງບາງຢ່າງອື່ນ. ຕົວຢ່າງ, ແກ້ໄຂລະດັບຄວາມປອດໄພໃນເວລາສ້າງການເຊື່ອມຕໍ່.

ໃນປັດຈຸບັນທ່ານສາມາດເລີ່ມຕົ້ນການຕັ້ງຄ່າ.

ການປັບແຕ່ງເຊີບເວີ

ໃຫ້ຕິດຕັ້ງຊຸດທີ່ຈໍາເປັນທັງຫມົດ.

ການຕິດຕັ້ງ strongswan (IPsec)

ກ່ອນ​ອື່ນ​ຫມົດ, ໃຫ້ configure firewall ສໍາລັບການດໍາເນີນງານ ipsec

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

ຫຼັງຈາກນັ້ນ, ໃຫ້ເລີ່ມຕົ້ນການຕິດຕັ້ງ

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

ຫຼັງຈາກການຕິດຕັ້ງ, ທ່ານຈໍາເປັນຕ້ອງ configure strongswan (ຫນຶ່ງໃນການປະຕິບັດ IPSec). ເພື່ອເຮັດສິ່ງນີ້, ແກ້ໄຂໄຟລ໌ /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

ພວກເຮົາຍັງຈະຕັ້ງລະຫັດຜ່ານເຂົ້າສູ່ລະບົບທົ່ວໄປ. ລະ​ຫັດ​ຜ່ານ​ທີ່​ແບ່ງ​ປັນ​ຕ້ອງ​ເປັນ​ທີ່​ຮູ້​ຈັກ​ກັບ​ຜູ້​ເຂົ້າ​ຮ່ວມ​ເຄືອ​ຂ່າຍ​ທັງ​ຫມົດ​ສໍາ​ລັບ​ການ​ກວດ​ສອບ​. ວິທີການນີ້ແມ່ນແນ່ນອນບໍ່ຫນ້າເຊື່ອຖື, ເພາະວ່າ ລະ​ຫັດ​ຜ່ານ​ນີ້​ສາ​ມາດ​ກາຍ​ເປັນ​ທີ່​ຮູ້​ຈັກ​ໄດ້​ຢ່າງ​ງ່າຍ​ດາຍ​ກັບ​ບຸກ​ຄົນ​ທີ່​ພວກ​ເຮົາ​ບໍ່​ຕ້ອງ​ການ​ໃຫ້​ການ​ເຂົ້າ​ເຖິງ​ເຄືອ​ຂ່າຍ​.
ຢ່າງໃດກໍຕາມ, ເຖິງແມ່ນວ່າຄວາມຈິງນີ້ຈະບໍ່ມີຜົນກະທົບຄວາມປອດໄພຂອງເຄືອຂ່າຍ, ເນື່ອງຈາກວ່າ ການເຂົ້າລະຫັດຂໍ້ມູນພື້ນຖານ ແລະການກວດສອບຜູ້ໃຊ້ແມ່ນດໍາເນີນໂດຍໂປໂຕຄອນ PPP. ແຕ່ໃນຄວາມຍຸຕິທໍາ, ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າ strongswan ສະຫນັບສະຫນູນເຕັກໂນໂລຢີທີ່ປອດໄພກວ່າສໍາລັບການຢັ້ງຢືນ, ສໍາລັບຕົວຢ່າງ, ການນໍາໃຊ້ກະແຈສ່ວນຕົວ. Strongswan ຍັງມີຄວາມສາມາດໃນການສະຫນອງການກວດສອບຄວາມຖືກຕ້ອງໂດຍໃຊ້ບັດອັດສະລິຍະ, ແຕ່ມາຮອດປັດຈຸບັນມີພຽງແຕ່ອຸປະກອນທີ່ຈໍາກັດເທົ່ານັ້ນທີ່ສະຫນັບສະຫນູນແລະດັ່ງນັ້ນການພິສູດຢືນຢັນໂດຍໃຊ້ Rutoken tokens ແລະບັດ smart ຍັງມີຄວາມຫຍຸ້ງຍາກ. ໃຫ້ຕັ້ງລະຫັດຜ່ານທົ່ວໄປຜ່ານໄຟລ໌ /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

ມາຣີສະຕາດ strongswan:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

ການຕິດຕັ້ງ xl2tp

sudo dnf install xl2tpd

ໃຫ້ເຮົາຕັ້ງຄ່າມັນຜ່ານໄຟລ໌ /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

ມາເປີດບໍລິການຄືນໃໝ່:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

ການຕັ້ງຄ່າ PPP

ແນະນໍາໃຫ້ຕິດຕັ້ງ pppd ເວີຊັນຫຼ້າສຸດ. ເພື່ອເຮັດສິ່ງນີ້, ປະຕິບັດຄໍາສັ່ງດັ່ງຕໍ່ໄປນີ້:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

ຂຽນໃສ່ໄຟລ໌ /etc/ppp/options.xl2tpd ຕໍ່ໄປນີ້ (ຖ້າມີຄ່າໃດໆຢູ່ທີ່ນັ້ນ, ທ່ານສາມາດລຶບພວກມັນໄດ້):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

ພວກເຮົາອອກໃບຢັ້ງຢືນຮາກແລະໃບຢັ້ງຢືນເຊີບເວີ:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

ດັ່ງນັ້ນ, ພວກເຮົາເຮັດກັບການຕິດຕັ້ງເຄື່ອງແມ່ຂ່າຍພື້ນຖານ. ສ່ວນທີ່ເຫຼືອຂອງການຕັ້ງຄ່າເຊີຟເວີກ່ຽວຂ້ອງກັບການເພີ່ມລູກຄ້າໃຫມ່.

ກຳລັງເພີ່ມລູກຄ້າໃໝ່

ເພື່ອເພີ່ມລູກຂ່າຍໃໝ່ໃສ່ເຄືອຂ່າຍ, ທ່ານຕ້ອງເພີ່ມໃບຢັ້ງຢືນຂອງມັນໃສ່ລາຍຊື່ຜູ້ທີ່ເຊື່ອຖືໄດ້ສຳລັບລູກຄ້ານີ້.

ຖ້າຜູ້ໃຊ້ຕ້ອງການເປັນສະມາຊິກຂອງເຄືອຂ່າຍ VPN, ລາວສ້າງຄູ່ຄີແລະຄໍາຮ້ອງສະຫມັກໃບຢັ້ງຢືນສໍາລັບລູກຄ້ານີ້. ຖ້າຜູ້ໃຊ້ເຊື່ອຖືໄດ້, ຄໍາຮ້ອງສະຫມັກນີ້ສາມາດຖືກລົງນາມ, ແລະໃບຢັ້ງຢືນຜົນໄດ້ຮັບສາມາດຂຽນໃສ່ໄດເລກະທໍລີໃບຢັ້ງຢືນ:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

ໃຫ້ເພີ່ມແຖວໃສ່ໄຟລ໌ /etc/ppp/eaptls-server ເພື່ອໃຫ້ກົງກັບຊື່ລູກຄ້າ ແລະໃບຢັ້ງຢືນຂອງມັນ:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

ຫມາຍ​ເຫດ​
ເພື່ອຫຼີກເວັ້ນການສັບສົນ, ມັນດີກວ່າທີ່: ຊື່ສາມັນ, ຊື່ເອກະສານໃບຢັ້ງຢືນແລະຊື່ຜູ້ໃຊ້ເປັນເອກະລັກ.

ມັນຍັງເປັນມູນຄ່າການກວດສອບວ່າຊື່ຂອງຜູ້ໃຊ້ທີ່ພວກເຮົາກໍາລັງເພີ່ມບໍ່ປາກົດຢູ່ບ່ອນໃດກໍ່ຕາມໃນໄຟລ໌ການກວດສອບຄວາມຖືກຕ້ອງອື່ນໆ, ຖ້າບໍ່ດັ່ງນັ້ນຈະມີບັນຫາກັບວິທີທີ່ຜູ້ໃຊ້ໄດ້ຮັບການຢືນຢັນ.

ໃບຢັ້ງຢືນດຽວກັນຕ້ອງຖືກສົ່ງກັບຜູ້ໃຊ້.

ການສ້າງຄູ່ຄີ ແລະໃບຢັ້ງຢືນ

ສໍາລັບການຢັ້ງຢືນສົບຜົນສໍາເລັດ, ລູກຄ້າຕ້ອງ:

1. ສ້າງຄູ່ທີ່ສໍາຄັນ;
2. ມີໃບຢັ້ງຢືນຮາກ CA;
3. ມີໃບຢັ້ງຢືນສໍາລັບຄູ່ທີ່ສໍາຄັນຂອງທ່ານທີ່ລົງນາມໂດຍ root CA.

ສໍາລັບລູກຄ້າໃນ Linux

ທໍາອິດ, ໃຫ້ສ້າງຄູ່ທີ່ສໍາຄັນໃນ token ແລະສ້າງຄໍາຮ້ອງສະຫມັກສໍາລັບໃບຢັ້ງຢືນ:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

ສົ່ງແອັບພລິເຄຊັນ client.req ທີ່ປາກົດໃຫ້ CA. ເມື່ອທ່ານໄດ້ຮັບໃບຢັ້ງຢືນສໍາລັບຄູ່ຄີຂອງທ່ານ, ຂຽນມັນໃສ່ token ທີ່ມີ id ດຽວກັນກັບກະແຈ:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

ສໍາລັບລູກຄ້າ Windows ແລະ Linux (ວິທີການທົ່ວໄປຫຼາຍ)

ວິທີການນີ້ແມ່ນທົ່ວໄປຫຼາຍ, ເພາະວ່າ ອະນຸຍາດໃຫ້ທ່ານສ້າງລະຫັດແລະໃບຢັ້ງຢືນທີ່ຈະໄດ້ຮັບການຍອມຮັບຢ່າງສໍາເລັດຜົນໂດຍຜູ້ໃຊ້ Windows ແລະ Linux, ແຕ່ມັນຮຽກຮ້ອງໃຫ້ມີເຄື່ອງ Windows ເພື່ອປະຕິບັດຂັ້ນຕອນການຜະລິດທີ່ສໍາຄັນ.

ກ່ອນທີ່ຈະສ້າງການຮ້ອງຂໍແລະການນໍາເຂົ້າໃບຢັ້ງຢືນ, ທ່ານຕ້ອງເພີ່ມໃບຢັ້ງຢືນຮາກຂອງເຄືອຂ່າຍ VPN ໃສ່ບັນຊີລາຍຊື່ທີ່ເຊື່ອຖືໄດ້. ເພື່ອເຮັດສິ່ງນີ້, ເປີດມັນແລະຢູ່ໃນປ່ອງຢ້ຽມທີ່ເປີດ, ເລືອກຕົວເລືອກ "ຕິດຕັ້ງໃບຢັ້ງຢືນ":

ໃນປ່ອງຢ້ຽມທີ່ເປີດ, ເລືອກການຕິດຕັ້ງໃບຢັ້ງຢືນສໍາລັບຜູ້ໃຊ້ທ້ອງຖິ່ນ:

ມາຕິດຕັ້ງໃບຮັບຮອງໃນບ່ອນເກັບໃບຢັ້ງຢືນຮາກທີ່ເຊື່ອຖືໄດ້ຂອງ CA:

ຫຼັງຈາກການປະຕິບັດທັງຫມົດເຫຼົ່ານີ້, ພວກເຮົາຕົກລົງເຫັນດີກັບຈຸດເພີ່ມເຕີມທັງຫມົດ. ຕອນນີ້ລະບົບຖືກຕັ້ງຄ່າແລ້ວ.

ມາສ້າງໄຟລ໌ cert.tmp ທີ່ມີເນື້ອຫາຕໍ່ໄປນີ້:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

ຫຼັງຈາກນີ້, ພວກເຮົາຈະສ້າງຄູ່ທີ່ສໍາຄັນແລະສ້າງຄໍາຮ້ອງສະຫມັກສໍາລັບໃບຢັ້ງຢືນ. ເພື່ອເຮັດສິ່ງນີ້, ເປີດ powershell ແລະໃສ່ຄໍາສັ່ງຕໍ່ໄປນີ້:

certreq.exe -new -pin $PIN .cert.tmp .client.req

ສົ່ງຄໍາຮ້ອງສະຫມັກ client.req ທີ່ສ້າງຂື້ນໄປ CA ຂອງທ່ານແລະລໍຖ້າໃບຢັ້ງຢືນ client.pem ຈະໄດ້ຮັບ. ມັນສາມາດຖືກຂຽນໃສ່ token ແລະເພີ່ມໃສ່ຮ້ານໃບຢັ້ງຢືນ Windows ໂດຍໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້:

certreq.exe -accept .client.pem

ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າການກະທໍາທີ່ຄ້າຍຄືກັນສາມາດຖືກຜະລິດຄືນໃຫມ່ໂດຍໃຊ້ການໂຕ້ຕອບຮູບພາບຂອງໂປຼແກຼມ mmc, ແຕ່ວິທີການນີ້ແມ່ນໃຊ້ເວລາຫຼາຍແລະມີໂຄງການຫນ້ອຍ.

ຕັ້ງຄ່າລູກຄ້າ Ubuntu

ຫມາຍ​ເຫດ​
ການຕັ້ງຄ່າລູກຄ້າໃນ Linux ໃນປັດຈຸບັນແມ່ນຂ້ອນຂ້າງໃຊ້ເວລາຫຼາຍ, ເພາະວ່າ ... ຮຽກຮ້ອງໃຫ້ມີການສ້າງໂຄງການແຍກຕ່າງຫາກຈາກແຫຼ່ງ. ພວກເຮົາຈະພະຍາຍາມຮັບປະກັນວ່າການປ່ຽນແປງທັງຫມົດແມ່ນລວມຢູ່ໃນ repositories ຢ່າງເປັນທາງການໃນອະນາຄົດອັນໃກ້ນີ້.

ເພື່ອຮັບປະກັນການເຊື່ອມຕໍ່ໃນລະດັບ IPSec ກັບເຊີບເວີ, ຊຸດ strongswan ແລະ daemon xl2tp ຖືກໃຊ້. ເພື່ອເຮັດໃຫ້ການເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍງ່າຍຂຶ້ນໂດຍໃຊ້ບັດອັດສະລິຍະ, ພວກເຮົາຈະໃຊ້ແພັກເກັດ l2tp-ipsec-vpn, ເຊິ່ງສະໜອງກາຟິກກາຟິກສຳລັບການຕິດຕັ້ງການເຊື່ອມຕໍ່ທີ່ງ່າຍດາຍ.

ໃຫ້ເລີ່ມຕົ້ນການປະກອບອົງປະກອບໂດຍຂັ້ນຕອນ, ແຕ່ກ່ອນນັ້ນພວກເຮົາຈະຕິດຕັ້ງແພັກເກັດທີ່ຈໍາເປັນທັງຫມົດສໍາລັບ VPN ເພື່ອເຮັດວຽກໂດຍກົງ:

sudo apt-get install xl2tpd strongswan libp11-3

ການຕິດຕັ້ງຊອບແວສໍາລັບການເຮັດວຽກກັບ tokens

ຕິດຕັ້ງຫ້ອງສະໝຸດ librtpkcs11ecp.so ຫຼ້າສຸດຈາກ site, ຍັງຫ້ອງສະຫມຸດສໍາລັບການເຮັດວຽກກັບບັດອັດສະລິຍະ:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

ເຊື່ອມຕໍ່ Rutoken ແລະກວດເບິ່ງວ່າມັນໄດ້ຖືກຮັບຮູ້ໂດຍລະບົບ:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

ການຕິດຕັ້ງ patched ppp

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

ການຕິດຕັ້ງລູກຂ່າຍ L2tpIpsecVpn

ໃນປັດຈຸບັນ, ລູກຄ້າຍັງຕ້ອງໄດ້ຮັບການລວບລວມຈາກລະຫັດແຫຼ່ງ. ນີ້ແມ່ນເຮັດໄດ້ໂດຍໃຊ້ລໍາດັບຄໍາສັ່ງຕໍ່ໄປນີ້:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

ຕັ້ງຄ່າລູກຄ້າ L2tpIpsecVpn

ເປີດຕົວລູກຄ້າທີ່ຕິດຕັ້ງ:

ຫຼັງຈາກເປີດຕົວ, applet L2tpIpsecVPN ຄວນເປີດ. ຄລິກຂວາໃສ່ມັນ ແລະກຳນົດຄ່າການເຊື່ອມຕໍ່:

ເພື່ອເຮັດວຽກກັບ tokens, ກ່ອນອື່ນ ໝົດ, ພວກເຮົາຊີ້ບອກເສັ້ນທາງຂອງເຄື່ອງຈັກ opensc ຂອງ OpenSSL ແລະຫ້ອງສະຫມຸດ PKCS #11. ເພື່ອເຮັດສິ່ງນີ້, ເປີດແຖບ "ການຕັ້ງຄ່າ" ເພື່ອກໍານົດພາລາມິເຕີ openssl:

.

ໃຫ້ປິດໜ້າຕ່າງການຕັ້ງຄ່າ OpenSSL ແລະຍ້າຍໄປຕັ້ງເຄືອຂ່າຍ. ມາເພີ່ມເຄືອຂ່າຍໃໝ່ໂດຍການຄລິກທີ່ປຸ່ມ Add... ໃນແຖບການຕັ້ງຄ່າ ແລະໃສ່ຊື່ເຄືອຂ່າຍ:

ຫຼັງຈາກນີ້, ເຄືອຂ່າຍນີ້ຈະກາຍເປັນທີ່ມີຢູ່ໃນແຖບການຕັ້ງຄ່າ. ຄລິກຂວາສອງເທື່ອໃສ່ເຄືອຂ່າຍໃໝ່ເພື່ອກຳນົດຄ່າມັນ. ໃນແຖບທໍາອິດທ່ານຈໍາເປັນຕ້ອງເຮັດການຕັ້ງຄ່າ IPsec. ມາຕັ້ງທີ່ຢູ່ເຊີບເວີ ແລະກະແຈສາທາລະນະ:

ຫຼັງຈາກນີ້, ໄປທີ່ແຖບການຕັ້ງຄ່າ PPP ແລະລະບຸຊື່ຜູ້ໃຊ້ພາຍໃຕ້ການທີ່ພວກເຮົາຕ້ອງການທີ່ຈະເຂົ້າເຖິງເຄືອຂ່າຍ:

ຫຼັງຈາກນັ້ນ, ເປີດແຖບ Properties ແລະລະບຸເສັ້ນທາງໄປຫາລະຫັດ, ໃບຢັ້ງຢືນລູກຄ້າແລະ CA:

ໃຫ້ປິດແຖບນີ້ແລະປະຕິບັດການຕັ້ງຄ່າສຸດທ້າຍ; ເພື່ອເຮັດສິ່ງນີ້, ເປີດແຖບ "ການຕັ້ງຄ່າ IP" ແລະຫມາຍໃສ່ໃນປ່ອງທີ່ຢູ່ຂ້າງ "ໄດ້ຮັບ DNS server ອັດຕະໂນມັດ" ທາງເລືອກ:

ຕົວເລືອກນີ້ຈະຊ່ວຍໃຫ້ລູກຄ້າໄດ້ຮັບທີ່ຢູ່ IP ສ່ວນຕົວພາຍໃນເຄືອຂ່າຍຈາກເຄື່ອງແມ່ຂ່າຍ.

ຫຼັງຈາກການຕັ້ງຄ່າທັງຫມົດ, ປິດແຖບທັງຫມົດແລະ restart ລູກຄ້າ:

ກຳ ລັງເຊື່ອມຕໍ່ຫາເຄືອຂ່າຍ

ຫຼັງຈາກການຕັ້ງຄ່າ, ທ່ານສາມາດເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍ. ເພື່ອເຮັດສິ່ງນີ້, ເປີດແຖບ applet ແລະເລືອກເຄືອຂ່າຍທີ່ພວກເຮົາຕ້ອງການເຊື່ອມຕໍ່:

ໃນລະຫວ່າງຂະບວນການສ້າງການເຊື່ອມຕໍ່, ລູກຄ້າຈະຂໍໃຫ້ພວກເຮົາໃສ່ລະຫັດ PIN Rutoken:

ຖ້າການແຈ້ງເຕືອນປາກົດຢູ່ໃນແຖບສະຖານະວ່າການເຊື່ອມຕໍ່ໄດ້ຖືກສ້າງຕັ້ງຂຶ້ນຢ່າງສໍາເລັດຜົນ, ມັນຫມາຍຄວາມວ່າການຕິດຕັ້ງສໍາເລັດ:

ຖ້າບໍ່ດັ່ງນັ້ນ, ມັນຄຸ້ມຄ່າທີ່ຈະຊອກຫາວ່າເປັນຫຍັງການເຊື່ອມຕໍ່ບໍ່ຖືກສ້າງຕັ້ງຂຶ້ນ. ເພື່ອເຮັດສິ່ງນີ້, ທ່ານຄວນເບິ່ງບັນທຶກໂຄງການໂດຍການເລືອກຄໍາສັ່ງ "ຂໍ້ມູນການເຊື່ອມຕໍ່" ໃນ applet:

ການ​ຕັ້ງ​ຄ່າ​ລູກ​ຄ້າ Windows​

ການຕັ້ງຄ່າລູກຄ້າໃນ Windows ແມ່ນງ່າຍກວ່າໃນ Linux, ເພາະວ່າ ... ຊອບແວທີ່ຈໍາເປັນທັງຫມົດແມ່ນໄດ້ຖືກສ້າງຂຶ້ນໃນລະບົບແລ້ວ.

ການຕິດຕັ້ງລະບົບ

ພວກເຮົາຈະຕິດຕັ້ງໄດເວີທີ່ຈໍາເປັນທັງຫມົດສໍາລັບການເຮັດວຽກກັບ Rutokens ໂດຍການດາວໂຫລດຈາກ ຂອງ. ເວັບໄຊ.

ການນໍາເຂົ້າໃບຢັ້ງຢືນຮາກສໍາລັບການພິສູດຢືນຢັນ

ດາວໂຫລດໃບຢັ້ງຢືນຮາກຂອງເຄື່ອງແມ່ຂ່າຍແລະຕິດຕັ້ງມັນຢູ່ໃນລະບົບ. ເພື່ອເຮັດສິ່ງນີ້, ເປີດມັນແລະຢູ່ໃນປ່ອງຢ້ຽມທີ່ເປີດ, ເລືອກຕົວເລືອກ "ຕິດຕັ້ງໃບຢັ້ງຢືນ":

ໃນປ່ອງຢ້ຽມທີ່ເປີດ, ເລືອກການຕິດຕັ້ງໃບຢັ້ງຢືນສໍາລັບຜູ້ໃຊ້ທ້ອງຖິ່ນ. ຖ້າທ່ານຕ້ອງການໃຫ້ໃບຮັບຮອງມີໃຫ້ຜູ້ໃຊ້ທັງໝົດໃນຄອມພິວເຕີ, ທ່ານຄວນເລືອກຕິດຕັ້ງໃບຮັບຮອງໃນຄອມພິວເຕີທ້ອງຖິ່ນ:

ມາຕິດຕັ້ງໃບຮັບຮອງໃນບ່ອນເກັບໃບຢັ້ງຢືນຮາກທີ່ເຊື່ອຖືໄດ້ຂອງ CA:

ຫຼັງຈາກການປະຕິບັດທັງຫມົດເຫຼົ່ານີ້, ພວກເຮົາຕົກລົງເຫັນດີກັບຈຸດເພີ່ມເຕີມທັງຫມົດ. ຕອນນີ້ລະບົບຖືກຕັ້ງຄ່າແລ້ວ.

ຕັ້ງຄ່າການເຊື່ອມຕໍ່ VPN

ເພື່ອຕັ້ງຄ່າການເຊື່ອມຕໍ່ VPN, ໄປທີ່ແຜງຄວບຄຸມແລະເລືອກທາງເລືອກທີ່ຈະສ້າງການເຊື່ອມຕໍ່ໃຫມ່.

ໃນໜ້າຈໍປັອບອັບ, ເລືອກຕົວເລືອກເພື່ອສ້າງການເຊື່ອມຕໍ່ເພື່ອເຊື່ອມຕໍ່ກັບບ່ອນເຮັດວຽກຂອງທ່ານ:

ໃນປ່ອງຢ້ຽມຕໍ່ໄປ, ເລືອກການເຊື່ອມຕໍ່ VPN:

ແລະໃສ່ລາຍລະອຽດການເຊື່ອມຕໍ່ VPN, ແລະຍັງລະບຸທາງເລືອກທີ່ຈະໃຊ້ບັດອັດສະລິຍະ:

ການຕັ້ງຄ່າຍັງບໍ່ສໍາເລັດເທື່ອ. ສິ່ງທີ່ຍັງເຫຼືອແມ່ນເພື່ອລະບຸລະຫັດທີ່ໃຊ້ຮ່ວມກັນສໍາລັບໂປໂຕຄອນ IPsec; ເພື່ອເຮັດສິ່ງນີ້, ໄປທີ່ແຖບ "ການຕັ້ງຄ່າການເຊື່ອມຕໍ່ເຄືອຂ່າຍ" ແລະຫຼັງຈາກນັ້ນໄປທີ່ແຖບ "ຄຸນສົມບັດສໍາລັບການເຊື່ອມຕໍ່ນີ້":

ໃນປ່ອງຢ້ຽມທີ່ເປີດ, ໄປທີ່ແຖບ "ຄວາມປອດໄພ", ລະບຸ "ເຄືອຂ່າຍ L2TP / IPsec" ເປັນປະເພດເຄືອຂ່າຍແລະເລືອກ "ການຕັ້ງຄ່າຂັ້ນສູງ":

ໃນປ່ອງຢ້ຽມທີ່ເປີດ, ໃຫ້ລະບຸລະຫັດ IPsec ທີ່ແບ່ງປັນ:

ການເຊື່ອມຕໍ່

ຫຼັງ​ຈາກ​ສໍາ​ເລັດ​ການ​ຕິດ​ຕັ້ງ​, ທ່ານ​ສາ​ມາດ​ພະ​ຍາ​ຍາມ​ເຊື່ອມ​ຕໍ່​ກັບ​ເຄືອ​ຂ່າຍ​:

ໃນລະຫວ່າງຂະບວນການເຊື່ອມຕໍ່, ພວກເຮົາຈະຕ້ອງໃສ່ລະຫັດ PIN token:

ພວກເຮົາໄດ້ຕັ້ງເຄືອຂ່າຍ VPN ທີ່ປອດໄພ ແລະໃຫ້ແນ່ໃຈວ່າມັນບໍ່ຍາກ.

ຂອບໃຈ

ຂ້າພະເຈົ້າຂໍຂອບໃຈອີກເທື່ອຫນຶ່ງກັບເພື່ອນຮ່ວມງານຂອງພວກເຮົາ Vasily Shokov ແລະ Alexander Smirnov ສໍາລັບວຽກງານທີ່ພວກເຂົາໄດ້ເຮັດຮ່ວມກັນເພື່ອສ້າງການເຊື່ອມຕໍ່ VPN ສໍາລັບລູກຄ້າ Linux.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com