🥇Attālinātā darba organizēšana MVU organizācijām vietnē OpenVPN

Problēmas paziņojums

Rakstā ir aprakstīta attālinātās piekļuves organizācija darbiniekiem uz atvērtā pirmkoda produktiem un to var izmantot gan pilnīgi autonomas sistēmas izveidošanai, gan noderēs paplašināšanai, kad esošajā komercsistēmā pietrūks licenču vai tās veiktspēja ir nepietiekama.

Raksta mērķis ir ieviest pilnīgu sistēmu attālās piekļuves nodrošināšanai organizācijai, kas ir nedaudz vairāk kā “OpenVPN instalēšana 10 minūtēs”.

Rezultātā mēs iegūsim sistēmu, kurā lietotāju autentificēšanai tiks izmantoti sertifikāti un (pēc izvēles) uzņēmuma Active Directory. Tas. mēs iegūsim sistēmu ar diviem verifikācijas faktoriem - kas man ir (sertifikāts) un ko es zinu (parole).

Pazīme, ka lietotājam ir atļauts izveidot savienojumu, ir viņa dalība myVPNUsr grupā. Sertifikāta iestāde tiks izmantota bezsaistē.

Risinājuma ieviešanas izmaksas ir tikai nelieli aparatūras resursi un 1 stunda sistēmas administratora darba.

Mēs izmantosim virtuālo mašīnu ar OpenVPN un Easy-RSA 3. versiju operētājsistēmā CetntOS 7, kurai ir piešķirti 100 vCPU un 4 GiB RAM uz 4 savienojumiem.

Piemērā mūsu organizācijas tīkls ir 172.16.0.0/16, kurā VPN serveris ar adresi 172.16.19.123 atrodas segmentā 172.16.19.0/24, DNS serveri 172.16.16.16 un 172.16.17.17, apakštīkls 172.16.20.0. .23/XNUMX ir piešķirts VPN klientiem .

Lai izveidotu savienojumu no ārpuses, tiek izmantots savienojums caur portu 1194/udp, un mūsu servera DNS ir izveidots A-ieraksts gw.abc.ru.

SELinux nav stingri ieteicams atspējot! OpenVPN darbojas, neatspējojot drošības politikas.

OS un lietojumprogrammatūras uzstādīšana

Mēs izmantojam CentOS 7.8.2003 izplatīšanu. Mums ir jāinstalē OS minimālā konfigurācijā. To ir ērti izdarīt, izmantojot ātrs sākums, iepriekš instalēta OS attēla klonēšana un citi līdzekļi.

Pēc instalēšanas, piešķirot tīkla interfeisam adresi (saskaņā ar uzdevuma 172.16.19.123 noteikumiem), mēs atjauninām OS:

$ sudo yum update -y && reboot

Mums arī jāpārliecinās, ka mūsu mašīnā tiek veikta laika sinhronizācija.
Lai instalētu lietojumprogrammatūru, jums ir nepieciešamas openvpn, openvpn-auth-ldap, easy-rsa un vim pakotnes kā galvenais redaktors (jums būs nepieciešama EPEL repozitorijs).

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

Ir lietderīgi instalēt viesaģentu virtuālajai mašīnai:

$ sudo yum install open-vm-tools

VMware ESXi saimniekiem vai oVirt

$ sudo yum install ovirt-guest-agent

Kriptogrāfijas iestatīšana

Dodieties uz easy-rsa direktoriju:

$ cd /usr/share/easy-rsa/3/

Izveidojiet mainīgo failu:

$ sudo vim vars

šādu saturu:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

Šeit ir aprakstīti nosacījuma organizācijas ABC LLC parametri, tos varat labot uz reālajiem vai atstāt no piemēra. Pats svarīgākais parametros ir pēdējā rinda, kas nosaka sertifikāta derīguma termiņu dienās. Piemērā izmantota vērtība 10 gadi (365*10+2 garie gadi). Pirms lietotāja sertifikātu izsniegšanas šī vērtība būs jākoriģē.

Tālāk mēs konfigurējam autonomu sertifikācijas iestādi.

Iestatīšanā ietilpst mainīgo eksportēšana, CA inicializācija, CA saknes atslēgas un sertifikāta, Difija-Helmana atslēgas, TLS atslēgas un servera atslēgas un sertifikāta izsniegšana. CA atslēga ir rūpīgi jāaizsargā un jāglabā slepenībā! Visus vaicājuma parametrus var atstāt kā noklusējuma parametrus.

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

Tādējādi tiek pabeigta galvenā kriptogrāfijas mehānisma iestatīšanas daļa.

OpenVPN iestatīšana

Dodieties uz OpenVPN direktoriju, izveidojiet pakalpojumu direktorijus un pievienojiet saiti uz easy-rsa:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

Izveidojiet galveno OpenVPN konfigurācijas failu:

$ sudo vim server.conf

sekojošo saturu

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

Dažas piezīmes par parametriem:

ja, izsniedzot sertifikātu, norādīts cits nosaukums, norāda to;
norādiet adrešu kopu atbilstoši jūsu uzdevumiem*;
var būt viens vai vairāki maršruti un DNS serveri;
Pēdējās 2 rindiņas ir nepieciešamas, lai ieviestu autentifikāciju AD**.

*Piemērā atlasītais adrešu diapazons ļaus vienlaikus izveidot savienojumu līdz 127 klientiem, jo ir atlasīts /23 tīkls, un OpenVPN izveido apakštīklu katram klientam, izmantojot /30 masku.
Ja īpaši nepieciešams, portu un protokolu var mainīt, tomēr jāpatur prātā, ka, mainot porta porta numuru, būs jākonfigurē SELinux, un tcp protokola izmantošana palielinās papildu izmaksas, jo TCP pakešu piegādes kontrole jau tiek veikta tunelī iekapsulēto pakešu līmenī.

**Ja autentifikācija AD nav nepieciešama, komentējiet tos, izlaidiet nākamo sadaļu un veidnē noņemiet rindu auth-user-pass.

AD autentifikācija

Lai atbalstītu otro faktoru, AD izmantosim konta verifikāciju.

Mums ir nepieciešams konts domēnā ar parasta lietotāja tiesībām un grupa, kuras dalība noteiks iespēju izveidot savienojumu.

Izveidojiet konfigurācijas failu:

/etc/openvpn/ldap.conf

sekojošo saturu

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

Galvenie parametri:

URL “ldap://ldap.abc.ru” - domēna kontrollera adrese;
BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” — kanoniskais nosaukums saistīšanai ar LDAP (UZ — bindUsr konteinerā abc.ru/Users);
Parole b1ndP@SS — lietotāja parole saistīšanai;
BaseDN “OU=allUsr,DC=abc,DC=ru” — ceļš, no kura jāsāk lietotāja meklēšana;
BaseDN “OU=myGrp,DC=abc,DC=ru” – atļaujas grupas konteiners (grupa myVPNUsr konteinerā abc.rumyGrp);
SearchFilter "(cn=myVPNUsr)" ir atļaujas grupas nosaukums.

Startēšana un diagnostika

Tagad mēs varam mēģināt iespējot un palaist mūsu serveri:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

Startēšanas pārbaude:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

Sertifikāta izsniegšana un atsaukšana

Jo Papildus pašiem sertifikātiem ir nepieciešamas atslēgas un citi iestatījumi, to visu ir ļoti ērti ietīt vienā profila failā. Pēc tam šis fails tiek pārsūtīts lietotājam un profils tiek importēts OpenVPN klientā. Lai to izdarītu, mēs izveidosim iestatījumu veidni un skriptu, kas ģenerē profilu.

Profilam jāpievieno saknes sertifikāta (ca.crt) un TLS atslēgas (ta.key) failu saturs.

Pirms lietotāja sertifikātu izsniegšanas neaizmirstiet iestatīt nepieciešamo sertifikātu derīguma termiņu parametru failā. Nevajadzētu to padarīt pārāk ilgu; es iesaku ierobežot sevi līdz 180 dienām.

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

Piezīmes:

līnijas NOLIEC SAVU... mainīt uz saturu paša sertifikāti;
attālajā direktīvā norādiet vārtejas nosaukumu/adresi;
Papildu ārējai autentifikācijai tiek izmantota direktīva auth-user-pass.

Mājas direktorijā (vai citā ērtā vietā) izveidojam skriptu sertifikāta pieprasīšanai un profila izveidei:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

Faila padarīšana par izpildāmu:

chmod a+x ~/make.profile.sh

Un mēs varam izsniegt savu pirmo sertifikātu.

~/make.profile.sh my-first-user

Pārskatīt

Sertifikāta apdraudējuma (nozaudēšanas, zādzības) gadījumā ir nepieciešams šo sertifikātu anulēt:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

Skatīt izsniegtos un atsauktos sertifikātus

Lai skatītu izsniegtos un atsauktos sertifikātus, vienkārši skatiet indeksa failu:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

Paskaidrojums:

pirmā rinda ir servera sertifikāts;
pirmais varonis
- V (Derīgs) - derīgs;
- R (Atsaukts) - atsaukts.

Tīkla iestatīšana

Pēdējās darbības ir pārvades tīkla konfigurēšana - maršrutēšana un ugunsmūri.

Savienojumu atļaušana vietējā ugunsmūrī:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

Pēc tam iespējojiet IP trafika maršrutēšanu:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

Korporatīvajā vidē, iespējams, ir apakštīkls, un mums ir jāpaziņo maršrutētājam(-iem), kā nosūtīt paketes, kas paredzētas mūsu VPN klientiem. Komandrindā mēs izpildām komandu šādā veidā (atkarībā no izmantotā aprīkojuma):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

un saglabājiet konfigurāciju.

Turklāt robežmaršrutētāja saskarnē, kur tiek apkalpota ārējā adrese gw.abc.ru, ir jāatļauj udp/1194 pakešu pāreja.

Ja organizācijai ir stingri drošības noteikumi, mūsu VPN serverī ir jākonfigurē arī ugunsmūris. Manuprāt, vislielāko elastību nodrošina iptables FORWARD ķēžu iestatīšana, lai gan to iestatīšana ir mazāk ērta. Nedaudz vairāk par to iestatīšanu. Lai to izdarītu, visērtāk ir izmantot “tiešos noteikumus” - tiešos noteikumus, kas saglabāti failā /etc/firewalld/direct.xml. Pašreizējo noteikumu konfigurāciju var atrast šādi:

$ sudo firewall-cmd --direct --get-all-rule

Pirms faila maiņas izveidojiet tā dublējumkopiju:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

Aptuvenais faila saturs ir:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

Paskaidrojumi

Tie būtībā ir parastie iptables noteikumi, kas citādi tiek iesaiņoti pēc ugunsmūra parādīšanās.

Mērķa saskarne ar noklusējuma iestatījumiem ir tun0, un tuneļa ārējais interfeiss var atšķirties, piemēram, ens192, atkarībā no izmantotās platformas.

Pēdējā rinda ir paredzēta nomesto pakešu reģistrēšanai. Lai pieteikšanās darbotos, ugunsmūra konfigurācijā ir jāmaina atkļūdošanas līmenis:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

Iestatījumu piemērošana ir parastā ugunsmūra komanda, lai atkārtoti izlasītu iestatījumus:

$ sudo firewall-cmd --reload

Jūs varat apskatīt nomestās paketes šādi:

grep forward_fw /var/log/messages

Kas ir nākamais

Tas pabeidz iestatīšanu!

Atliek tikai instalēt klienta programmatūru klienta pusē, importēt profilu un izveidot savienojumu. Operētājsistēmām Windows izplatīšanas komplekts atrodas uz izstrādātāja vietne.

Visbeidzot, mēs savienojam savu jauno serveri ar uzraudzības un arhivēšanas sistēmām un neaizmirstam regulāri instalēt atjauninājumus.

Stabils savienojums!

Avots: www.habr.com

SMB organizācijas attālinātā darba organizēšana OpenVPN