NY ANY
Vao haingana, maro no tsy nahalala hoe manao ahoana ny miasa any an-trano. Nanova tanteraka ny toe-draharaha eto amin'izao tontolo izao ny areti-mifindra; nanomboka nifanaraka tamin'ny zava-misy ankehitriny ny tsirairay, izany hoe nanjary tsy azo antoka ny mivoaka ny trano. Ary maro no voatery nandamina haingana ny asa any an-trano ho an'ny mpiasany.
Na izany aza, ny tsy fahampian'ny fomba fiasa mahefa amin'ny fisafidianana vahaolana ho an'ny asa lavitra dia mety hitarika fatiantoka tsy azo ivalozana. Ny tenimiafina mpampiasa dia azo angalarina, ary izany dia ahafahan'ny mpanafika mifandray tsy voafehy amin'ny tambajotra sy ny loharanon'ny IT an'ny orinasa.
Izany no antony nitomboan'ny filΓ na famoronana tambajotra VPN orinasa azo antoka. Hotantaraiko anao ny momba izany azo antoka, azo antoka ΠΈ tsotra amin'ny fampiasana tambajotra VPN.
Izy io dia miasa araka ny rafitra IPsec/L2TP, izay mampiasa fanalahidy tsy azo alaina sy mari-pankasitrahana voatahiry amin'ny mari-pamantarana mba hanamarinana ny mpanjifa, ary koa mamindra angona amin'ny tambajotra amin'ny endrika miafina.
Mpizara iray miaraka amin'ny CentOS 7 (adiresy: centos.vpn.server.ad) sy mpanjifa iray miaraka amin'ny Ubuntu 20.04, ary koa mpanjifa miaraka amin'ny Windows 10, dia nampiasaina ho fanehoana ny fanamafisana.
Famaritana ny rafitra
Ny VPN dia hiasa araka ny rafitra IPSec + L2TP + PPP. fifanarahana Protocol Point-to-Point (PPP) dia miasa eo amin'ny sosona rohy angona amin'ny maodely OSI ary manome fanamarinana sy fanafenana ny angon-drakitra alefa. Ny angon-drakitra dia voarakitra ao amin'ny angon-drakitra momba ny protocol L2TP, izay tena miantoka ny famoronana fifandraisana ao amin'ny tambajotra VPN, saingy tsy manome fanamarinana sy fanafenana.
Ny angon-drakitra L2TP dia voarakitra ao amin'ny IPSec, izay manome fanamarinana sy encryption ihany koa, fa tsy toy ny PPP, ny fanamarinana sy ny encryption dia mitranga amin'ny haavon'ny fitaovana, fa tsy amin'ny mpampiasa.
Ity endri-javatra ity dia ahafahanao manamarina ny mpampiasa amin'ny fitaovana sasany ihany. Hampiasa ny protocole IPSec izahay ary hamela ny fanamarinana ny mpampiasa amin'ny fitaovana rehetra.
Ny fanamarinana ny mpampiasa amin'ny fampiasana karatra hendry dia hatao amin'ny ambaratonga protocol PPP amin'ny alΓ lan'ny protocol EAP-TLS.
Ny fampahalalana bebe kokoa momba ny fiasan'ity circuit ity dia azo jerena ao .
Nahoana ity tetika ity no mahafeno ireo fepetra telo amin'ny tambajotra VPN tsara?
- Ny fahatokisana an'io tetika io dia nosedraina tamin'ny fotoana. Efa nampiasaina tamin'ny fametrahana tambajotra VPN nanomboka tamin'ny taona 2000.
- Ny fanamarinana mpampiasa azo antoka dia omen'ny protocol PPP. tsy manome ambaratongam-piarovana ampy, satria Ho an'ny fanamarinana, amin'ny tranga tsara indrindra, ny fanamarinana amin'ny alΓ lan'ny fidirana sy ny tenimiafina dia ampiasaina. Fantatsika rehetra fa ny tenimiafina fidirana dia azo tsikilovana, vinavinaina na angalarina. Na izany aza, nandritra ny fotoana ela ny developer Π² Ity protocol ity dia nanitsy ity olana ity ary nanampy ny fahafahana mampiasa protocols mifototra amin'ny encryption asymmetrika, toy ny EAP-TLS, ho an'ny fanamarinana. Ankoatr'izay, nampiany ny fahafahana mampiasa karatra maranitra ho an'ny fanamarinana, izay nahatonga ny rafitra ho azo antoka kokoa.
Amin'izao fotoana izao dia efa mandeha ny fifampiraharahana mavitrika hanambatra ireo tetikasa roa ireo ary azonao antoka fa ho tanteraka izany na ho ela na ho haingana. Ohatra, ny PPP voapetaka dia efa tao amin'ny tahiry Fedora nandritra ny fotoana ela, mampiasa protocols azo antoka ho an'ny fanamarinana. - Hatramin'ny vao haingana, ity tambajotra ity dia tsy afaka mampiasa afa-tsy ireo mpampiasa Windows, fa ny mpiara-miasa aminay avy ao amin'ny Moscow State University Vasily Shokov sy Alexander Smirnov dia nahita. ary nanova azy. Niara-nanamboatra lesoka sy lesoka maro tamin'ny asan'ny mpanjifa izahay, nanatsotra ny fametrahana sy ny fanamafisam-peo ny rafitra, na dia manorina avy amin'ny loharano aza. Ny malaza indrindra amin'izy ireo dia:
- Mamaha ny olana mifanaraka amin'ny mpanjifa taloha miaraka amin'ny interface vaovao amin'ny openssl sy qt.
- Nesorina ny pppd tamin'ny fandefasana ny PIN famantarana amin'ny rakitra vonjimaika.
- Namboarina diso ny fandefasana ny programa fangatahana tenimiafina amin'ny alΓ lan'ny interface grafika. Izany dia natao tamin'ny fametrahana ny tontolo mety ho an'ny serivisy xl2tpd.
- Ny fananganana ny daemon L2tpIpsecVpn dia tanterahana miaraka amin'ny fananganana ny mpanjifa mihitsy, izay manamora ny fizotran'ny fananganana sy ny fanamafisana.
- Ho fanamorana ny fampandrosoana, ny rafitra Azure Pipelines dia mifandray mba hitsapana ny fahamarinan'ny fananganana.
- Nampiana ny fahafahana hanery ny fampidinana amin'ny teny manodidina ny openssl. Ity dia ilaina amin'ny fanohanana tsara ny rafitra fiasa vaovao izay napetraka amin'ny 2 ny haavon'ny fiarovana mahazatra, miaraka amin'ny tambajotra VPN izay mampiasa mari-pankasitrahana tsy mahafeno ny fepetra fiarovana amin'ity ambaratonga ity. Ity safidy ity dia ilaina amin'ny fiaraha-miasa amin'ny tambajotra VPN taloha.
Ny dikan-teny voahitsy dia hita ao amin'ny .
Ity mpanjifa ity dia manohana ny fampiasana karatra hendry ho an'ny fanamarinana, ary manafina araka izay azo atao ny fahasahiranana sy fahasahiranana rehetra amin'ny fametrahana ity tetika ity eo ambanin'ny Linux, ka mahatonga ny fananganana mpanjifa ho tsotra sy haingana araka izay tratra.
Mazava ho azy, ho an'ny fifandraisana mora misy eo amin'ny PPP sy ny GUI mpanjifa, dia tsy azo natao izany raha tsy nisy fanitsiana fanampiny ho an'ny tetikasa tsirairay, saingy na izany aza dia nahena sy nahena ho faran'izay kely izy ireo:
- raikitra
- raikitra . Ity hadisoana ity dia tsy namela anay hampiditra na inona na inona avy amin'ny rakitra fikirakirana /etc/ppp/openssl.cnf eo an-toerana afa-tsy ny fampahalalana momba ny motera openssl amin'ny fiasana amin'ny carte marani-tsaina, izay fanelingelenana lehibe raha, ohatra, ankoatra ny fampahalalana momba ny motera, te-hametraka zavatra hafa izahay. Ohatra, amboary ny haavon'ny fiarovana rehefa mametraka fifandraisana.
Afaka manomboka manangana ianao izao.
Tuning Server
Andao hametraka ny fonosana ilaina rehetra.
Fametrahana strongswan (IPsec)
Voalohany indrindra, andao amboary ny firewall ho an'ny hetsika ipsec
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reloadDia ndao hanomboka ny fametrahana
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswanAorian'ny fametrahana dia mila manamboatra strongswan ianao (iray amin'ireo fampiharana IPSec). Mba hanaovana izany, manova ny rakitra /etc/strongswan/ipsek.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024Hametraka tenimiafina fidirana mahazatra ihany koa izahay. Ny tenimiafina nozaraina dia tsy maintsy fantatry ny mpandray anjara rehetra amin'ny tambajotra ho fanamarinana. Mazava ho azy fa tsy azo ianteherana io fomba io, satria ity tenimiafina ity dia azo fantarina mora foana amin'ny olona izay tsy tiantsika homena fidirana amin'ny tambajotra.
Na izany aza, na izany zava-misy izany dia tsy hisy fiantraikany amin'ny fiarovana ny tambajotra, satria Ny fanafenana angon-drakitra fototra sy ny fanamarinana ny mpampiasa dia tanterahan'ny protocol PPP. Saingy amin'ny rariny dia tsara ny manamarika fa ny strongswan dia manohana ny teknolojia azo antoka kokoa ho an'ny fanamarinana, ohatra, amin'ny fampiasana fanalahidy manokana. Ny Strongswan koa dia manana fahafahana manome fanamarinana amin'ny fampiasana karatra hendry, saingy hatreto dia fitaovana voafetra ihany no tohanana ary noho izany dia mbola sarotra ny fanamarinana amin'ny fampiasana marika Rutoken sy karatra maranitra. Andao hametraka tenimiafina ankapobeny amin'ny alΓ lan'ny rakitra /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"Andao hanomboka indray ny strongswan:
sudo systemctl enable strongswan
sudo systemctl restart strongswanFametrahana xl2tp
sudo dnf install xl2tpdAndao hamboarina amin'ny alΓ lan'ny rakitra /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; ΠΎΠΏΡΠ΅Π΄Π΅Π»ΡΠ΅Ρ ΡΡΠ°ΡΠΈΡΠ΅ΡΠΊΠΈΠΉ Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ° Π² Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΠΎΠΉ ΡΠ΅ΡΠΈ
local ip = 100.10.10.1
; Π·Π°Π΄Π°Π΅Ρ Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΡ
Π°Π΄ΡΠ΅ΡΠΎΠ²
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; Π΄Π°Π½Π½ΡΡ ΠΎΠΏΡΠΈΡ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡΠΊΠ»ΡΡΠΈΡΡ ΠΏΠΎΡΠ»Π΅ ΡΡΠΏΠ΅ΡΠ½ΠΎΠΉ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ ΡΠ΅ΡΠΈ
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; ΡΠΊΠ°Π·ΡΠ²Π°Π΅Ρ Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ° Π² ΡΠ΅ΡΠΈ
name = centos.vpn.server.adAndao hanomboka ny serivisy:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpdFametrahana PPP
Tsara ny mametraka ny kinova farany amin'ny pppd. Mba hanaovana izany, tanteraho ireto baiko manaraka ireto:
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installSoraty amin'ny rakitra /etc/ppp/options.xl2tpd ireto manaraka ireto (raha misy soatoavina ao dia azonao fafana azy ireo):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000Mamoaka ny certificat root sy ny certificat server izahay:
#Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ Ρ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ°ΠΌΠΈ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ, Π£Π¦ ΠΈ ΡΠ΅ΡΠ²Π΅ΡΠ°
sudo mkdir /etc/ppp/certs
#Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ Ρ Π·Π°ΠΊΡΡΡΡΠΌΠΈ ΠΊΠ»ΡΡΠ°ΠΌΠΈ ΡΠ΅ΡΠ²Π΅ΡΠ° ΠΈ Π£Π¦
sudo mkdir /etc/ppp/keys
#Π·Π°ΠΏΡΠ΅ΡΠ°Π΅ΠΌ Π»ΡΠ±ΠΎΠΉ Π΄ΠΎΡΡΡΠΏ ΠΊ ΡΡΠΎΠΉ Π΄ΠΈΡΡΠ΅ΠΊΡΠΎΡΠΈΠΈ ΠΊΡΠΎΠΌΠ΅ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΠ°ΡΠΎΡΠ°
sudo chmod 0600 /etc/ppp/keys/
#Π³Π΅Π½Π΅ΡΠΈΡΡΠ΅ΠΌ ΠΊΠ»ΡΡ ΠΈ Π²ΡΠΏΠΈΡΡΠ²Π°Π΅ΠΌ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ Π£Π¦
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#Π³Π΅Π½Π΅ΡΠΈΡΡΠ΅ΠΌ ΠΊΠ»ΡΡ ΠΈ Π²ΡΠΏΠΈΡΡΠ²Π°Π΅ΠΌ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserialNoho izany, vita ny fametrahana ny server fototra. Ny sisa amin'ny fandrindrana mpizara dia misy ny fampidirana mpanjifa vaovao.
Manampy mpanjifa vaovao
Raha te hampiditra mpanjifa vaovao amin'ny tambajotra ianao dia tsy maintsy ampidirinao amin'ny lisitry ny mpanjifa azo itokisana ho an'ity mpanjifa ity ny taratasy fanamarinana azy.
Raha te ho lasa mpikambana ao amin'ny tambajotra VPN ny mpampiasa iray, dia mamorona mpivady fanalahidy sy fampiharana fanamarinana ho an'ity mpanjifa ity izy. Raha azo itokisana ny mpampiasa, dia azo atao sonia ity fampiharana ity, ary azo soratana ao amin'ny lahatahiry fanamarinana ny vokatra azo:
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserialAndeha isika hanampy andalana amin'ny rakitra /etc/ppp/eaptls-server mba hifanaraka amin'ny anaran'ny mpanjifa sy ny taratasy fanamarinana azy:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *FANAMARIHANA
Mba hisorohana ny fisafotofotoana dia tsara kokoa ny hoe: Anarana iombonana, anaran'ny rakitra fanamarinana ary anaran'ny mpampiasa ho tokana.
Ilaina ihany koa ny manamarina fa ny anaran'ny mpampiasa ampianay dia tsy miseho na aiza na aiza amin'ny rakitra fanamarinana hafa, raha tsy izany dia hisy olana amin'ny fomba amarinana ny mpampiasa.
Tsy maintsy averina amin'ny mpampiasa ilay taratasy fanamarinana mitovy.
Mamorona mpivady fanalahidy sy taratasy fanamarinana
Ho an'ny fanamarinana mahomby, ny mpanjifa dia tsy maintsy:
- mamorona mpivady fanalahidy;
- manana taratasy fanamarinana fototra CA;
- manana certificat ho an'ny mpivady fanalahidy nosoniavin'ny root CA.
ho an'ny mpanjifa amin'ny Linux
Voalohany, andao hamorona mpivady fanalahidy iray amin'ny marika ary hamorona fampiharana ho an'ny taratasy fanamarinana:
#ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡ ΠΊΠ»ΡΡΠ° (ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡ --id) ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΌΠ΅Π½ΠΈΡΡ Π½Π° Π»ΡΠ±ΠΎΠΉ Π΄ΡΡΠ³ΠΎΠΉ.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"Alefaso ny fampiharana client.req izay miseho amin'ny CA. Raha vantany vao mahazo mari-pankasitrahana ho an'ny mpivady fanalahidy ianao dia soraty amin'ny mari-pamantarana misy id mitovy amin'ny fanalahidy:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45ho an'ny mpanjifa Windows sy Linux (fomba manerantany kokoa)
Ity fomba ity dia manerantany kokoa, satria mamela anao hamorona fanalahidy sy taratasy fanamarinana izay ho fantatry ny mpampiasa Windows sy Linux, saingy mila milina Windows izy io mba hanatanterahana ny dingana famokarana fototra.
Alohan'ny hamoronana fangatahana sy fanafarana mari-pankasitrahana dia tsy maintsy ampidirinao amin'ny lisitry ny azo itokisana ny taratasy fanamarinana fototry ny tambajotra VPN. Mba hanaovana izany, sokafy izany ary ao amin'ny varavarankely misokatra, safidio ny safidy "Install certificate":
Ao amin'ny varavarankely misokatra, safidio ny fametrahana taratasy fanamarinana ho an'ny mpampiasa eo an-toerana:
Andao hametraka ny certificat ao amin'ny fivarotana certificat root azo itokisana an'ny CA:
Aorian'ireo hetsika rehetra ireo dia manaiky ny hevitra hafa rehetra izahay. Ny rafitra izao dia voarindra.
Andao hamorona rakitra cert.tmp miaraka amin'ireto atiny manaraka ireto:
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSEAorian'izany dia hamorona mpivady fanalahidy isika ary hamorona fampiharana ho an'ny taratasy fanamarinana. Mba hanaovana izany, sokafy ny powershell ary ampidiro ity baiko manaraka ity:
certreq.exe -new -pin $PIN .cert.tmp .client.reqAlefaso any amin'ny CA-nao ny client.req fampiharana noforonina ary andraso ho voaray ny taratasy fanamarinana client.pem. Azo soratana amin'ny marika izany ary ampidirina ao amin'ny fivarotana taratasy fanamarinana Windows amin'ny fampiasana ity baiko manaraka ity:
certreq.exe -accept .client.pemTsara ny manamarika fa ny hetsika mitovitovy amin'izany dia azo averina amin'ny alΓ lan'ny interface grapika amin'ny programa mmc, saingy ity fomba ity dia mandany fotoana bebe kokoa ary tsy azo fehezina.
Mametraka ny mpanjifa Ubuntu
FANAMARIHANA
Ny fametrahana mpanjifa amin'ny Linux amin'izao fotoana izao dia mandany fotoana, satria ... mitaky fananganana programa misaraka amin'ny loharano. Hiezaka izahay hiantoka fa ny fanovana rehetra dia tafiditra ao amin'ny tahiry ofisialy ato ho ato.
Mba hiantohana ny fifandraisana amin'ny ambaratonga IPSec amin'ny mpizara dia ampiasaina ny fonosana strongswan sy ny daemon xl2tp. Mba hanatsorana ny fifandraisana amin'ny tambajotra amin'ny fampiasana karatra hendry, dia hampiasa ny fonosana l2tp-ipsec-vpn izahay, izay manome akorandriaka an-tsary ho an'ny fananganana fifandraisana notsorina.
Andao hanomboka hanangona ireo singa tsikelikely, fa alohan'izany dia hametraka ny fonosana ilaina rehetra ho an'ny VPN hiasa mivantana isika:
sudo apt-get install xl2tpd strongswan libp11-3Fametrahana rindrambaiko hiasa amin'ny famantarana
Apetraho ny tranomboky librtpkcs11ecp.so farany avy amin'ny , ary tranomboky miasa amin'ny karatra marani-tsaina:
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-opensslAmpifandraiso amin'ny Rutoken ary jereo fa eken'ny rafitra izy io:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -lFametrahana ppp patched
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installFametrahana ny mpanjifa L2tpIpsecVpn
Amin'izao fotoana izao dia mila angonina avy amin'ny code source ihany koa ny mpanjifa. Izany dia atao amin'ny fampiasana ireto baiko manaraka ireto:
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make installFametrahana ny mpanjifa L2tpIpsecVpn
Alefaso ny mpanjifa napetraka:
Aorian'ny fandefasana dia tokony hisokatra ny applet L2tpIpsecVPN. Tsindrio havanana eo ary amboary ny fifandraisana:
Raha hiasa amin'ny famantarana, voalohany indrindra, dia manondro ny lalan'ny motera opensc an'ny OpenSSL sy ny tranomboky PKCS#11. Mba hanaovana izany, sokafy ny tabilao "PrΓ©fΓ©rences" mba hanitsiana ny parameter openssl:
.
Andao hanakatona ny varavarankelin'ny fikandrana OpenSSL ary hiroso amin'ny fametrahana ny tambajotra. Andao hampiditra tambajotra vaovao amin'ny fipihana ny bokotra Add... ao amin'ny tontonana fandrindrana ary ampidiro ny anaran'ny tambajotra:
Aorian'izany, ity tambajotra ity dia ho hita ao amin'ny tontonana fikirakirana. Kitiho indroa havanana amin'ny tambajotra vaovao mba handrindrana azy. Ao amin'ny tabilao voalohany dia mila manao fikandrana IPsec ianao. Aleo apetraka ny adiresin'ny mpizara sy ny fanalahidin'ny daholobe:
Avy eo, mankanesa any amin'ny tabilao Settings PPP ary asehoy eo ny anaran'ny mpampiasa izay tiantsika hidirana amin'ny tambajotra:
Aorian'izany, sokafy ny tabilao Properties ary mamaritra ny lalana mankany amin'ny lakile, taratasy fanamarinana mpanjifa ary CA:
Andeha hokatona ity tabilao ity ary ataovy ny fanovana farany; raha hanao izany dia sokafy ny tabilao "Settings IP" ary jereo ny boaty eo akaikin'ny safidy "Mahazoa adiresy mpizara DNS ho azy":
Ity safidy ity dia ahafahan'ny mpanjifa mahazo adiresy IP manokana ao anatin'ny tambajotra avy amin'ny mpizara.
Aorian'ny fanovana rehetra, tapaho ny tabilao rehetra ary avereno indray ny mpanjifa:
Fifandraisana amin'ny tambajotra
Aorian'ny fanovana dia afaka mifandray amin'ny tambajotra ianao. Mba hanaovana izany, sokafy ny tabilao applet ary safidio ny tambajotra izay tiantsika hifandraisana:
Mandritra ny fizotry ny fananganana fifandraisana, ny mpanjifa dia hangataka antsika hampiditra ny kaody PIN Rutoken:
Raha misy fampandrenesana miseho ao amin'ny bar sata fa efa tafapetraka tsara ny fifandraisana dia midika izany fa nahomby ny fanamboarana:
Raha tsy izany dia ilaina ny mamantatra hoe nahoana no tsy napetraka ny fifandraisana. Mba hanaovana izany dia tokony hijery ny log program ianao amin'ny fisafidianana ny baiko "Connection information" ao amin'ny applet:
Fametrahana ny mpanjifa Windows
Ny fametrahana mpanjifa amin'ny Windows dia mora kokoa noho ny Linux, satria... Ny rindrambaiko ilaina rehetra dia efa natsangana tao amin'ny rafitra.
System Setup
Hametraka ny mpamily rehetra ilaina amin'ny fiaraha-miasa amin'ny Rutokens izahay amin'ny alΓ lan'ny fampidinana azy ireo .
Manafatra certificat root ho an'ny fanamarinana
Ampidino ny taratasy fanamarinana root server ary apetraho eo amin'ny rafitra. Mba hanaovana izany, sokafy izany ary ao amin'ny varavarankely misokatra, safidio ny safidy "Install certificate":
Ao amin'ny varavarankely misokatra, safidio ny fametrahana taratasy fanamarinana ho an'ny mpampiasa eo an-toerana. Raha tianao ho azon'ny mpampiasa rehetra amin'ny solosaina ilay taratasy fanamarinana, dia tokony hifidy ny hametraka ny taratasy fanamarinana amin'ny solosaina eo an-toerana ianao:
Andao hametraka ny certificat ao amin'ny fivarotana certificat root azo itokisana an'ny CA:
Aorian'ireo hetsika rehetra ireo dia manaiky ny hevitra hafa rehetra izahay. Ny rafitra izao dia voarindra.
Mametraka fifandraisana VPN
Raha te hanangana fifandraisana VPN dia mandehana any amin'ny tontonana fanaraha-maso ary safidio ny safidy hamorona fifandraisana vaovao.
Ao amin'ny varavarankely mipoitra, safidio ny safidy hamoronana fifandraisana hifandraisana amin'ny toeram-piasanao:
Ao amin'ny varavarankely manaraka, mifidiana fifandraisana VPN:
ary ampidiro ny antsipirian'ny fifandraisana VPN, ary mariho koa ny safidy hampiasa karatra hendry:
Tsy mbola vita ny fanamboarana. Ny hany sisa tavela dia ny mamaritra ny fanalahidy nozaraina ho an'ny protocol IPsec; Mba hanaovana izany, mandehana any amin'ny tabilao "Settings connection network" ary mandehana any amin'ny tabilao "Properties for this connection":
Ao amin'ny varavarankely misokatra, mankanesa any amin'ny tabilao "Security", mamaritra ny "L2TP/IPsec Network" ho karazana tambajotra ary mifidiana "Settings Advanced":
Ao amin'ny varavarankely misokatra, mariho ny fanalahidy IPsec iombonana:
fifandraisana
Rehefa vita ny fanamboarana dia azonao atao ny manandrana mampifandray amin'ny tambajotra:
Mandritra ny fizotran'ny fifandraisana, dia takiana ny hampiditra ny kaody PIN famantarana:
Nanangana tambajotra VPN azo antoka izahay ary natao antoka fa tsy sarotra izany.
fankatelemana
Te-hisaotra indray ny mpiara-miasa aminay Vasily Shokov sy Alexander Smirnov aho noho ny asa niarahan'izy ireo nanamora ny famoronana fifandraisana VPN ho an'ny mpanjifa Linux.
Source: www.habr.com