Mametraka fanamarinana ao amin'ny tambajotra L2TP mampiasa Rutoken EDS 2.0 sy Rutoken PKI
NY ANY
Vao haingana, maro no tsy nahalala hoe manao ahoana ny miasa any an-trano. Nanova tanteraka ny toe-draharaha eto amin'izao tontolo izao ny areti-mifindra; nanomboka nifanaraka tamin'ny zava-misy ankehitriny ny tsirairay, izany hoe nanjary tsy azo antoka ny mivoaka ny trano. Ary maro no voatery nandamina haingana ny asa any an-trano ho an'ny mpiasany.
Na izany aza, ny tsy fahampian'ny fomba fiasa mahefa amin'ny fisafidianana vahaolana ho an'ny asa lavitra dia mety hitarika fatiantoka tsy azo ivalozana. Ny tenimiafina mpampiasa dia azo angalarina, ary izany dia ahafahan'ny mpanafika mifandray tsy voafehy amin'ny tambajotra sy ny loharanon'ny IT an'ny orinasa.
Izany no antony nitomboan'ny filΓ na famoronana tambajotra VPN orinasa azo antoka. Hotantaraiko anao ny momba izany azo antoka, azo antoka ΠΈ tsotra amin'ny fampiasana tambajotra VPN.
Izy io dia miasa araka ny rafitra IPsec/L2TP, izay mampiasa fanalahidy tsy azo alaina sy mari-pankasitrahana voatahiry amin'ny mari-pamantarana mba hanamarinana ny mpanjifa, ary koa mamindra angona amin'ny tambajotra amin'ny endrika miafina.
Mpizara iray miaraka amin'ny CentOS 7 (adiresy: centos.vpn.server.ad) sy mpanjifa iray miaraka amin'ny Ubuntu 20.04, ary koa mpanjifa miaraka amin'ny Windows 10, dia nampiasaina ho fanehoana ny fanamafisana.
Famaritana ny rafitra
Ny VPN dia hiasa araka ny rafitra IPSec + L2TP + PPP. fifanarahana Protocol Point-to-Point (PPP) dia miasa eo amin'ny sosona rohy angona amin'ny maodely OSI ary manome fanamarinana sy fanafenana ny angon-drakitra alefa. Ny angon-drakitra dia voarakitra ao amin'ny angon-drakitra momba ny protocol L2TP, izay tena miantoka ny famoronana fifandraisana ao amin'ny tambajotra VPN, saingy tsy manome fanamarinana sy fanafenana.
Ny angon-drakitra L2TP dia voarakitra ao amin'ny IPSec, izay manome fanamarinana sy encryption ihany koa, fa tsy toy ny PPP, ny fanamarinana sy ny encryption dia mitranga amin'ny haavon'ny fitaovana, fa tsy amin'ny mpampiasa.
Ity endri-javatra ity dia ahafahanao manamarina ny mpampiasa amin'ny fitaovana sasany ihany. Hampiasa ny protocole IPSec izahay ary hamela ny fanamarinana ny mpampiasa amin'ny fitaovana rehetra.
Ny fanamarinana ny mpampiasa amin'ny fampiasana karatra hendry dia hatao amin'ny ambaratonga protocol PPP amin'ny alΓ lan'ny protocol EAP-TLS.
Ny fampahalalana bebe kokoa momba ny fiasan'ity circuit ity dia azo jerena ao ity lahatsoratra ity.
Nahoana ity tetika ity no mahafeno ireo fepetra telo amin'ny tambajotra VPN tsara?
Ny fahatokisana an'io tetika io dia nosedraina tamin'ny fotoana. Efa nampiasaina tamin'ny fametrahana tambajotra VPN nanomboka tamin'ny taona 2000.
Ny fanamarinana mpampiasa azo antoka dia omen'ny protocol PPP. Fampiharana manara-penitra ny protocol PPP novolavolain'i Paul Mackerras tsy manome ambaratongam-piarovana ampy, satria Ho an'ny fanamarinana, amin'ny tranga tsara indrindra, ny fanamarinana amin'ny alΓ lan'ny fidirana sy ny tenimiafina dia ampiasaina. Fantatsika rehetra fa ny tenimiafina fidirana dia azo tsikilovana, vinavinaina na angalarina. Na izany aza, nandritra ny fotoana ela ny developer Jan Just Keijser Π² ny fampiharana azy Ity protocol ity dia nanitsy ity olana ity ary nanampy ny fahafahana mampiasa protocols mifototra amin'ny encryption asymmetrika, toy ny EAP-TLS, ho an'ny fanamarinana. Ankoatr'izay, nampiany ny fahafahana mampiasa karatra maranitra ho an'ny fanamarinana, izay nahatonga ny rafitra ho azo antoka kokoa.
Amin'izao fotoana izao dia efa mandeha ny fifampiraharahana mavitrika hanambatra ireo tetikasa roa ireo ary azonao antoka fa ho tanteraka izany na ho ela na ho haingana. Ohatra, ny PPP voapetaka dia efa tao amin'ny tahiry Fedora nandritra ny fotoana ela, mampiasa protocols azo antoka ho an'ny fanamarinana.
Hatramin'ny vao haingana, ity tambajotra ity dia tsy afaka mampiasa afa-tsy ireo mpampiasa Windows, fa ny mpiara-miasa aminay avy ao amin'ny Moscow State University Vasily Shokov sy Alexander Smirnov dia nahita. tetikasa mpanjifa L2TP taloha ho an'ny Linux ary nanova azy. Niara-nanamboatra lesoka sy lesoka maro tamin'ny asan'ny mpanjifa izahay, nanatsotra ny fametrahana sy ny fanamafisam-peo ny rafitra, na dia manorina avy amin'ny loharano aza. Ny malaza indrindra amin'izy ireo dia:
Mamaha ny olana mifanaraka amin'ny mpanjifa taloha miaraka amin'ny interface vaovao amin'ny openssl sy qt.
Nesorina ny pppd tamin'ny fandefasana ny PIN famantarana amin'ny rakitra vonjimaika.
Namboarina diso ny fandefasana ny programa fangatahana tenimiafina amin'ny alΓ lan'ny interface grafika. Izany dia natao tamin'ny fametrahana ny tontolo mety ho an'ny serivisy xl2tpd.
Ny fananganana ny daemon L2tpIpsecVpn dia tanterahana miaraka amin'ny fananganana ny mpanjifa mihitsy, izay manamora ny fizotran'ny fananganana sy ny fanamafisana.
Ho fanamorana ny fampandrosoana, ny rafitra Azure Pipelines dia mifandray mba hitsapana ny fahamarinan'ny fananganana.
Nampiana ny fahafahana hanery ny fampidinana ambaratonga fiarovana amin'ny teny manodidina ny openssl. Ity dia ilaina amin'ny fanohanana tsara ny rafitra fiasa vaovao izay napetraka amin'ny 2 ny haavon'ny fiarovana mahazatra, miaraka amin'ny tambajotra VPN izay mampiasa mari-pankasitrahana tsy mahafeno ny fepetra fiarovana amin'ity ambaratonga ity. Ity safidy ity dia ilaina amin'ny fiaraha-miasa amin'ny tambajotra VPN taloha.
Ity mpanjifa ity dia manohana ny fampiasana karatra hendry ho an'ny fanamarinana, ary manafina araka izay azo atao ny fahasahiranana sy fahasahiranana rehetra amin'ny fametrahana ity tetika ity eo ambanin'ny Linux, ka mahatonga ny fananganana mpanjifa ho tsotra sy haingana araka izay tratra.
Mazava ho azy, ho an'ny fifandraisana mora misy eo amin'ny PPP sy ny GUI mpanjifa, dia tsy azo natao izany raha tsy nisy fanitsiana fanampiny ho an'ny tetikasa tsirairay, saingy na izany aza dia nahena sy nahena ho faran'izay kely izy ireo:
raikitra hadisoana amin'ny filaharan'ny fametrahana ny konfigurasi sy ny fanombohana ny contexte openssl. Ity hadisoana ity dia tsy namela anay hampiditra na inona na inona avy amin'ny rakitra fikirakirana /etc/ppp/openssl.cnf eo an-toerana afa-tsy ny fampahalalana momba ny motera openssl amin'ny fiasana amin'ny carte marani-tsaina, izay fanelingelenana lehibe raha, ohatra, ankoatra ny fampahalalana momba ny motera, te-hametraka zavatra hafa izahay. Ohatra, amboary ny haavon'ny fiarovana rehefa mametraka fifandraisana.
Afaka manomboka manangana ianao izao.
Tuning Server
Andao hametraka ny fonosana ilaina rehetra.
Fametrahana strongswan (IPsec)
Voalohany indrindra, andao amboary ny firewall ho an'ny hetsika ipsec
Aorian'ny fametrahana dia mila manamboatra strongswan ianao (iray amin'ireo fampiharana IPSec). Mba hanaovana izany, manova ny rakitra /etc/strongswan/ipsek.conf :
Hametraka tenimiafina fidirana mahazatra ihany koa izahay. Ny tenimiafina nozaraina dia tsy maintsy fantatry ny mpandray anjara rehetra amin'ny tambajotra ho fanamarinana. Mazava ho azy fa tsy azo ianteherana io fomba io, satria ity tenimiafina ity dia azo fantarina mora foana amin'ny olona izay tsy tiantsika homena fidirana amin'ny tambajotra.
Na izany aza, na izany zava-misy izany dia tsy hisy fiantraikany amin'ny fiarovana ny tambajotra, satria Ny fanafenana angon-drakitra fototra sy ny fanamarinana ny mpampiasa dia tanterahan'ny protocol PPP. Saingy amin'ny rariny dia tsara ny manamarika fa ny strongswan dia manohana ny teknolojia azo antoka kokoa ho an'ny fanamarinana, ohatra, amin'ny fampiasana fanalahidy manokana. Ny Strongswan koa dia manana fahafahana manome fanamarinana amin'ny fampiasana karatra hendry, saingy hatreto dia fitaovana voafetra ihany no tohanana ary noho izany dia mbola sarotra ny fanamarinana amin'ny fampiasana marika Rutoken sy karatra maranitra. Andao hametraka tenimiafina ankapobeny amin'ny alΓ lan'ny rakitra /etc/strongswan/ipsec.secrets:
Noho izany, vita ny fametrahana ny server fototra. Ny sisa amin'ny fandrindrana mpizara dia misy ny fampidirana mpanjifa vaovao.
Manampy mpanjifa vaovao
Raha te hampiditra mpanjifa vaovao amin'ny tambajotra ianao dia tsy maintsy ampidirinao amin'ny lisitry ny mpanjifa azo itokisana ho an'ity mpanjifa ity ny taratasy fanamarinana azy.
Raha te ho lasa mpikambana ao amin'ny tambajotra VPN ny mpampiasa iray, dia mamorona mpivady fanalahidy sy fampiharana fanamarinana ho an'ity mpanjifa ity izy. Raha azo itokisana ny mpampiasa, dia azo atao sonia ity fampiharana ity, ary azo soratana ao amin'ny lahatahiry fanamarinana ny vokatra azo:
FANAMARIHANA
Mba hisorohana ny fisafotofotoana dia tsara kokoa ny hoe: Anarana iombonana, anaran'ny rakitra fanamarinana ary anaran'ny mpampiasa ho tokana.
Ilaina ihany koa ny manamarina fa ny anaran'ny mpampiasa ampianay dia tsy miseho na aiza na aiza amin'ny rakitra fanamarinana hafa, raha tsy izany dia hisy olana amin'ny fomba amarinana ny mpampiasa.
Alefaso ny fampiharana client.req izay miseho amin'ny CA. Raha vantany vao mahazo mari-pankasitrahana ho an'ny mpivady fanalahidy ianao dia soraty amin'ny mari-pamantarana misy id mitovy amin'ny fanalahidy:
ho an'ny mpanjifa Windows sy Linux (fomba manerantany kokoa)
Ity fomba ity dia manerantany kokoa, satria mamela anao hamorona fanalahidy sy taratasy fanamarinana izay ho fantatry ny mpampiasa Windows sy Linux, saingy mila milina Windows izy io mba hanatanterahana ny dingana famokarana fototra.
Alohan'ny hamoronana fangatahana sy fanafarana mari-pankasitrahana dia tsy maintsy ampidirinao amin'ny lisitry ny azo itokisana ny taratasy fanamarinana fototry ny tambajotra VPN. Mba hanaovana izany, sokafy izany ary ao amin'ny varavarankely misokatra, safidio ny safidy "Install certificate":
Ao amin'ny varavarankely misokatra, safidio ny fametrahana taratasy fanamarinana ho an'ny mpampiasa eo an-toerana:
Andao hametraka ny certificat ao amin'ny fivarotana certificat root azo itokisana an'ny CA:
Aorian'ireo hetsika rehetra ireo dia manaiky ny hevitra hafa rehetra izahay. Ny rafitra izao dia voarindra.
Aorian'izany dia hamorona mpivady fanalahidy isika ary hamorona fampiharana ho an'ny taratasy fanamarinana. Mba hanaovana izany, sokafy ny powershell ary ampidiro ity baiko manaraka ity:
certreq.exe -new -pin $PIN .cert.tmp .client.req
Alefaso any amin'ny CA-nao ny client.req fampiharana noforonina ary andraso ho voaray ny taratasy fanamarinana client.pem. Azo soratana amin'ny marika izany ary ampidirina ao amin'ny fivarotana taratasy fanamarinana Windows amin'ny fampiasana ity baiko manaraka ity:
certreq.exe -accept .client.pem
Tsara ny manamarika fa ny hetsika mitovitovy amin'izany dia azo averina amin'ny alΓ lan'ny interface grapika amin'ny programa mmc, saingy ity fomba ity dia mandany fotoana bebe kokoa ary tsy azo fehezina.
Mametraka ny mpanjifa Ubuntu
FANAMARIHANA
Ny fametrahana mpanjifa amin'ny Linux amin'izao fotoana izao dia mandany fotoana, satria ... mitaky fananganana programa misaraka amin'ny loharano. Hiezaka izahay hiantoka fa ny fanovana rehetra dia tafiditra ao amin'ny tahiry ofisialy ato ho ato.
Mba hiantohana ny fifandraisana amin'ny ambaratonga IPSec amin'ny mpizara dia ampiasaina ny fonosana strongswan sy ny daemon xl2tp. Mba hanatsorana ny fifandraisana amin'ny tambajotra amin'ny fampiasana karatra hendry, dia hampiasa ny fonosana l2tp-ipsec-vpn izahay, izay manome akorandriaka an-tsary ho an'ny fananganana fifandraisana notsorina.
Andao hanomboka hanangona ireo singa tsikelikely, fa alohan'izany dia hametraka ny fonosana ilaina rehetra ho an'ny VPN hiasa mivantana isika:
Andao hanakatona ny varavarankelin'ny fikandrana OpenSSL ary hiroso amin'ny fametrahana ny tambajotra. Andao hampiditra tambajotra vaovao amin'ny fipihana ny bokotra Add... ao amin'ny tontonana fandrindrana ary ampidiro ny anaran'ny tambajotra:
Aorian'izany, ity tambajotra ity dia ho hita ao amin'ny tontonana fikirakirana. Kitiho indroa havanana amin'ny tambajotra vaovao mba handrindrana azy. Ao amin'ny tabilao voalohany dia mila manao fikandrana IPsec ianao. Aleo apetraka ny adiresin'ny mpizara sy ny fanalahidin'ny daholobe:
Avy eo, mankanesa any amin'ny tabilao Settings PPP ary asehoy eo ny anaran'ny mpampiasa izay tiantsika hidirana amin'ny tambajotra:
Aorian'izany, sokafy ny tabilao Properties ary mamaritra ny lalana mankany amin'ny lakile, taratasy fanamarinana mpanjifa ary CA:
Andeha hokatona ity tabilao ity ary ataovy ny fanovana farany; raha hanao izany dia sokafy ny tabilao "Settings IP" ary jereo ny boaty eo akaikin'ny safidy "Mahazoa adiresy mpizara DNS ho azy":
Ity safidy ity dia ahafahan'ny mpanjifa mahazo adiresy IP manokana ao anatin'ny tambajotra avy amin'ny mpizara.
Aorian'ny fanovana rehetra, tapaho ny tabilao rehetra ary avereno indray ny mpanjifa:
Fifandraisana amin'ny tambajotra
Aorian'ny fanovana dia afaka mifandray amin'ny tambajotra ianao. Mba hanaovana izany, sokafy ny tabilao applet ary safidio ny tambajotra izay tiantsika hifandraisana:
Mandritra ny fizotry ny fananganana fifandraisana, ny mpanjifa dia hangataka antsika hampiditra ny kaody PIN Rutoken:
Raha misy fampandrenesana miseho ao amin'ny bar sata fa efa tafapetraka tsara ny fifandraisana dia midika izany fa nahomby ny fanamboarana:
Raha tsy izany dia ilaina ny mamantatra hoe nahoana no tsy napetraka ny fifandraisana. Mba hanaovana izany dia tokony hijery ny log program ianao amin'ny fisafidianana ny baiko "Connection information" ao amin'ny applet:
Fametrahana ny mpanjifa Windows
Ny fametrahana mpanjifa amin'ny Windows dia mora kokoa noho ny Linux, satria... Ny rindrambaiko ilaina rehetra dia efa natsangana tao amin'ny rafitra.
Ampidino ny taratasy fanamarinana root server ary apetraho eo amin'ny rafitra. Mba hanaovana izany, sokafy izany ary ao amin'ny varavarankely misokatra, safidio ny safidy "Install certificate":
Ao amin'ny varavarankely misokatra, safidio ny fametrahana taratasy fanamarinana ho an'ny mpampiasa eo an-toerana. Raha tianao ho azon'ny mpampiasa rehetra amin'ny solosaina ilay taratasy fanamarinana, dia tokony hifidy ny hametraka ny taratasy fanamarinana amin'ny solosaina eo an-toerana ianao:
Andao hametraka ny certificat ao amin'ny fivarotana certificat root azo itokisana an'ny CA:
Aorian'ireo hetsika rehetra ireo dia manaiky ny hevitra hafa rehetra izahay. Ny rafitra izao dia voarindra.
Mametraka fifandraisana VPN
Raha te hanangana fifandraisana VPN dia mandehana any amin'ny tontonana fanaraha-maso ary safidio ny safidy hamorona fifandraisana vaovao.
Ao amin'ny varavarankely mipoitra, safidio ny safidy hamoronana fifandraisana hifandraisana amin'ny toeram-piasanao:
Ao amin'ny varavarankely manaraka, mifidiana fifandraisana VPN:
ary ampidiro ny antsipirian'ny fifandraisana VPN, ary mariho koa ny safidy hampiasa karatra hendry:
Tsy mbola vita ny fanamboarana. Ny hany sisa tavela dia ny mamaritra ny fanalahidy nozaraina ho an'ny protocol IPsec; Mba hanaovana izany, mandehana any amin'ny tabilao "Settings connection network" ary mandehana any amin'ny tabilao "Properties for this connection":
Ao amin'ny varavarankely misokatra, mankanesa any amin'ny tabilao "Security", mamaritra ny "L2TP/IPsec Network" ho karazana tambajotra ary mifidiana "Settings Advanced":
Ao amin'ny varavarankely misokatra, mariho ny fanalahidy IPsec iombonana:
fifandraisana
Rehefa vita ny fanamboarana dia azonao atao ny manandrana mampifandray amin'ny tambajotra:
Mandritra ny fizotran'ny fifandraisana, dia takiana ny hampiditra ny kaody PIN famantarana:
Te-hisaotra indray ny mpiara-miasa aminay Vasily Shokov sy Alexander Smirnov aho noho ny asa niarahan'izy ireo nanamora ny famoronana fifandraisana VPN ho an'ny mpanjifa Linux.