🥇Организација на далечинска работа за SMB организации на OpenVPN

Проблем изјава

Статијата ја опишува организацијата на далечински пристап за вработените на производи со отворен код и може да се користи и за изградба на целосно автономен систем и ќе биде корисна за проширување кога има недостиг на лиценци во постоечкиот комерцијален систем или неговите перформанси се недоволни.

Целта на статијата е да се имплементира целосен систем за обезбедување далечински пристап до организација, што е малку повеќе од „инсталирање OpenVPN за 10 минути“.

Како резултат на тоа, ќе добиеме систем во кој сертификатите и (опционално) корпоративниот Active Directory ќе се користат за автентикација на корисниците. Тоа. ќе добиеме систем со два фактори за верификација - што имам (сертификат) и што знам (лозинка).

Знак дека на корисникот му е дозволено да се поврзе е неговото членство во групата myVPNUsr. Органот за сертификати ќе се користи офлајн.

Трошоците за имплементација на решението се само мали хардверски ресурси и 1 час работа на системскиот администратор.

Ќе користиме виртуелна машина со OpenVPN и Easy-RSA верзија 3 на CetntOS 7, на која и се доделуваат 100 vCPU и 4 GiB RAM на 4 конекции.

Во примерот, мрежата на нашата организација е 172.16.0.0/16, во која VPN серверот со адреса 172.16.19.123 се наоѓа во сегментот 172.16.19.0/24, DNS сервери 172.16.16.16 и 172.16.17.17, и 172.16.20.0, 23. .XNUMX/XNUMX е доделен за VPN клиенти.

За да се поврзете однадвор, се користи врска преку порта 1194/udp, а во DNS за нашиот сервер е креиран A-record gw.abc.ru.

Строго не се препорачува да се оневозможи SELinux! OpenVPN работи без оневозможување на безбедносните политики.

Инсталација на ОС и апликативен софтвер

Ја користиме дистрибуцијата CentOS 7.8.2003. Треба да го инсталираме ОС во минимална конфигурација. Удобно е да се направи ова користејќи започнување, клонирање на претходно инсталирана слика на ОС и други средства.

По инсталацијата, доделувајќи адреса на мрежниот интерфејс (според условите за задача 172.16.19.123), го ажурираме ОС:

$ sudo yum update -y && reboot

Исто така, треба да се погрижиме да се изврши синхронизација на времето на нашата машина.
За да инсталирате апликативен софтвер, потребни ви се пакетите openvpn, openvpn-auth-ldap, easy-rsa и vim како главен уредник (ќе ви треба складиштето EPEL).

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

Корисно е да се инсталира гостин агент за виртуелна машина:

$ sudo yum install open-vm-tools

за VMware ESXi хостови или за oVirt

$ sudo yum install ovirt-guest-agent

Поставување криптографија

Одете во директориумот easy-rsa:

$ cd /usr/share/easy-rsa/3/

Креирај променлива датотека:

$ sudo vim vars

следната содржина:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

Параметрите за условната организација ABC LLC се опишани овде; можете да ги поправите на вистинските или да ги оставите од примерот. Најважната работа во параметрите е последната линија, која го одредува периодот на важност на сертификатот во денови. Примерот ја користи вредноста 10 години (365*10+2 престапни години). Оваа вредност ќе треба да се прилагоди пред да се издадат кориснички сертификати.

Следно, ние конфигурираме автономен орган за сертификација.

Поставувањето вклучува извоз на променливи, иницијализирање на CA, издавање на коренскиот клуч и сертификат CA, клучот Diffie-Hellman, клучот TLS и серверот и сертификатот. Клучот CA мора внимателно да се заштити и да се чува во тајност! Сите параметри на барањето може да се остават како стандардни.

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

Ова го комплетира главниот дел од поставувањето на криптографскиот механизам.

Поставување OpenVPN

Одете во директориумот OpenVPN, креирајте директориуми за услуги и додајте врска до easy-rsa:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

Креирајте ја главната конфигурациска датотека OpenVPN:

$ sudo vim server.conf

следните содржини

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

Некои забелешки за параметрите:

ако при издавањето на сертификатот било наведено друго име, наведете го;
наведете го збирот на адреси за да одговараат на вашите задачи*;
може да има една или повеќе рути и DNS сервери;
Последните 2 линии се потребни за да се спроведе автентикација во AD**.

*Опсегот на адреси избрани во примерот ќе овозможи до 127 клиенти да се поврзат истовремено, бидејќи мрежата /23 е избрана и OpenVPN создава подмрежа за секој клиент користејќи ја маската /30.
Доколку е особено потребно, пристаништето и протоколот може да се променат, меѓутоа, треба да се има предвид дека менувањето на бројот на портата ќе повлече конфигурирање на SELinux, а користењето на протоколот tcp ќе ги зголеми трошоците, бидејќи Контролата за испорака на TCP пакети веќе се изведува на ниво на пакети инкапсулирани во тунелот.

**Ако не е потребна автентикација во АД, коментирајте ги, прескокнете го следниот дел и во шаблонот отстранете ја линијата за проверка на корисникот.

АД автентикација

За да го поддржиме вториот фактор, ќе користиме проверка на сметката во АД.

Потребна ни е сметка во доменот со права на обичен корисник и група, членството во кое ќе ја одреди можноста за поврзување.

Направете конфигурациска датотека:

/etc/openvpn/ldap.conf

следните содржини

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

Клучни параметри:

URL „ldap://ldap.abc.ru“ - адреса на контролорот на доменот;
BindDN „CN=bindUsr,CN=Users,DC=abc,DC=ru“ - канонско име за врзување со LDAP (UZ - bindUsr во контејнерот abc.ru/Users);
Лозинка b1ndP@SS — корисничка лозинка за врзување;
BaseDN „OU=allUsr,DC=abc,DC=ru“ — патека од која треба да се започне со пребарување на корисникот;
BaseDN „OU=myGrp,DC=abc,DC=ru“ – контејнер на дозволената група (група myVPNUsr во контејнерот abc.rumyGrp);
SearchFilter „(cn=myVPNUsr)“ е името на дозволената група.

Стартување и дијагностика

Сега можеме да се обидеме да го овозможиме и стартуваме нашиот сервер:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

Проверка на стартување:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

Издавање сертификат и отповикување

Бидејќи Покрај самите сертификати, потребни ви се клучеви и други поставки; многу е погодно да се завитка сето ова во една датотека со профил. Оваа датотека потоа се пренесува на корисникот и профилот се увезува на клиентот OpenVPN. За да го направите ова, ќе создадеме шаблон за поставки и скрипта што го генерира профилот.

Треба да ја додадете содржината на датотеките со root сертификат (ca.crt) и TLS key (ta.key) на профилот.

Пред издавање кориснички сертификати не заборавајте да го поставите потребниот период на важност за сертификатите во датотеката со параметри. Не треба да го одолговлекувате; Ви препорачувам да се ограничите на максимум 180 дена.

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

Забелешки:

линии СТАВЕТЕ ГО ВАШИОТ... промена на содржина нивните сертификати;
во далечинската директива, наведете го името/адресата на вашиот портал;
директивата за автентичност за корисник се користи за дополнителна надворешна автентикација.

Во домашниот директориум (или друго погодно место) создаваме скрипта за барање сертификат и креирање профил:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

Да се направи датотеката извршна:

chmod a+x ~/make.profile.sh

И можеме да го издадеме нашиот прв сертификат.

~/make.profile.sh my-first-user

Преглед

Во случај на компромис на сертификат (загуба, кражба), потребно е да се одземе овој сертификат:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

Погледнете ги издадените и отповиканите сертификати

За да ги видите издадените и отповиканите сертификати, едноставно погледнете ја индексната датотека:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

Објаснување:

првата линија е сертификатот на серверот;
првиот лик
- V (Важи) - важи;
- Р (Отповикан) - потсети.

Конфигурација на мрежа

Последните чекори се конфигурирање на преносната мрежа - рутирање и заштитни ѕидови.

Дозволување врски во локалниот заштитен ѕид:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

Следно, овозможете насочување на IP сообраќајот:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

Во корпоративно опкружување, веројатно ќе има подмрежа и треба да му кажеме на рутерот(ите) како да испраќаат пакети наменети за нашите VPN клиенти. На командната линија ја извршуваме командата на начин (во зависност од употребената опрема):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

и зачувајте ја конфигурацијата.

Дополнително, на интерфејсот на граничниот рутер каде што се служи надворешната адреса gw.abc.ru, неопходно е да се дозволи премин на udp/1194 пакети.

Во случај организацијата да има строги безбедносни правила, на нашиот VPN сервер мора да се конфигурира и заштитен ѕид. Според мое мислење, најголемата флексибилност се обезбедува со поставување на синџири на iptables FORWARD, иако нивното поставување е помалку погодно. Малку повеќе за нивно поставување. За да го направите ова, најзгодно е да се користат „директни правила“ - директни правила, складирани во датотека /etc/firewalld/direct.xml. Тековната конфигурација на правилата може да се најде на следниов начин:

$ sudo firewall-cmd --direct --get-all-rule

Пред да промените датотека, направете резервна копија од неа:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

Приближните содржини на датотеката се:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

Објаснувања

Овие се во суштина редовни правила за iptables, инаку спакувани по појавата на заштитниот ѕид.

Дестиналниот интерфејс со стандардни поставки е tun0, а надворешниот интерфејс за тунелот може да биде различен, на пример, ens192, во зависност од користената платформа.

Последната линија е за евидентирање на испуштени пакети. За да работи евиденцијата, треба да го промените нивото на отстранување грешки во конфигурацијата на заштитниот ѕид:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

Примената на поставките е вообичаената команда за заштитен ѕид за повторно читање на поставките:

$ sudo firewall-cmd --reload

Испуштените пакети можете да ги видите вака:

grep forward_fw /var/log/messages

Што е следно

Ова го комплетира поставувањето!

Останува само да го инсталирате клиентскиот софтвер на клиентската страна, да го увезете профилот и да се поврзете. За оперативните системи Windows, комплетот за дистрибуција се наоѓа на веб-страница за програмери.

Конечно, го поврзуваме нашиот нов сервер со системите за следење и архивирање и не заборавајте редовно да инсталирате ажурирања.

Стабилна врска!

Извор: www.habr.com

Организација на далечинско работење на SMB организација на OpenVPN