OpenVPN-ൽ ഒരു SMB ഓർഗനൈസേഷന്റെ റിമോട്ട് വർക്കിന്റെ ഓർഗനൈസേഷൻ

പ്രശ്ന പ്രസ്താവന

ഓപ്പൺ സോഴ്‌സ് ഉൽപ്പന്നങ്ങളിൽ ജീവനക്കാർക്കുള്ള വിദൂര ആക്‌സസ് ഓർഗനൈസേഷനെ ലേഖനം വിവരിക്കുന്നു, കൂടാതെ പൂർണ്ണമായും സ്വയംഭരണ സംവിധാനം നിർമ്മിക്കുന്നതിന് ഇത് ഉപയോഗിക്കാം, നിലവിലുള്ള വാണിജ്യ സംവിധാനത്തിൽ ലൈസൻസുകളുടെ കുറവുണ്ടാകുമ്പോഴോ അതിന്റെ പ്രകടനം അപര്യാപ്തമാകുമ്പോഴോ വിപുലീകരണത്തിന് ഇത് ഉപയോഗപ്രദമാകും.

ഒരു ഓർഗനൈസേഷനിലേക്ക് റിമോട്ട് ആക്സസ് നൽകുന്നതിനുള്ള ഒരു സമ്പൂർണ്ണ സംവിധാനം നടപ്പിലാക്കുക എന്നതാണ് ലേഖനത്തിന്റെ ലക്ഷ്യം, അത് "10 മിനിറ്റിനുള്ളിൽ OpenVPN ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനേക്കാൾ" കൂടുതലാണ്.

തൽഫലമായി, ഉപയോക്താക്കളെ പ്രാമാണീകരിക്കുന്നതിന് സർട്ടിഫിക്കറ്റുകളും (ഓപ്ഷണലായി) കോർപ്പറേറ്റ് ആക്റ്റീവ് ഡയറക്ടറിയും ഉപയോഗിക്കുന്ന ഒരു സിസ്റ്റം ഞങ്ങൾക്ക് ലഭിക്കും. അത്. ഞങ്ങൾക്ക് രണ്ട് സ്ഥിരീകരണ ഘടകങ്ങളുള്ള ഒരു സിസ്റ്റം ലഭിക്കും - എന്റെ പക്കലുള്ളത് (സർട്ടിഫിക്കറ്റ്), എനിക്കറിയാവുന്നത് (പാസ്‌വേഡ്).

myVPNUsr ഗ്രൂപ്പിലെ അംഗത്വമാണ് ഒരു ഉപയോക്താവിനെ ബന്ധിപ്പിക്കാൻ അനുവദിച്ചിരിക്കുന്നതിന്റെ അടയാളം. സർട്ടിഫിക്കറ്റ് അതോറിറ്റി ഓഫ്‌ലൈനായി ഉപയോഗിക്കും.

പരിഹാരം നടപ്പിലാക്കുന്നതിനുള്ള ചെലവ് ചെറിയ ഹാർഡ്‌വെയർ ഉറവിടങ്ങളും സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്ററുടെ 1 മണിക്കൂർ ജോലിയും മാത്രമാണ്.

CetntOS 3-ൽ OpenVPN, Easy-RSA പതിപ്പ് 7 എന്നിവയുള്ള ഒരു വെർച്വൽ മെഷീൻ ഞങ്ങൾ ഉപയോഗിക്കും, 100 കണക്ഷനുകൾക്ക് 4 vCPU-കളും 4 GiB RAM-ഉം അനുവദിച്ചിരിക്കുന്നു.

ഉദാഹരണത്തിൽ, ഞങ്ങളുടെ ഓർഗനൈസേഷന്റെ നെറ്റ്‌വർക്ക് 172.16.0.0/16 ആണ്, അതിൽ 172.16.19.123 എന്ന വിലാസമുള്ള VPN സെർവർ സെഗ്‌മെന്റിൽ 172.16.19.0/24, DNS സെർവറുകൾ 172.16.16.16, 172.16.17.17.net172.16.20.0, 23 എന്നിവയിലാണ് സ്ഥിതി ചെയ്യുന്നത്. .XNUMX/XNUMX VPN ക്ലയന്റുകൾക്കായി അനുവദിച്ചിരിക്കുന്നു.

പുറത്ത് നിന്ന് കണക്റ്റുചെയ്യുന്നതിന്, പോർട്ട് 1194/udp വഴിയുള്ള ഒരു കണക്ഷൻ ഉപയോഗിക്കുന്നു, കൂടാതെ ഞങ്ങളുടെ സെർവറിനായി DNS-ൽ ഒരു A-record gw.abc.ru സൃഷ്ടിച്ചു.

SELinux പ്രവർത്തനരഹിതമാക്കാൻ കർശനമായി ശുപാർശ ചെയ്തിട്ടില്ല! സുരക്ഷാ നയങ്ങൾ പ്രവർത്തനരഹിതമാക്കാതെ തന്നെ OpenVPN പ്രവർത്തിക്കുന്നു.

ഉള്ളടക്കം

1. OS, ആപ്ലിക്കേഷൻ സോഫ്റ്റ്വെയർ എന്നിവയുടെ ഇൻസ്റ്റാളേഷൻ
2. ക്രിപ്റ്റോഗ്രഫി സജ്ജീകരിക്കുന്നു
3. OpenVPN സജ്ജീകരിക്കുന്നു
4. എഡി പ്രാമാണീകരണം
5. സ്റ്റാർട്ടപ്പും ഡയഗ്നോസ്റ്റിക്സും
6. സർട്ടിഫിക്കറ്റ് ഇഷ്യൂവും അസാധുവാക്കലും
7. നെറ്റ്‌വർക്ക് സജ്ജീകരണം
8. അടുത്തത് എന്താണ്

OS, ആപ്ലിക്കേഷൻ സോഫ്റ്റ്വെയർ എന്നിവയുടെ ഇൻസ്റ്റാളേഷൻ

ഞങ്ങൾ CentOS 7.8.2003 വിതരണം ഉപയോഗിക്കുന്നു. ഒരു മിനിമൽ കോൺഫിഗറേഷനിൽ OS ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്. ഉപയോഗിച്ച് ഇത് ചെയ്യുന്നത് സൗകര്യപ്രദമാണ് കിക്ക്സ്റ്റാർട്ട്, മുമ്പ് ഇൻസ്റ്റാൾ ചെയ്ത OS ഇമേജും മറ്റ് മാർഗങ്ങളും ക്ലോൺ ചെയ്യുന്നു.

ഇൻസ്റ്റാളേഷന് ശേഷം, നെറ്റ്‌വർക്ക് ഇന്റർഫേസിലേക്ക് ഒരു വിലാസം നൽകി (ടാസ്ക് 172.16.19.123 നിബന്ധനകൾ അനുസരിച്ച്), ഞങ്ങൾ OS അപ്ഡേറ്റ് ചെയ്യുന്നു:

$ sudo yum update -y && reboot

നമ്മുടെ മെഷീനിൽ ടൈം സിൻക്രൊണൈസേഷൻ നടക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കേണ്ടതുണ്ട്.
ആപ്ലിക്കേഷൻ സോഫ്‌റ്റ്‌വെയർ ഇൻസ്റ്റാൾ ചെയ്യാൻ, നിങ്ങൾക്ക് openvpn, openvpn-auth-ldap, easy-rsa, vim പാക്കേജുകൾ പ്രധാന എഡിറ്ററായി ആവശ്യമാണ് (നിങ്ങൾക്ക് EPEL ശേഖരം ആവശ്യമാണ്).

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

ഒരു വെർച്വൽ മെഷീനായി ഒരു ഗസ്റ്റ് ഏജന്റ് ഇൻസ്റ്റാൾ ചെയ്യുന്നത് ഉപയോഗപ്രദമാണ്:

$ sudo yum install open-vm-tools

VMware ESXi ഹോസ്റ്റുകൾക്ക്, അല്ലെങ്കിൽ oVirt

$ sudo yum install ovirt-guest-agent

ക്രിപ്റ്റോഗ്രഫി സജ്ജീകരിക്കുന്നു

ഈസി-ആർഎസ്എ ഡയറക്ടറിയിലേക്ക് പോകുക:

$ cd /usr/share/easy-rsa/3/

ഒരു വേരിയബിൾ ഫയൽ സൃഷ്ടിക്കുക:

$ sudo vim vars

ഇനിപ്പറയുന്ന ഉള്ളടക്കം:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

സോപാധിക ഓർഗനൈസേഷനായ എബിസി എൽഎൽസിയുടെ പാരാമീറ്ററുകൾ ഇവിടെ വിവരിച്ചിരിക്കുന്നു; നിങ്ങൾക്ക് അവ യഥാർത്ഥമായവയിലേക്ക് ശരിയാക്കാം അല്ലെങ്കിൽ ഉദാഹരണത്തിൽ നിന്ന് അവ ഉപേക്ഷിക്കാം. പരാമീറ്ററുകളിലെ ഏറ്റവും പ്രധാനപ്പെട്ട കാര്യം അവസാന വരിയാണ്, ഇത് ദിവസങ്ങളിൽ സർട്ടിഫിക്കറ്റിന്റെ സാധുത കാലയളവ് നിർണ്ണയിക്കുന്നു. ഉദാഹരണം 10 വർഷം (365*10+2 അധിവർഷം) മൂല്യം ഉപയോഗിക്കുന്നു. ഉപയോക്തൃ സർട്ടിഫിക്കറ്റുകൾ നൽകുന്നതിന് മുമ്പ് ഈ മൂല്യം ക്രമീകരിക്കേണ്ടതുണ്ട്.

അടുത്തതായി, ഞങ്ങൾ ഒരു സ്വയംഭരണ സർട്ടിഫിക്കേഷൻ അതോറിറ്റി ക്രമീകരിക്കുന്നു.

സജ്ജീകരണത്തിൽ വേരിയബിളുകൾ എക്‌സ്‌പോർട്ടുചെയ്യൽ, CA ആരംഭിക്കൽ, CA റൂട്ട് കീയും സർട്ടിഫിക്കറ്റും നൽകൽ, Diffie-Hellman കീ, TLS കീ, സെർവർ കീ, സർട്ടിഫിക്കറ്റ് എന്നിവ ഉൾപ്പെടുന്നു. CA കീ ശ്രദ്ധാപൂർവ്വം പരിരക്ഷിക്കുകയും രഹസ്യമായി സൂക്ഷിക്കുകയും വേണം! എല്ലാ അന്വേഷണ പരാമീറ്ററുകളും ഡിഫോൾട്ടായി വിടാം.

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

ഇത് ക്രിപ്റ്റോഗ്രാഫിക് മെക്കാനിസം സജ്ജീകരിക്കുന്നതിന്റെ പ്രധാന ഭാഗം പൂർത്തിയാക്കുന്നു.

OpenVPN സജ്ജീകരിക്കുന്നു

OpenVPN ഡയറക്‌ടറിയിലേക്ക് പോകുക, സേവന ഡയറക്‌ടറികൾ സൃഷ്‌ടിച്ച് ഈസി-ആർസയിലേക്ക് ഒരു ലിങ്ക് ചേർക്കുക:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

പ്രധാന OpenVPN കോൺഫിഗറേഷൻ ഫയൽ സൃഷ്ടിക്കുക:

$ sudo vim server.conf

ഇനിപ്പറയുന്ന ഉള്ളടക്കങ്ങൾ

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

പാരാമീറ്ററുകളെക്കുറിച്ചുള്ള ചില കുറിപ്പുകൾ:

• സർട്ടിഫിക്കറ്റ് നൽകുമ്പോൾ മറ്റൊരു പേര് വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിൽ, അത് സൂചിപ്പിക്കുക;
• നിങ്ങളുടെ ജോലികൾക്ക് അനുയോജ്യമായ വിലാസങ്ങളുടെ പൂൾ വ്യക്തമാക്കുക*;
• ഒന്നോ അതിലധികമോ റൂട്ടുകളും DNS സെർവറുകളും ഉണ്ടാകാം;
• AD**-ൽ പ്രാമാണീകരണം നടപ്പിലാക്കാൻ അവസാന 2 വരികൾ ആവശ്യമാണ്.

*ഉദാഹരണത്തിൽ തിരഞ്ഞെടുത്ത വിലാസങ്ങളുടെ ശ്രേണി 127 ക്ലയന്റുകളെ വരെ ഒരേസമയം ബന്ധിപ്പിക്കാൻ അനുവദിക്കും, കാരണം /23 നെറ്റ്‌വർക്ക് തിരഞ്ഞെടുത്തു, കൂടാതെ ഓപ്പൺവിപിഎൻ /30 മാസ്‌ക് ഉപയോഗിച്ച് ഓരോ ക്ലയന്റിനും ഒരു സബ്‌നെറ്റ് സൃഷ്‌ടിക്കുന്നു.
പ്രത്യേകിച്ചും ആവശ്യമെങ്കിൽ, പോർട്ടും പ്രോട്ടോക്കോളും മാറ്റാവുന്നതാണ്, എന്നിരുന്നാലും, പോർട്ട് പോർട്ട് നമ്പർ മാറ്റുന്നത് SELinux കോൺഫിഗർ ചെയ്യപ്പെടുന്നതിന് കാരണമാകുമെന്നും, tcp പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുന്നത് ഓവർഹെഡ് വർദ്ധിപ്പിക്കുമെന്നും ഓർമ്മിക്കേണ്ടതാണ്. ടണലിൽ പൊതിഞ്ഞ പാക്കറ്റുകളുടെ തലത്തിൽ ടിസിപി പാക്കറ്റ് ഡെലിവറി നിയന്ത്രണം ഇതിനകം നടപ്പിലാക്കിയിട്ടുണ്ട്.

**എഡി പ്രാമാണീകരണം ആവശ്യമില്ലെങ്കിൽ, അവ അഭിപ്രായമിടുക, അടുത്ത ഭാഗം ഒഴിവാക്കുക, കൂടാതെ ടെംപ്ലേറ്റിൽ auth-user-pass ലൈൻ നീക്കം ചെയ്യുക.

എഡി പ്രാമാണീകരണം

രണ്ടാമത്തെ ഘടകത്തെ പിന്തുണയ്ക്കാൻ, ഞങ്ങൾ എഡിയിൽ അക്കൗണ്ട് സ്ഥിരീകരണം ഉപയോഗിക്കും.

ഒരു സാധാരണ ഉപയോക്താവിന്റെയും ഒരു ഗ്രൂപ്പിന്റെയും അവകാശങ്ങളുള്ള ഡൊമെയ്‌നിൽ ഞങ്ങൾക്ക് ഒരു അക്കൗണ്ട് ആവശ്യമാണ്, അതിൽ കണക്റ്റുചെയ്യാനുള്ള കഴിവ് നിർണ്ണയിക്കുന്ന അംഗത്വം.

ഒരു കോൺഫിഗറേഷൻ ഫയൽ സൃഷ്ടിക്കുക:

/etc/openvpn/ldap.conf

ഇനിപ്പറയുന്ന ഉള്ളടക്കങ്ങൾ

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

പ്രധാന പാരാമീറ്ററുകൾ:

• URL "ldap://ldap.abc.ru" - ഡൊമെയ്ൻ കൺട്രോളർ വിലാസം;
• BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” - LDAP-ലേക്ക് ബന്ധിപ്പിക്കുന്നതിനുള്ള കാനോനിക്കൽ നാമം (UZ - bindUsr കണ്ടെയ്‌നറിൽ abc.ru/Users);
• പാസ്‌വേഡ് b1ndP@SS — ബൈൻഡിംഗിനുള്ള ഉപയോക്തൃ പാസ്‌വേഡ്;
• BaseDN “OU=allUsr,DC=abc,DC=ru” — ഉപയോക്താവിനായി തിരയാൻ തുടങ്ങുന്ന പാത;
• BaseDN "OU=myGrp,DC=abc,DC=ru" - അനുവദിക്കുന്ന ഗ്രൂപ്പിന്റെ കണ്ടെയ്നർ (abc.rumyGrp എന്ന കണ്ടെയ്നറിലെ myVPNUsr ഗ്രൂപ്പ്);
• SearchFilter "(cn=myVPNUsr)" എന്നത് അനുവദിക്കുന്ന ഗ്രൂപ്പിന്റെ പേരാണ്.

സ്റ്റാർട്ടപ്പും ഡയഗ്നോസ്റ്റിക്സും

ഇപ്പോൾ നമുക്ക് ഞങ്ങളുടെ സെർവർ പ്രവർത്തനക്ഷമമാക്കാനും ആരംഭിക്കാനും ശ്രമിക്കാം:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

ആരംഭ പരിശോധന:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

സർട്ടിഫിക്കറ്റ് ഇഷ്യൂവും അസാധുവാക്കലും

കാരണം സർട്ടിഫിക്കറ്റുകൾക്ക് പുറമേ, നിങ്ങൾക്ക് കീകളും മറ്റ് ക്രമീകരണങ്ങളും ആവശ്യമാണ്; ഇതെല്ലാം ഒരു പ്രൊഫൈൽ ഫയലിൽ പൊതിയുന്നത് വളരെ സൗകര്യപ്രദമാണ്. ഈ ഫയൽ ഉപയോക്താവിന് കൈമാറുകയും പ്രൊഫൈൽ OpenVPN ക്ലയന്റിലേക്ക് ഇറക്കുമതി ചെയ്യുകയും ചെയ്യുന്നു. ഇത് ചെയ്യുന്നതിന്, ഞങ്ങൾ ഒരു ക്രമീകരണ ടെംപ്ലേറ്റും പ്രൊഫൈൽ സൃഷ്ടിക്കുന്ന ഒരു സ്ക്രിപ്റ്റും സൃഷ്ടിക്കും.

നിങ്ങൾ പ്രൊഫൈലിലേക്ക് റൂട്ട് സർട്ടിഫിക്കറ്റ് (ca.crt), TLS കീ (ta.key) ഫയലുകളുടെ ഉള്ളടക്കം ചേർക്കേണ്ടതുണ്ട്.

ഉപയോക്തൃ സർട്ടിഫിക്കറ്റുകൾ നൽകുന്നതിന് മുമ്പ് സർട്ടിഫിക്കറ്റുകൾക്ക് ആവശ്യമായ സാധുത കാലയളവ് സജ്ജമാക്കാൻ മറക്കരുത് പരാമീറ്ററുകൾ ഫയലിൽ. നിങ്ങൾ ഇത് വളരെ ദൈർഘ്യമേറിയതാക്കരുത്; പരമാവധി 180 ദിവസത്തേക്ക് സ്വയം പരിമിതപ്പെടുത്താൻ ഞാൻ ശുപാർശ ചെയ്യുന്നു.

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

കുറിപ്പുകൾ:

• സ്ട്രിംഗുകൾ നിങ്ങളുടെ... ഉള്ളടക്കത്തിലേക്ക് മാറ്റുക അവരുടെ സർട്ടിഫിക്കറ്റുകൾ;
• റിമോട്ട് നിർദ്ദേശത്തിൽ, നിങ്ങളുടെ ഗേറ്റ്‌വേയുടെ പേര്/വിലാസം വ്യക്തമാക്കുക;
• അധിക ബാഹ്യ പ്രാമാണീകരണത്തിനായി auth-user-pass നിർദ്ദേശം ഉപയോഗിക്കുന്നു.

ഹോം ഡയറക്ടറിയിൽ (അല്ലെങ്കിൽ മറ്റ് സൗകര്യപ്രദമായ സ്ഥലത്ത്) ഒരു സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥിക്കുന്നതിനും ഒരു പ്രൊഫൈൽ സൃഷ്ടിക്കുന്നതിനുമായി ഞങ്ങൾ ഒരു സ്ക്രിപ്റ്റ് സൃഷ്ടിക്കുന്നു:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

ഫയൽ എക്സിക്യൂട്ടബിൾ ആക്കുന്നു:

chmod a+x ~/make.profile.sh

ഞങ്ങളുടെ ആദ്യ സർട്ടിഫിക്കറ്റ് ഇഷ്യൂ ചെയ്യാം.

~/make.profile.sh my-first-user

ഫീഡ്ബാക്ക്

ഒരു സർട്ടിഫിക്കറ്റ് (നഷ്ടം, മോഷണം) വിട്ടുവീഴ്ച ചെയ്യുകയാണെങ്കിൽ, ഈ സർട്ടിഫിക്കറ്റ് അസാധുവാക്കേണ്ടത് ആവശ്യമാണ്:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

ഇഷ്യൂ ചെയ്തതും അസാധുവാക്കിയതുമായ സർട്ടിഫിക്കറ്റുകൾ കാണുക

ഇഷ്യൂ ചെയ്തതും അസാധുവാക്കിയതുമായ സർട്ടിഫിക്കറ്റുകൾ കാണുന്നതിന്, സൂചിക ഫയൽ കാണുക:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

വിശദീകരണം:

• ആദ്യ വരി സെർവർ സർട്ടിഫിക്കറ്റാണ്;
• ആദ്യ കഥാപാത്രം
  • വി (സാധുവായ) - സാധുതയുള്ള;
  • R (അസാധുവാക്കി) - തിരിച്ചുവിളിച്ചു.

നെറ്റ്‌വർക്ക് സജ്ജീകരണം

ട്രാൻസ്മിഷൻ നെറ്റ്‌വർക്ക് കോൺഫിഗർ ചെയ്യുക എന്നതാണ് അവസാന ഘട്ടങ്ങൾ - റൂട്ടിംഗും ഫയർവാളുകളും.

ലോക്കൽ ഫയർവാളിൽ കണക്ഷനുകൾ അനുവദിക്കുന്നു:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

അടുത്തതായി, IP ട്രാഫിക് റൂട്ടിംഗ് പ്രവർത്തനക്ഷമമാക്കുക:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

ഒരു കോർപ്പറേറ്റ് പരിതസ്ഥിതിയിൽ, സബ്‌നെറ്റിംഗ് ഉണ്ടാകാൻ സാധ്യതയുണ്ട്, ഞങ്ങളുടെ VPN ക്ലയന്റുകൾക്കായി ഉദ്ദേശിച്ചിട്ടുള്ള പാക്കറ്റുകൾ എങ്ങനെ അയയ്‌ക്കാമെന്ന് ഞങ്ങൾ റൂട്ടറിനോട് പറയേണ്ടതുണ്ട്. കമാൻഡ് ലൈനിൽ ഞങ്ങൾ കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നു (ഉപയോഗിക്കുന്ന ഉപകരണത്തെ ആശ്രയിച്ച്):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

കോൺഫിഗറേഷൻ സംരക്ഷിക്കുക.

കൂടാതെ, gw.abc.ru എന്ന ബാഹ്യ വിലാസം നൽകുന്ന ബോർഡർ റൂട്ടർ ഇന്റർഫേസിൽ, udp/1194 പാക്കറ്റുകൾ കടന്നുപോകാൻ അനുവദിക്കേണ്ടത് ആവശ്യമാണ്.

സ്ഥാപനത്തിന് കർശനമായ സുരക്ഷാ നിയമങ്ങൾ ഉണ്ടെങ്കിൽ, ഞങ്ങളുടെ VPN സെർവറിൽ ഒരു ഫയർവാൾ കോൺഫിഗർ ചെയ്തിരിക്കണം. എന്റെ അഭിപ്രായത്തിൽ, iptables ഫോർവേഡ് ശൃംഖലകൾ സജ്ജീകരിക്കുന്നതിലൂടെയാണ് ഏറ്റവും വലിയ വഴക്കം നൽകുന്നത്, എന്നിരുന്നാലും അവ സജ്ജീകരിക്കുന്നത് സൗകര്യപ്രദമല്ല. അവ സജ്ജീകരിക്കുന്നതിനെക്കുറിച്ച് കുറച്ചുകൂടി. ഇത് ചെയ്യുന്നതിന്, "നേരിട്ടുള്ള നിയമങ്ങൾ" ഉപയോഗിക്കുന്നത് ഏറ്റവും സൗകര്യപ്രദമാണ് - നേരിട്ടുള്ള നിയമങ്ങൾ, ഒരു ഫയലിൽ സംഭരിച്ചിരിക്കുന്നു /etc/firewalld/direct.xml. നിയമങ്ങളുടെ നിലവിലെ കോൺഫിഗറേഷൻ ഇനിപ്പറയുന്ന രീതിയിൽ കാണാം:

$ sudo firewall-cmd --direct --get-all-rule

ഒരു ഫയൽ മാറ്റുന്നതിന് മുമ്പ്, അതിന്റെ ഒരു ബാക്കപ്പ് പകർപ്പ് ഉണ്ടാക്കുക:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

ഫയലിന്റെ ഏകദേശ ഉള്ളടക്കങ്ങൾ ഇവയാണ്:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

വിശദീകരണങ്ങൾ

ഇവ അടിസ്ഥാനപരമായി സാധാരണ iptables നിയമങ്ങളാണ്, അല്ലാത്തപക്ഷം ഫയർവാൾഡിന്റെ ആവിർഭാവത്തിന് ശേഷം പാക്കേജുചെയ്തവയാണ്.

സ്ഥിരസ്ഥിതി ക്രമീകരണങ്ങളുള്ള ഡെസ്റ്റിനേഷൻ ഇന്റർഫേസ് tun0 ആണ്, കൂടാതെ ടണലിനുള്ള ബാഹ്യ ഇന്റർഫേസ് വ്യത്യസ്തമായിരിക്കാം, ഉദാഹരണത്തിന്, ens192, ഉപയോഗിക്കുന്ന പ്ലാറ്റ്‌ഫോമിനെ ആശ്രയിച്ച്.

ഡ്രോപ്പ് ചെയ്ത പാക്കറ്റുകൾ ലോഗിൻ ചെയ്യുന്നതിനാണ് അവസാന വരി. പ്രവർത്തിക്കാൻ ലോഗിംഗ് ചെയ്യുന്നതിന്, നിങ്ങൾ ഫയർവാൾഡ് കോൺഫിഗറേഷനിൽ ഡീബഗ് ലെവൽ മാറ്റേണ്ടതുണ്ട്:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

ക്രമീകരണങ്ങൾ വീണ്ടും വായിക്കുന്നതിനുള്ള സാധാരണ ഫയർവാൾഡ് കമാൻഡ് ആണ് ക്രമീകരണങ്ങൾ പ്രയോഗിക്കുന്നത്:

$ sudo firewall-cmd --reload

നിങ്ങൾക്ക് ഇതുപോലെ ഡ്രോപ്പ് ചെയ്ത പാക്കറ്റുകൾ കാണാൻ കഴിയും:

grep forward_fw /var/log/messages

അടുത്തത് എന്താണ്

ഇത് സജ്ജീകരണം പൂർത്തിയാക്കുന്നു!

ക്ലയന്റ് സൈഡിൽ ക്ലയന്റ് സോഫ്‌റ്റ്‌വെയർ ഇൻസ്റ്റാൾ ചെയ്യുക, പ്രൊഫൈൽ ഇമ്പോർട്ടുചെയ്‌ത് കണക്റ്റുചെയ്യുക മാത്രമാണ് അവശേഷിക്കുന്നത്. വിൻഡോസ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങൾക്കായി, വിതരണ കിറ്റ് സ്ഥിതിചെയ്യുന്നു ഡവലപ്പർ വെബ്സൈറ്റ്.

അവസാനമായി, ഞങ്ങൾ ഞങ്ങളുടെ പുതിയ സെർവറിനെ മോണിറ്ററിംഗ്, ആർക്കൈവിംഗ് സിസ്റ്റങ്ങളിലേക്ക് ബന്ധിപ്പിക്കുന്നു, കൂടാതെ പതിവായി അപ്‌ഡേറ്റുകൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ മറക്കരുത്.

സ്ഥിരതയുള്ള കണക്ഷൻ!

അവലംബം: www.habr.com