Асуудал
Саяхан олон хүн гэрээсээ ажиллах ямар байдгийг мэдэхгүй байсан. Царт тахал дэлхийн нөхцөл байдлыг эрс өөрчилсөн бөгөөд хүн бүр одоогийн нөхцөл байдалд дасан зохицож эхэлсэн, тухайлбал гэрээсээ гарах нь зүгээр л аюултай болсон. Мөн олон хүмүүс ажилчдынхаа ажлыг гэрээсээ хурдан зохион байгуулах шаардлагатай болсон.
Гэсэн хэдий ч алсын зайнаас ажиллах шийдлийг сонгох чадваргүй хандлага нь эргэлт буцалтгүй алдагдалд хүргэж болзошгүй юм. Хэрэглэгчийн нууц үгийг хулгайлж болох бөгөөд энэ нь халдагчид байгууллагын сүлжээ болон мэдээллийн технологийн нөөцөд хяналтгүй холбогдох боломжийг олгоно.
Тийм ч учраас найдвартай корпорацийн VPN сүлжээг бий болгох хэрэгцээ улам бүр нэмэгдсээр байна. Би чамд хэлье найдвартай, аюулгүй и Энгийн VPN сүлжээг ашиглах үед.
Энэ нь IPsec/L2TP схемийн дагуу ажилладаг бөгөөд энэ нь үйлчлүүлэгчдийг баталгаажуулахын тулд токен дээр хадгалагдсан буцааж авах боломжгүй түлхүүр, гэрчилгээг ашигладаг бөгөөд сүлжээгээр өгөгдлийг шифрлэгдсэн хэлбэрээр дамжуулдаг.
CentOS 7-тэй сервер (хаяг: centos.vpn.server.ad) болон Ubuntu 20.04-тэй клиент, мөн Windows 10-тэй клиентийг тохиргооны үзүүлэн болгон ашигласан.
Системийн тодорхойлолт
VPN нь IPSec + L2TP + PPP схемийн дагуу ажиллана. Протокол Цэгээс цэг рүү протокол (ТХХТ) нь OSI загварын өгөгдлийн холбоосын давхарга дээр ажилладаг бөгөөд дамжуулагдсан өгөгдлийг хэрэглэгчийн баталгаажуулалт болон шифрлэлтийг хангадаг. Түүний өгөгдлийг L2TP протоколын өгөгдөлд багтаасан бөгөөд энэ нь VPN сүлжээнд холболт үүсгэх боломжийг олгодог боловч баталгаажуулалт, шифрлэлт өгдөггүй.
L2TP өгөгдөл нь IPSec-д бүрхэгдсэн бөгөөд энэ нь мөн баталгаажуулалт, шифрлэлт өгдөг боловч PPP-ээс ялгаатай нь нэвтрэлт танилт, шифрлэлт нь хэрэглэгчийн түвшинд биш төхөөрөмжийн түвшинд явагддаг.
Энэ функц нь хэрэглэгчдийг зөвхөн тодорхой төхөөрөмжөөс баталгаажуулах боломжийг олгодог. Бид IPSec протоколыг байгаагаар нь ашиглах бөгөөд ямар ч төхөөрөмжөөс хэрэглэгчийн баталгаажуулалтыг зөвшөөрөх болно.
Ухаалаг карт ашиглан хэрэглэгчийн баталгаажуулалтыг EAP-TLS протокол ашиглан PPP протоколын түвшинд гүйцэтгэнэ.
Энэ хэлхээний ажиллагааны талаарх дэлгэрэнгүй мэдээллийг эндээс авах боломжтой
Яагаад энэ схем нь сайн VPN сүлжээний бүх гурван шаардлагыг хангаж байна вэ?
- Энэ схемийн найдвартай байдлыг цаг хугацаагаар туршсан. Энэ нь 2000 оноос хойш VPN сүлжээг ашиглахад ашиглагдаж байна.
- Аюулгүй хэрэглэгчийн баталгаажуулалтыг PPP протоколоор хангадаг.
Пол Макеррас боловсруулсан PPP протоколын стандарт хэрэгжилт аюулгүй байдлын хангалттай түвшинг хангаж чадахгүй, учир нь Баталгаажуулалтын хувьд хамгийн сайн тохиолдолд нэвтрэх болон нууц үг ашиглан баталгаажуулалтыг ашигладаг. Нэвтрэх нууц үгийг тагнаж, тааж, хулгайлж болно гэдгийг бид бүгд мэднэ. Гэсэн хэдий ч, удаан хугацааны турш одоо хөгжүүлэгчЯн Жаст Кейзер втүүний хэрэгжилт Энэ протокол нь энэ асуудлыг засч, баталгаажуулалтад EAP-TLS гэх мэт тэгш бус шифрлэлтэд суурилсан протоколуудыг ашиглах боломжийг нэмсэн. Нэмж дурдахад тэрээр смарт картыг баталгаажуулахад ашиглах боломжийг нэмсэн нь системийг илүү найдвартай болгосон.
Одоогийн байдлаар эдгээр хоёр төслийг нэгтгэх идэвхтэй хэлэлцээр хийгдэж байгаа бөгөөд эрт орой хэзээ нэгэн цагт ийм зүйл болно гэдэгт итгэлтэй байж болно. Жишээлбэл, PPP-ийн нөхөөстэй хувилбар нь Fedora репозиторуудад удаан хугацааны туршид нэвтэрч, баталгаажуулалтын аюулгүй протоколуудыг ашигладаг. - Саяхныг хүртэл энэ сүлжээг зөвхөн Windows хэрэглэгчид ашиглах боломжтой байсан ч манай Москвагийн Улсын Их Сургуулийн хамт олон Василий Шоков, Александр Смирнов нар олж мэдсэн.
Linux-д зориулсан хуучин L2TP клиент төсөл мөн өөрчилсөн. Бид хамтдаа үйлчлүүлэгчийн ажлын олон алдаа, дутагдлыг засч, эх сурвалжаас барьж байгуулах үед ч системийн суурилуулалт, тохиргоог хялбаршуулсан. Тэдгээрийн хамгийн чухал нь:- Openssl болон qt-ийн шинэ хувилбаруудын интерфейстэй хуучин үйлчлүүлэгчийн нийцтэй байдлын асуудлыг зассан.
- Түр зуурын файлаар токен ПИН-г дамжуулахаас pppd-г устгасан.
- График интерфэйсээр дамжуулан нууц үг хүсэх програмыг буруу ажиллуулсныг зассан. Үүнийг xl2tpd үйлчилгээний зөв орчинг суулгаснаар хийсэн.
- L2tpIpsecVpn дэмоныг бүтээх нь одоо үйлчлүүлэгч өөрөө бүтээхтэй хамт хийгдэж байгаа бөгөөд энэ нь бүтээх, тохируулах процессыг хялбаршуулдаг.
- Хөгжүүлэлтийг хөнгөвчлөх үүднээс Azure Pipelines систем нь угсралтын зөв эсэхийг шалгахын тулд холбогдсон.
- Хүчээр буулгах чадварыг нэмсэн
аюулгүй байдлын түвшин openssl-ийн хүрээнд. Энэ нь стандарт аюулгүй байдлын түвшинг 2 болгож тохируулсан шинэ үйлдлийн системийг зөв дэмжихэд тустай бөгөөд энэ түвшний аюулгүй байдлын шаардлагыг хангаагүй гэрчилгээ ашигладаг VPN сүлжээнүүдтэй. Энэ сонголт нь одоо байгаа хуучин VPN сүлжээнүүдтэй ажиллахад хэрэг болно.
Залруулсан хувилбарыг эндээс олж болно
Энэхүү үйлчлүүлэгч нь нэвтрэлт танилтад зориулж ухаалаг карт ашиглахыг дэмждэг бөгөөд Линукс дээр энэхүү схемийг тохируулахад тохиолдсон бүх бэрхшээл, бэрхшээлийг аль болох нууж, үйлчлүүлэгчийн тохиргоог аль болох хялбар бөгөөд хурдан болгодог.
Мэдээжийн хэрэг, PPP болон үйлчлүүлэгчийн GUI хооронд тохиромжтой холболтыг бий болгохын тулд төсөл тус бүрт нэмэлт засвар хийхгүйгээр хийх боломжгүй байсан ч тэдгээрийг багасгаж, хамгийн бага хэмжээнд хүртэл бууруулсан:
- Тогтсон
PPP-ээс token PIN кодыг openssl контекст руу буруу дамжуулсны алдаа - Тогтсон
тохиргоог ачаалах, openssl контекстийг эхлүүлэх дарааллын алдаа . Энэ алдаа нь ухаалаг карттай ажиллах openssl хөдөлгүүрүүдийн талаарх мэдээллээс бусад тохиолдолд локал /etc/ppp/openssl.cnf тохиргооны файлаас юу ч ачаалахыг зөвшөөрөөгүй бөгөөд энэ нь жишээлбэл, хөдөлгүүрийн талаарх мэдээллээс гадна ноцтой хүндрэл учруулж байв. Бид өөр зүйл тохируулахыг хүссэн. Жишээлбэл, холболт үүсгэх үед аюулгүй байдлын түвшинг засах.
Одоо та тохиргоогоо эхлүүлж болно.
Сервер тааруулах
Шаардлагатай бүх багцуудыг суулгацгаая.
Strongswan (IPsec) суулгаж байна
Юуны өмнө галт ханыг ipsec үйлдлийн системд тохируулъя
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload
Дараа нь суулгацыг эхлүүлье
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan
Суулгасны дараа та strongswan-г (IPSec хэрэгжүүлэлтийн нэг) тохируулах хэрэгтэй. Үүнийг хийхийн тулд файлыг засварлана уу /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
Мөн бид нийтлэг нэвтрэх нууц үгийг тохируулах болно. Хуваалцсан нууц үгийг сүлжээний бүх оролцогчид баталгаажуулахын тулд мэддэг байх ёстой. Энэ арга нь найдваргүй нь ойлгомжтой, учир нь Энэ нууц үг нь сүлжээнд нэвтрэхийг хүсэхгүй байгаа хүмүүст амархан мэдэгддэг.
Гэсэн хэдий ч энэ баримт ч сүлжээний аюулгүй байдалд нөлөөлөхгүй, учир нь Өгөгдлийн үндсэн шифрлэлт, хэрэглэгчийн баталгаажуулалтыг PPP протоколоор гүйцэтгэдэг. Гэхдээ шударга ёсны үүднээс, strongswan нь хувийн түлхүүр ашиглах гэх мэт баталгаажуулалтын илүү найдвартай технологийг дэмждэг гэдгийг тэмдэглэх нь зүйтэй. Strongswan нь ухаалаг карт ашиглан баталгаажуулалт хийх чадвартай боловч одоогоор зөвхөн хязгаарлагдмал хүрээний төхөөрөмжүүдийг дэмждэг тул Rutoken токен болон смарт карт ашиглан баталгаажуулалт хийхэд хэцүү хэвээр байна. Файлаар дамжуулан ерөнхий нууц үгээ тохируулъя /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"
Страшинг дахин эхлүүлцгээе:
sudo systemctl enable strongswan
sudo systemctl restart strongswan
xl2tp суулгаж байна
sudo dnf install xl2tpd
Үүнийг файлаар тохируулцгаая /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad
Үйлчилгээг дахин эхлүүлье:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd
PPP тохиргоо
pppd-ийн хамгийн сүүлийн хувилбарыг суулгахыг зөвлөж байна. Үүнийг хийхийн тулд дараах тушаалын дарааллыг гүйцэтгэнэ.
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install
Файл руу бичих /etc/ppp/options.xl2tpd дараах (хэрэв ямар нэгэн утга байгаа бол тэдгээрийг устгаж болно):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
Бид үндсэн гэрчилгээ болон серверийн гэрчилгээг гаргадаг:
#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/
#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial
Тиймээс бид үндсэн серверийн тохиргоог хийж дууслаа. Үлдсэн серверийн тохиргоо нь шинэ үйлчлүүлэгч нэмэх явдал юм.
Шинэ үйлчлүүлэгч нэмж байна
Сүлжээнд шинэ үйлчлүүлэгч нэмэхийн тулд та түүний гэрчилгээг энэ үйлчлүүлэгчийн итгэмжлэгдсэн жагсаалтад нэмэх ёстой.
Хэрэв хэрэглэгч VPN сүлжээний гишүүн болохыг хүсвэл энэ үйлчлүүлэгчийн түлхүүрийн хослол болон гэрчилгээний програмыг бий болгодог. Хэрэв хэрэглэгч итгэж байгаа бол энэ програмд гарын үсэг зурж, үр дүнгийн гэрчилгээг гэрчилгээний лавлах руу бичиж болно.
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial
/etc/ppp/eaptls-server файлд үйлчлүүлэгчийн нэр болон түүний сертификаттай тохирох мөрийг нэмье:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *
ТАЙЛБАР:
Төөрөгдөл гаргахгүйн тулд: Нийтлэг нэр, гэрчилгээний файлын нэр, хэрэглэгчийн нэр өвөрмөц байх нь дээр.
Бидний нэмж буй хэрэглэгчийн нэр бусад баталгаажуулалтын файлуудын хаана ч харагдахгүй байгаа эсэхийг шалгах нь зүйтэй бөгөөд эс тэгвээс хэрэглэгчийг баталгаажуулах арга замд асуудал гарах болно.
Ижил гэрчилгээг хэрэглэгч рүү буцааж илгээх ёстой.
Түлхүүр хос болон гэрчилгээ үүсгэж байна
Амжилттай баталгаажуулахын тулд үйлчлүүлэгч дараахь зүйлийг хийх ёстой.
- түлхүүр хос үүсгэх;
- CA үндэс гэрчилгээтэй байх;
- үндсэн CA гарын үсэгтэй түлхүүр хосын гэрчилгээтэй байх.
Линукс дээрх үйлчлүүлэгчдэд зориулсан
Эхлээд токен дээр түлхүүрийн хослол үүсгэж, гэрчилгээнд зориулж програм үүсгэцгээе:
#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"
CA-д гарч ирэх client.req програмыг илгээнэ үү. Түлхүүр хосынхоо гэрчилгээг хүлээн авсны дараа үүнийг түлхүүртэй ижил ID-тай жетон руу бичнэ үү.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45
Windows болон Linux үйлчлүүлэгчдэд зориулсан (илүү түгээмэл арга)
Энэ арга нь илүү түгээмэл байдаг, учир нь Windows болон Линукс хэрэглэгчдэд амжилттай танигдах түлхүүр болон сертификат үүсгэх боломжийг танд олгодог боловч түлхүүр үүсгэх процедурыг гүйцэтгэхийн тулд Windows машин шаардлагатай.
Хүсэлт үүсгэх, сертификат импортлохын өмнө та VPN сүлжээний үндсэн гэрчилгээг итгэмжлэгдсэн хүмүүсийн жагсаалтад нэмэх ёстой. Үүнийг хийхийн тулд үүнийг нээгээд нээгдэх цонхноос "Сертификат суулгах" сонголтыг сонгоно уу.
Нээгдсэн цонхон дээр локал хэрэглэгчдэд сертификат суулгахыг сонгоно уу:
Сертификатыг CA-ийн итгэмжлэгдсэн эх сертификатын дэлгүүрт суулгацгаая:
Эдгээр бүх үйлдлүүдийн дараа бид бусад бүх зүйлтэй санал нэг байна. Систем одоо тохируулагдсан байна.
Дараах агуулгатай cert.tmp файл үүсгэцгээе.
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE
Үүний дараа бид түлхүүрийн хослолыг үүсгэж, гэрчилгээний програмыг үүсгэнэ. Үүнийг хийхийн тулд powershell-г нээж дараах тушаалыг оруулна уу.
certreq.exe -new -pin $PIN .cert.tmp .client.req
Үүсгэсэн client.req програмыг өөрийн CA руу илгээж, client.pem гэрчилгээг хүлээн авахыг хүлээнэ үү. Үүнийг токен дээр бичиж, дараах тушаалыг ашиглан Windows сертификатын дэлгүүрт нэмж болно.
certreq.exe -accept .client.pem
Үүнтэй төстэй үйлдлүүдийг mmc програмын график интерфэйсийг ашиглан хуулбарлах боломжтой гэдгийг тэмдэглэх нь зүйтэй боловч энэ арга нь илүү их цаг хугацаа шаардсан, програмчлах чадвар багатай байдаг.
Ubuntu клиентийг тохируулж байна
ТАЙЛБАР:
Линукс дээр үйлчлүүлэгчийг тохируулах нь одоогоор нэлээд цаг зарцуулж байна, учир нь... эх сурвалжаас тусад нь програм бүтээхийг шаарддаг. Бид ойрын ирээдүйд бүх өөрчлөлтийг албан ёсны репозиторуудад оруулахыг хичээх болно.
Сервертэй IPSec түвшинд холболтыг хангахын тулд strongswan багц болон xl2tp демоныг ашигладаг. Ухаалаг карт ашиглан сүлжээнд холбогдохыг хялбарчлахын тулд бид хялбаршуулсан холболтын тохиргоонд зориулсан график бүрхүүлээр хангадаг l2tp-ipsec-vpn багцыг ашиглах болно.
Элементүүдийг алхам алхмаар угсарч эхэлцгээе, гэхдээ үүнээс өмнө бид VPN шууд ажиллахад шаардлагатай бүх багцуудыг суулгана.
sudo apt-get install xl2tpd strongswan libp11-3
Токенуудтай ажиллах програм хангамжийг суулгаж байна
Хамгийн сүүлийн үеийн librtpkcs11ecp.so номын санг суулгана уу
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl
Rutoken-г холбож, системд танигдсан эсэхийг шалгана уу.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l
Нөөцтэй ppp суулгаж байна
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install
L2tpIpsecVpn клиентийг суулгаж байна
Одоогийн байдлаар үйлчлүүлэгчийг мөн эх кодоос эмхэтгэх шаардлагатай байна. Үүнийг дараах тушаалын дарааллаар гүйцэтгэнэ.
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install
L2tpIpsecVpn клиентийг тохируулж байна
Суулгасан клиентийг ажиллуулна уу:
Ажилласны дараа L2tpIpsecVPN апплет нээгдэх ёстой. Үүн дээр хулганы баруун товчийг дараад холболтыг тохируулна уу:
Токенуудтай ажиллахын тулд юуны өмнө бид OpenSSL хөдөлгүүрийн opensc хөдөлгүүр болон PKCS#11 номын сангийн замыг зааж өгнө. Үүнийг хийхийн тулд openssl параметрүүдийг тохируулахын тулд "Preferences" табыг нээнэ үү.
.
OpenSSL тохиргооны цонхыг хааж сүлжээний тохиргоо руу шилжье. Тохиргооны самбар дээрх Add... товчийг дарж сүлжээний нэрийг оруулаад шинэ сүлжээ нэмье:
Үүний дараа энэ сүлжээ нь тохиргооны самбарт боломжтой болно. Шинэ сүлжээг тохируулахын тулд хулганы баруун товчийг давхар товшино уу. Эхний таб дээр та IPsec тохиргоог хийх хэрэгтэй. Серверийн хаяг болон нийтийн түлхүүрийг тохируулъя:
Үүний дараа PPP тохиргооны таб руу орж, сүлжээнд нэвтрэхийг хүссэн хэрэглэгчийн нэрийг зааж өгнө үү.
Үүний дараа Properties табыг нээж, түлхүүр, үйлчлүүлэгчийн гэрчилгээ, CA руу очих замыг зааж өгнө үү.
Энэ табыг хааж, эцсийн тохиргоог хийцгээе; Үүнийг хийхийн тулд "IP тохиргоо" табыг нээгээд "DNS серверийн хаягийг автоматаар авах" сонголтын хажууд байгаа нүдийг чагтална уу.
Энэ сонголт нь үйлчлүүлэгчид серверээс сүлжээн дэх хувийн IP хаягийг хүлээн авах боломжийг олгоно.
Бүх тохиргоог хийсний дараа бүх цонхыг хааж, үйлчлүүлэгчээ дахин эхлүүлнэ үү:
Сүлжээнд холбогдож байна
Тохиргоог хийсний дараа та сүлжээнд холбогдож болно. Үүнийг хийхийн тулд апплет табыг нээж, холбогдохыг хүссэн сүлжээгээ сонгоно уу.
Холболт үүсгэх явцад үйлчлүүлэгч биднээс Rutoken PIN кодыг оруулахыг хүсэх болно.
Хэрэв холболт амжилттай болсон тухай мэдэгдэл статусын мөрөнд гарч ирвэл энэ нь тохируулга амжилттай болсон гэсэн үг юм.
Үгүй бол яагаад холболт хийгээгүйг олж мэдэх нь зүйтэй. Үүнийг хийхийн тулд та апплет дахь "Холболтын мэдээлэл" командыг сонгон програмын бүртгэлийг харах хэрэгтэй.
Windows клиентийг тохируулж байна
Windows дээр клиент тохируулах нь Линуксээс хамаагүй хялбар, учир нь... Шаардлагатай бүх програм хангамжийг системд аль хэдийн суулгасан байна.
Системийн тохиргоо
Бид Rutokens-тай ажиллахад шаардлагатай бүх драйверуудыг татаж авах замаар суулгах болно
Баталгаажуулахын тулд эх гэрчилгээг импортлож байна
Серверийн эх сертификатыг татаж аваад системд суулгана уу. Үүнийг хийхийн тулд үүнийг нээгээд нээгдэх цонхноос "Сертификат суулгах" сонголтыг сонгоно уу.
Нээгдсэн цонхон дээр локал хэрэглэгчдэд сертификат суулгахыг сонгоно уу. Хэрэв та гэрчилгээг компьютер дээрх бүх хэрэглэгчдэд нээлттэй байлгахыг хүсвэл дотоод компьютер дээрээ сертификат суулгахыг сонгох хэрэгтэй.
Сертификатыг CA-ийн итгэмжлэгдсэн эх сертификатын дэлгүүрт суулгацгаая:
Эдгээр бүх үйлдлүүдийн дараа бид бусад бүх зүйлтэй санал нэг байна. Систем одоо тохируулагдсан байна.
VPN холболтыг тохируулж байна
VPN холболтыг тохируулахын тулд хяналтын самбар руу очоод шинэ холболт үүсгэх сонголтыг сонгоно уу.
Гарч ирэх цонхноос ажлын байртайгаа холбогдохын тулд холболт үүсгэх сонголтыг сонгоно уу:
Дараагийн цонхонд VPN холболтыг сонгоно уу:
VPN холболтын дэлгэрэнгүй мэдээллийг оруулаад ухаалаг карт ашиглах сонголтыг зааж өгнө үү:
Тохиргоо хараахан дуусаагүй байна. IPsec протоколын хуваалцсан түлхүүрийг зааж өгөхөд л үлддэг; үүнийг хийхийн тулд "Сүлжээний холболтын тохиргоо" таб руу очоод "Энэ холболтын шинж чанарууд" таб руу очно уу.
Нээгдсэн цонхонд "Аюулгүй байдал" таб руу орж, сүлжээний төрлийг "L2TP/IPsec сүлжээ" гэж зааж өгөөд "Нарийвчилсан тохиргоо" -г сонгоно уу.
Нээгдсэн цонхонд хуваалцсан IPsec түлхүүрийг зааж өгнө үү.
Подключение
Тохиргоог хийж дууссаны дараа та сүлжээнд холбогдохыг оролдож болно:
Холболтын явцад бид токен ПИН кодыг оруулах шаардлагатай болно:
Бид найдвартай VPN сүлжээг бий болгож, энэ нь хэцүү биш гэдгийг баталгаажуулсан.
Талархал
Манай хамт олон Василий Шоков, Александр Смирнов нарт Линукс үйлчлүүлэгчдэд VPN холболт үүсгэх ажлыг хялбарчлах зорилгоор хамтран хийсэн ажилд нь дахин талархал илэрхийлье.
Эх сурвалж: www.habr.com