OpenVPN वर SMB संस्थेच्या रिमोट वर्कची संस्था

समस्येची निर्मिती

लेख ओपन सोर्स उत्पादनांवर कर्मचार्‍यांसाठी रिमोट ऍक्सेसच्या संस्थेचे वर्णन करतो आणि पूर्णपणे स्वायत्त प्रणाली तयार करण्यासाठी दोन्ही वापरता येऊ शकतात आणि विद्यमान व्यावसायिक प्रणालीमध्ये परवान्यांची कमतरता असल्यास किंवा त्याची कार्यक्षमता अपुरी असताना विस्तारासाठी उपयुक्त ठरेल.

लेखाचे उद्दिष्ट एखाद्या संस्थेला दूरस्थ प्रवेश प्रदान करण्यासाठी एक संपूर्ण प्रणाली लागू करणे आहे, जे "10 मिनिटांत OpenVPN स्थापित करणे" पेक्षा थोडे अधिक आहे.

परिणामी, आम्हाला एक प्रणाली मिळेल ज्यामध्ये प्रमाणपत्रे आणि (पर्यायी) कॉर्पोरेट सक्रिय निर्देशिका वापरकर्त्यांना प्रमाणीकृत करण्यासाठी वापरली जाईल. ते. आम्हाला दोन सत्यापन घटकांसह एक प्रणाली मिळेल - माझ्याकडे काय आहे (प्रमाणपत्र) आणि मला काय माहित आहे (पासवर्ड).

वापरकर्त्याला जोडण्याची अनुमती असल्याचे चिन्ह म्हणजे त्यांची myVPNUsr गटातील सदस्यत्व. प्रमाणपत्र प्राधिकरण ऑफलाइन वापरले जाईल.

सोल्यूशनची अंमलबजावणी करण्याची किंमत फक्त लहान हार्डवेअर संसाधने आणि सिस्टम प्रशासकाचे 1 तास काम आहे.

आम्ही CetntOS 3 वर OpenVPN आणि Easy-RSA आवृत्ती 7 सह व्हर्च्युअल मशीन वापरू, ज्याला 100 vCPUs आणि 4 GiB RAM प्रति 4 कनेक्शन दिले जातात.

उदाहरणात, आमच्या संस्थेचे नेटवर्क 172.16.0.0/16 आहे, ज्यामध्ये 172.16.19.123 पत्ता असलेला VPN सर्व्हर 172.16.19.0/24, DNS सर्व्हर 172.16.16.16 आणि 172.16.17.17 आणि उप. .172.16.20.0/23 VPN क्लायंटसाठी वाटप केले आहे.

बाहेरून कनेक्ट करण्यासाठी, पोर्ट 1194/udp द्वारे कनेक्शन वापरले जाते आणि आमच्या सर्व्हरसाठी DNS मध्ये एक A-रेकॉर्ड gw.abc.ru तयार केले गेले आहे.

SELinux अक्षम करण्याची शिफारस केलेली नाही! OpenVPN सुरक्षा धोरणे अक्षम न करता कार्य करते.

सामग्री

1. OS आणि ऍप्लिकेशन सॉफ्टवेअरची स्थापना
2. क्रिप्टोग्राफी सेट करत आहे
3. OpenVPN कॉन्फिगर करत आहे
4. AD प्रमाणीकरण
5. स्टार्टअप आणि निदान
6. प्रमाणपत्र जारी करणे आणि रद्द करणे
7. नेटवर्क कॉन्फिगरेशन
8. पुढे काय

OS आणि ऍप्लिकेशन सॉफ्टवेअरची स्थापना

आम्ही CentOS 7.8.2003 वितरण वापरतो. आम्हाला किमान कॉन्फिगरेशनमध्ये OS स्थापित करणे आवश्यक आहे. वापरून हे करणे सोयीचे आहे किकस्टार्ट, पूर्वी स्थापित केलेल्या OS प्रतिमा आणि इतर माध्यमांचे क्लोनिंग.

स्थापनेनंतर, नेटवर्क इंटरफेसला पत्ता नियुक्त करणे (टास्क 172.16.19.123 नुसार), आम्ही ओएस अद्यतनित करतो:

$ sudo yum update -y && reboot

आमच्या मशीनवर वेळ सिंक्रोनाइझेशन केले जाते याची आम्हाला खात्री करणे देखील आवश्यक आहे.
ऍप्लिकेशन सॉफ्टवेअर इन्स्टॉल करण्यासाठी, तुम्हाला मुख्य संपादक म्हणून openvpn, openvpn-auth-ldap, easy-rsa आणि vim पॅकेजेसची आवश्यकता आहे (तुम्हाला EPEL रेपॉजिटरी आवश्यक असेल).

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

व्हर्च्युअल मशीनसाठी अतिथी एजंट स्थापित करणे उपयुक्त आहे:

$ sudo yum install open-vm-tools

VMware ESXi होस्टसाठी किंवा oVirt साठी

$ sudo yum install ovirt-guest-agent

क्रिप्टोग्राफी सेट करत आहे

easy-rsa निर्देशिकेवर जा:

$ cd /usr/share/easy-rsa/3/

व्हेरिएबल फाइल तयार करा:

$ sudo vim vars

खालील सामग्री:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

एबीसी एलएलसी या सशर्त संस्थेच्या पॅरामीटर्सचे येथे वर्णन केले आहे; तुम्ही त्यांना वास्तविकतेमध्ये दुरुस्त करू शकता किंवा त्यांना उदाहरणावरून सोडू शकता. पॅरामीटर्समधील सर्वात महत्वाची गोष्ट ही शेवटची ओळ आहे, जी दिवसांमध्ये प्रमाणपत्राची वैधता कालावधी निर्धारित करते. उदाहरण 10 वर्षे (365*10+2 लीप वर्षे) मूल्य वापरते. वापरकर्ता प्रमाणपत्रे जारी करण्यापूर्वी हे मूल्य समायोजित करणे आवश्यक आहे.

पुढे, आम्ही स्वायत्त प्रमाणन प्राधिकरण कॉन्फिगर करतो.

सेटअपमध्ये व्हेरिएबल्सची निर्यात करणे, CA सुरू करणे, CA रूट की आणि प्रमाणपत्र जारी करणे, Diffie-Hellman की, TLS की आणि सर्व्हर की आणि प्रमाणपत्र समाविष्ट आहे. CA की काळजीपूर्वक संरक्षित आणि गुप्त ठेवली पाहिजे! सर्व क्वेरी पॅरामीटर्स डीफॉल्ट म्हणून सोडले जाऊ शकतात.

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

हे क्रिप्टोग्राफिक यंत्रणा सेट करण्याचा मुख्य भाग पूर्ण करते.

OpenVPN कॉन्फिगर करत आहे

OpenVPN निर्देशिकेवर जा, सेवा निर्देशिका तयार करा आणि easy-rsa वर लिंक जोडा:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

मुख्य OpenVPN कॉन्फिगरेशन फाइल तयार करा:

$ sudo vim server.conf

खालील सामग्री

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

पॅरामीटर्सवरील काही टिपा:

• प्रमाणपत्र जारी करताना वेगळे नाव निर्दिष्ट केले असल्यास, ते सूचित करा;
• तुमच्‍या कार्यांनुसार पत्‍त्‍यांचा पूल निर्दिष्ट करा*;
• एक किंवा अधिक मार्ग आणि DNS सर्व्हर असू शकतात;
• AD** मध्ये प्रमाणीकरण लागू करण्यासाठी शेवटच्या 2 ओळी आवश्यक आहेत.

*उदाहरणामध्ये निवडलेल्या पत्त्यांची श्रेणी 127 क्लायंट्सना एकाच वेळी कनेक्ट होण्यास अनुमती देईल, कारण /23 नेटवर्क निवडले आहे, आणि OpenVPN प्रत्येक क्लायंटसाठी /30 मास्क वापरून सबनेट तयार करते.
विशेषतः आवश्यक असल्यास, पोर्ट आणि प्रोटोकॉल बदलले जाऊ शकतात, तथापि, हे लक्षात घेतले पाहिजे की पोर्ट पोर्ट नंबर बदलल्यास SELinux कॉन्फिगर करणे आवश्यक आहे आणि tcp प्रोटोकॉल वापरल्याने ओव्हरहेड वाढेल, कारण TCP पॅकेट वितरण नियंत्रण बोगद्यामध्ये समाविष्ट केलेल्या पॅकेटच्या स्तरावर आधीच केले जाते.

**एडी मध्ये प्रमाणीकरणाची आवश्यकता नसल्यास, त्यावर टिप्पणी द्या, पुढील विभाग वगळा आणि टेम्पलेटमध्ये auth-user-पास ओळ काढा.

AD प्रमाणीकरण

दुसऱ्या घटकाचे समर्थन करण्यासाठी, आम्ही AD मध्ये खाते सत्यापन वापरू.

आम्हाला डोमेनमध्ये सामान्य वापरकर्ता आणि गटाच्या अधिकारांसह खाते आवश्यक आहे, सदस्यत्व ज्यामध्ये कनेक्ट करण्याची क्षमता निश्चित केली जाईल.

कॉन्फिगरेशन फाइल तयार करा:

/etc/openvpn/ldap.conf

खालील सामग्री

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

मुख्य सेटिंग्ज:

• URL “ldap://ldap.abc.ru” - डोमेन कंट्रोलर पत्ता;
• BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” - LDAP ला बंधनकारक करण्यासाठी प्रामाणिक नाव (UZ - abc.ru/Users कंटेनरमध्ये bindUsr);
• पासवर्ड b1ndP@SS — बंधनकारक करण्यासाठी वापरकर्ता संकेतशब्द;
• BaseDN “OU=allUsr,DC=abc,DC=ru” — वापरकर्त्याचा शोध सुरू करायचा मार्ग;
• BaseDN “OU=myGrp,DC=abc,DC=ru” – परवानगी देणाऱ्या गटाचा कंटेनर (abc.rumyGrp कंटेनरमधील myVPNUsr गट);
• SearchFilter "(cn=myVPNUsr)" हे परवानगी देणाऱ्या गटाचे नाव आहे.

स्टार्टअप आणि निदान

आता आम्ही आमचा सर्व्हर सक्षम आणि सुरू करण्याचा प्रयत्न करू शकतो:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

स्टार्टअप तपासणी:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

प्रमाणपत्र जारी करणे आणि रद्द करणे

कारण स्वतः प्रमाणपत्रांव्यतिरिक्त, आपल्याला की आणि इतर सेटिंग्ज आवश्यक आहेत; हे सर्व एका प्रोफाइल फाइलमध्ये लपेटणे खूप सोयीचे आहे. ही फाइल नंतर वापरकर्त्याकडे हस्तांतरित केली जाते आणि प्रोफाइल OpenVPN क्लायंटवर आयात केली जाते. हे करण्यासाठी, आम्ही एक सेटिंग टेम्पलेट आणि प्रोफाइल तयार करणारी स्क्रिप्ट तयार करू.

तुम्हाला रूट सर्टिफिकेट (ca.crt) आणि TLS की (ta.key) फाइल्सची सामग्री प्रोफाइलमध्ये जोडणे आवश्यक आहे.

वापरकर्ता प्रमाणपत्रे जारी करण्यापूर्वी प्रमाणपत्रांसाठी आवश्यक वैधता कालावधी सेट करण्यास विसरू नका पॅरामीटर्स फाइलमध्ये. तुम्ही ते जास्त लांब करू नये; मी स्वतःला जास्तीत जास्त १८० दिवसांपर्यंत मर्यादित ठेवण्याची शिफारस करतो.

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

टिपा:

• तार तुमचे ठेवा... सामग्रीमध्ये बदल स्वत: च्या प्रमाणपत्रे;
• रिमोट निर्देशामध्ये, तुमच्या गेटवेचे नाव/पत्ता निर्दिष्ट करा;
• auth-user-pass निर्देश अतिरिक्त बाह्य प्रमाणीकरणासाठी वापरले जातात.

होम डिरेक्टरीमध्ये (किंवा इतर सोयीस्कर ठिकाणी) आम्ही प्रमाणपत्राची विनंती करण्यासाठी आणि प्रोफाइल तयार करण्यासाठी स्क्रिप्ट तयार करतो:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

फाइल एक्झिक्युटेबल बनवणे:

chmod a+x ~/make.profile.sh

आणि आम्ही आमचे पहिले प्रमाणपत्र जारी करू शकतो.

~/make.profile.sh my-first-user

अभिप्राय

प्रमाणपत्राची तडजोड झाल्यास (तोटा, चोरी), हे प्रमाणपत्र रद्द करणे आवश्यक आहे:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

जारी केलेली आणि रद्द केलेली प्रमाणपत्रे पहा

जारी केलेली आणि रद्द केलेली प्रमाणपत्रे पाहण्यासाठी, फक्त अनुक्रमणिका फाइल पहा:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

स्पष्टीकरण:

• पहिली ओळ सर्व्हर प्रमाणपत्र आहे;
• पहिले वर्ण
  • व्ही (वैध) - वैध;
  • आर (रद्द केलेले) - परत बोलावले.

नेटवर्क कॉन्फिगरेशन

शेवटची पायरी म्हणजे ट्रान्समिशन नेटवर्क कॉन्फिगर करणे - रूटिंग आणि फायरवॉल.

स्थानिक फायरवॉलमध्ये कनेक्शनला अनुमती देणे:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

पुढे, आयपी ट्रॅफिक राउटिंग सक्षम करा:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

कॉर्पोरेट वातावरणात, सबनेटिंग असण्याची शक्यता असते आणि आम्हाला आमच्या VPN क्लायंटसाठी नियत पॅकेट्स कसे पाठवायचे ते राउटरला सांगावे लागेल. कमांड लाइनवर आम्ही कमांड या पद्धतीने कार्यान्वित करतो (वापरलेल्या उपकरणावर अवलंबून):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

आणि कॉन्फिगरेशन सेव्ह करा.

याशिवाय, बॉर्डर राउटर इंटरफेसवर जिथे बाह्य पत्ता gw.abc.ru दिला जातो, udp/1194 पॅकेट्स पास करण्याची परवानगी देणे आवश्यक आहे.

संस्थेकडे कडक सुरक्षा नियम असल्यास, आमच्या VPN सर्व्हरवर फायरवॉल देखील कॉन्फिगर करणे आवश्यक आहे. माझ्या मते, iptables FORWARD चेन सेट करून सर्वात मोठी लवचिकता प्रदान केली जाते, जरी त्यांना सेट करणे कमी सोयीचे आहे. त्यांना सेट करण्याबद्दल थोडे अधिक. हे करण्यासाठी, "थेट नियम" वापरणे सर्वात सोयीचे आहे - थेट नियम, फाइलमध्ये संग्रहित /etc/firewalld/direct.xml. नियमांचे वर्तमान कॉन्फिगरेशन खालीलप्रमाणे आढळू शकते:

$ sudo firewall-cmd --direct --get-all-rule

फाइल बदलण्यापूर्वी, तिची बॅकअप प्रत तयार करा:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

फाइलची अंदाजे सामग्री आहेतः

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

स्पष्टीकरण

हे मूलत: नियमित iptables नियम आहेत, अन्यथा firewalld च्या आगमनानंतर पॅकेज केलेले.

डीफॉल्ट सेटिंग्जसह गंतव्य इंटरफेस tun0 आहे आणि बोगद्यासाठी बाह्य इंटरफेस भिन्न असू शकतो, उदाहरणार्थ, ens192, वापरलेल्या प्लॅटफॉर्मवर अवलंबून.

शेवटची ओळ टाकलेली पॅकेट लॉगिंग करण्यासाठी आहे. कार्य करण्यासाठी लॉगिंग करण्यासाठी, तुम्हाला फायरवॉल कॉन्फिगरेशनमधील डीबग पातळी बदलण्याची आवश्यकता आहे:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

सेटिंग्ज पुन्हा वाचण्यासाठी सेटिंग्ज लागू करणे ही नेहमीची फायरवॉल कमांड आहे:

$ sudo firewall-cmd --reload

तुम्ही खाली पडलेली पॅकेट याप्रमाणे पाहू शकता:

grep forward_fw /var/log/messages

पुढे काय

हे सेटअप पूर्ण करते!

क्लायंटच्या बाजूला क्लायंट सॉफ्टवेअर स्थापित करणे, प्रोफाइल आयात करणे आणि कनेक्ट करणे बाकी आहे. विंडोज ऑपरेटिंग सिस्टमसाठी, वितरण किट वर स्थित आहे विकसक वेबसाइट.

शेवटी, आम्ही आमच्या नवीन सर्व्हरला मॉनिटरिंग आणि संग्रहण प्रणालीशी जोडतो आणि नियमितपणे अद्यतने स्थापित करण्यास विसरू नका.

स्थिर कनेक्शन!

स्त्रोत: www.habr.com