ကိစ္စတွေ

မကြာသေးမီကပင် လူအများသည် အိမ်မှအလုပ်လုပ်ရပုံကို မသိကြပေ။ ကပ်ရောဂါသည် ကမ္ဘာကြီး၏အခြေအနေများကို သိသိသာသာပြောင်းလဲစေခဲ့သည်၊ လူတိုင်းသည် အိမ်မှထွက်ခွာရန် ရိုးရှင်းစွာမလုံခြုံတော့သည့်အချက်ကြောင့် လက်ရှိအခြေအနေများနှင့် လိုက်လျောညီထွေဖြစ်အောင်စပြုလာကြသည်။ ပြီးတော့ တော်တော်များများက သူတို့ရဲ့ ဝန်ထမ်းတွေအတွက် အိမ်ကနေ အလုပ်တွေကို အမြန်စီစဉ်ရတယ်။

သို့သော်၊ အဝေးထိန်းအလုပ်အတွက် ဖြေရှင်းချက်ရွေးချယ်ရန် အရည်အချင်းပြည့်မီသော ချဉ်းကပ်မှု မရှိခြင်းသည် နောက်ပြန်မဆုတ်နိုင်သော ဆုံးရှုံးမှုများဆီသို့ ဦးတည်သွားစေနိုင်သည်။ အသုံးပြုသူ စကားဝှက်များ ခိုးယူခံရနိုင်ပြီး ၎င်းသည် တိုက်ခိုက်သူအား လုပ်ငန်း၏ ကွန်ရက်နှင့် အိုင်တီအရင်းအမြစ်များသို့ ထိန်းချုပ်မရဘဲ ချိတ်ဆက်နိုင်စေမည်ဖြစ်သည်။

ထို့ကြောင့် ယုံကြည်စိတ်ချရသော ကော်ပိုရိတ် VPN ကွန်ရက်များ ဖန်တီးရန် လိုအပ်လာနေပြီဖြစ်သည်။ အကြောင်းပြောပြမယ်။ စိတ်ချရသော, အန္တရာယ်ကင်း и လွယ်ကူသော VPN ကွန်ရက်ကို အသုံးပြုခြင်း။

၎င်းသည် ဖောက်သည်များကို စစ်မှန်ကြောင်းအထောက်အထားပြသရန် တိုကင်များပေါ်တွင်သိမ်းဆည်းထားသော သော့များနှင့် လက်မှတ်များကို ပြန်လည်ရယူ၍မရသော သော့များနှင့် လက်မှတ်များကို အသုံးပြုကာ IPsec/L2TP အစီအစဉ်အတိုင်း လုပ်ဆောင်ကာ ဒေတာများကို ကုဒ်ဝှက်ထားသောပုံစံဖြင့် ကွန်ရက်ကို ပို့လွှတ်ပါသည်။

CentOS 7 ပါသည့် ဆာဗာ (လိပ်စာ- centos.vpn.server.ad) နှင့် Ubuntu 20.04 ပါသော ကလိုင်းယင့်အပြင် Windows 10 ပါသော ကလိုင်းယင့်ကို သရုပ်ဖော်ခြင်းအတွက် အတိုကောက်အဖြစ် အသုံးပြုခဲ့သည်။

စနစ်ဖော်ပြချက်

VPN သည် IPSec + L2TP + PPP အစီအစဉ်အတိုင်း အလုပ်လုပ်ပါမည်။ ပရိုတိုကော Point-to-Point Protocol (PPP) OSI မော်ဒယ်၏ ဒေတာလင့်ခ်အလွှာတွင် လုပ်ဆောင်ပြီး အသုံးပြုသူ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့် ကုဒ်ဝှက်ခြင်းတို့ကို ပံ့ပိုးပေးပါသည်။ ၎င်း၏ဒေတာကို VPN ကွန်ရက်အတွင်း ချိတ်ဆက်မှုဖန်တီးမှုကို အမှန်တကယ်သေချာစေသည့် L2TP ပရိုတိုကော၏ဒေတာတွင် ထုပ်ပိုးထားသော်လည်း အထောက်အထားစိစစ်ခြင်းနှင့် ကုဒ်ဝှက်ခြင်းတို့ကို မပေးဆောင်ပါ။

L2TP ဒေတာကို အထောက်အထားစိစစ်ခြင်းနှင့် ကုဒ်ဝှက်ခြင်းတို့ကိုလည်း ပံ့ပိုးပေးသည့် IPSec တွင် ထုပ်ပိုးထားသော်လည်း PPP နှင့်မတူဘဲ၊ အသုံးပြုသူအဆင့်တွင်မဟုတ်ဘဲ စက်ပစ္စည်းအဆင့်တွင် အထောက်အထားပြခြင်းနှင့် ကုဒ်ဝှက်ခြင်းမှာ ဖြစ်ပေါ်ပါသည်။

ဤအင်္ဂါရပ်သည် သင့်အား အချို့သောစက်ပစ္စည်းများမှ သုံးစွဲသူများကိုသာ စစ်မှန်ကြောင်းအထောက်အထားပြနိုင်စေပါသည်။ ကျွန်ုပ်တို့သည် ၎င်းကဲ့သို့ IPSec ပရိုတိုကောကို အသုံးပြုမည်ဖြစ်ပြီး မည်သည့်စက်ပစ္စည်းမှမဆို အသုံးပြုသူ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ခွင့်ပြုပါမည်။

စမတ်ကတ်များကို အသုံးပြု၍ အသုံးပြုသူ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို EAP-TLS ပရိုတိုကောကို အသုံးပြု၍ PPP ပရိုတိုကောအဆင့်တွင် လုပ်ဆောင်မည်ဖြစ်သည်။

ဤဆားကစ်၏လည်ပတ်မှုနှင့်ပတ်သက်သော အသေးစိတ်အချက်အလက်များကို တွင်ကြည့်ရှုနိုင်ပါသည်။ ဤဆောင်းပါးတွင်.

ဤအစီအစဥ်သည် ကောင်းမွန်သော VPN ကွန်ရက်တစ်ခု၏ လိုအပ်ချက်သုံးခုလုံးကို အဘယ်ကြောင့်ပြည့်မီသနည်း။

1. ဤအစီအစဥ်၏ ယုံကြည်စိတ်ချရမှုကို အချိန်အားဖြင့် စမ်းသပ်ပြီးဖြစ်သည်။ ၎င်းကို 2000 ခုနှစ်ကတည်းက VPN ကွန်ရက်များကို အသုံးချရန် အသုံးပြုခဲ့သည်။
2. လုံခြုံသောအသုံးပြုသူ စစ်မှန်ကြောင်းအထောက်အထားကို PPP ပရိုတိုကောမှ ပံ့ပိုးပေးပါသည်။ Paul Mackerras မှ ဖန်တီးထားသော PPP ပရိုတိုကော၏ စံအကောင်အထည်ဖော်မှု လုံလောက်သော လုံခြုံရေးအဆင့်ကို မပေးနိုင်သောကြောင့်၊ အထောက်အထားစိစစ်ခြင်းအတွက်၊ အကောင်းဆုံးအခြေအနေတွင်၊ အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်ကိုအသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို အသုံးပြုပါသည်။ အကောင့်ဝင်စကားဝှက်ကို သူလျှိုနိုင်၊ ခန့်မှန်းနိုင် သို့မဟုတ် ခိုးယူနိုင်သည်ကို ကျွန်ုပ်တို့အားလုံးသိပါသည်။ သို့သော် ယခု developer သည် အချိန်ကြာမြင့်နေပြီဖြစ်သည်။ Jan Just Keijser в ၎င်း၏အကောင်အထည်ဖော်မှု ဤပရိုတိုကောသည် ဤပြဿနာကို ပြုပြင်ပြီး EAP-TLS ကဲ့သို့ အချိုးမညီသော ကုဒ်ဝှက်ခြင်းအပေါ် အခြေခံ၍ ပရိုတိုကောများကို အသုံးပြုနိုင်သည့် စွမ်းရည်ကို သက်သေပြရန် ပေါင်းထည့်ထားသည်။ ထို့အပြင် ၎င်းက စမတ်ကတ်များကို အထောက်အထားစိစစ်ခြင်းအတွက် အသုံးပြုနိုင်သည့် စွမ်းရည်ကိုလည်း ထည့်သွင်းထားပြီး ယင်းစနစ်သည် ပိုမိုလုံခြုံစေပါသည်။
   လက်ရှိတွင်၊ ဤပရောဂျက်နှစ်ခုကို ပေါင်းစည်းရန် တက်ကြွသော စေ့စပ်ညှိနှိုင်းမှုများ လုပ်ဆောင်နေပြီး မကြာမီ သို့မဟုတ် နောက်ပိုင်းတွင် မည်သို့ပင်ဖြစ်မည်ကို သေချာစေနိုင်ပါသည်။ ဥပမာအားဖြင့်၊ အထောက်အထားစိစစ်ခြင်းအတွက် လုံခြုံသောပရိုတိုကောများကို အသုံးပြု၍ PPP ၏ ဖာထေးထားသောဗားရှင်းသည် Fedora သိုလှောင်နေရာများတွင် အချိန်အတော်ကြာနေခဲ့သည်။
3. မကြာသေးမီအချိန်အထိ ဤကွန်ရက်ကို Windows အသုံးပြုသူများသာ အသုံးပြုနိုင်သော်လည်း မော်စကိုပြည်နယ် တက္ကသိုလ် Vasily Shokov နှင့် Alexander Smirnov တို့မှ လုပ်ဖော်ကိုင်ဖက်များက တွေ့ရှိခဲ့သည်။ Linux အတွက် L2TP client ပရောဂျက်ဟောင်း ပြုပြင်မွမ်းမံပါ။ ကျွန်ုပ်တို့သည် သုံးစွဲသူ၏အလုပ်တွင် ချို့ယွင်းချက်များစွာကို အတူတကွပြင်ဆင်ပြီး အရင်းအမြစ်မှတည်ဆောက်သည့်အခါတွင်ပင် စနစ်၏ထည့်သွင်းမှုနှင့် ဖွဲ့စည်းမှုကို ရိုးရှင်းစေသည်။ ၎င်းတို့ထဲမှ အထူးခြားဆုံးမှာ-
   • openssl နှင့် qt ဗားရှင်းအသစ်များ၏ interface ဖြင့် client အဟောင်း၏ လိုက်ဖက်ညီသော ပြဿနာများကို ဖြေရှင်းပေးသည်။
   • ယာယီဖိုင်တစ်ခုမှတစ်ဆင့် တိုကင် PIN ကိုဖြတ်သန်းခြင်းမှ pppd ကို ဖယ်ရှားခဲ့သည်။
   • ဂရပ်ဖစ်အင်တာဖေ့စ်မှတဆင့် စကားဝှက်တောင်းဆိုမှုပရိုဂရမ်၏ မှားယွင်းစွာဖွင့်ခြင်းကို ပြုပြင်ခဲ့သည်။ xl2tpd ဝန်ဆောင်မှုအတွက် မှန်ကန်သောပတ်ဝန်းကျင်ကို ထည့်သွင်းခြင်းဖြင့် ၎င်းကို လုပ်ဆောင်ခဲ့ခြင်းဖြစ်သည်။
   • L2tpIpsecVpn daemon ၏တည်ဆောက်မှုသည် တည်ဆောက်မှုနှင့် ဖွဲ့စည်းမှုလုပ်ငန်းစဉ်ကို ရိုးရှင်းလွယ်ကူစေသည့် client ကိုယ်တိုင်၏တည်ဆောက်မှုနှင့်အတူ ယခုဆောင်ရွက်ပါသည်။
   • ဖွံ့ဖြိုးတိုးတက်မှုလွယ်ကူစေရန်အတွက် Azure Pipelines စနစ်သည် တည်ဆောက်မှု၏မှန်ကန်မှုကို စမ်းသပ်ရန် ချိတ်ဆက်ထားသည်။
   • အဆင့်နှိမ့်ချရန် စွမ်းရည်ကို ထည့်သွင်းထားသည်။ လုံခြုံရေးအဆင့်ကို openssl ၏အခြေအနေတွင်။ ဤအဆင့်၏ လုံခြုံရေးလိုအပ်ချက်များနှင့် မကိုက်ညီသော လက်မှတ်များကို အသုံးပြုသည့် VPN ကွန်ရက်များဖြင့် စံလုံခြုံရေးအဆင့် 2 သို့ သတ်မှတ်ထားသည့် လည်ပတ်မှုစနစ်အသစ်များကို မှန်ကန်စွာပံ့ပိုးပေးရန်အတွက် ၎င်းသည် အသုံးဝင်သည်။ လက်ရှိ VPN ကွန်ရက်ဟောင်းများနှင့် လုပ်ဆောင်ရန်အတွက် ဤရွေးချယ်မှုသည် အသုံးဝင်ပါလိမ့်မည်။

ပြုပြင်ထားသော ဗားရှင်းကို တွင် တွေ့နိုင်ပါသည်။ ဒီသိုလှောင်မှု.

ဤကလိုင်းယင့်သည် အထောက်အထားစိစစ်ခြင်းအတွက် စမတ်ကတ်များအသုံးပြုခြင်းကို ပံ့ပိုးပေးသည့်အပြင် Linux အောက်တွင် ဤအစီအစဉ်ကို စတင်သတ်မှတ်ရာတွင် အခက်အခဲများနှင့် အခက်အခဲအားလုံးကို တတ်နိုင်သမျှ ဖုံးကွယ်ထားကာ ကလိုင်းယင့်စနစ်ထည့်သွင်းမှုကို ရိုးရှင်းပြီး မြန်နိုင်သမျှမြန်အောင် ပြုလုပ်ထားသည်။

ဟုတ်ပါတယ်၊ PPP နှင့် client GUI အကြားအဆင်ပြေသောချိတ်ဆက်မှုအတွက်၊ ပရောဂျက်တစ်ခုစီအတွက် ထပ်လောင်းတည်းဖြတ်မှုများမပါဘဲ မဖြစ်နိုင်သော်လည်း ၎င်းတို့ကို အနိမ့်ဆုံးသို့လျှော့ချလိုက်သည်-

• သတ်မှတ်ထားတဲ့ PPP မှ တိုကင် PIN ကုဒ်ကို openssl အကြောင်းအရာသို့ မှားယွင်းစွာ ထပ်ဆင့်ပို့ခြင်း၏ အမှား
• သတ်မှတ်ထားတဲ့ configuration ကို loading နှင့် openssl context ကိုစတင်ခြင်း၏အစီအစဥ်တွင်အမှားအယွင်းရှိသည်။. ဤအမှားသည် ကျွန်ုပ်တို့အား စမတ်ကတ်များနှင့် လုပ်ဆောင်ရန်အတွက် ကြီးမားသော အဆင်မပြေမှုဖြစ်သည့် openssl အင်ဂျင်များအကြောင်း အချက်အလက်မှလွဲ၍ ဒေသဆိုင်ရာ /etc/ppp/openssl.cnf ဖွဲ့စည်းမှုဖိုင်မှ မည်သည့်အရာကိုမျှ တင်ခွင့်မပြုခဲ့ပါ၊ အခြားတစ်ခုခုကို သတ်မှတ်ချင်သည်။ ဥပမာအားဖြင့်၊ ချိတ်ဆက်မှုတစ်ခုတည်ဆောက်သည့်အခါ လုံခြုံရေးအဆင့်ကို ပြင်ဆင်ပါ။

ယခု သင် စတင်သတ်မှတ်နိုင်ပါပြီ။

Server Tuning

လိုအပ်သော package များအားလုံးကို ထည့်သွင်းလိုက်ရအောင်။

strongswan (IPsec) ကို ထည့်သွင်းခြင်း

ပထမဆုံးအနေနဲ့ ipsec လုပ်ဆောင်ချက်အတွက် firewall ကို configure လုပ်ကြည့်ရအောင်

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

ပြီးရင် installation ကိုစလိုက်ရအောင်

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

တပ်ဆင်ပြီးနောက်၊ သင်သည် strongswan (IPSec အကောင်အထည်ဖော်မှုများထဲမှတစ်ခု) ကို configure လုပ်ရန် လိုအပ်သည်။ ဒီလိုလုပ်ဖို့၊ ဖိုင်ကိုတည်းဖြတ်ပါ။ /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

ဘုံဝင်ရန် စကားဝှက်ကိုလည်း ကျွန်ုပ်တို့ သတ်မှတ်ပါမည်။ စစ်မှန်ကြောင်းအထောက်အထားပြရန်အတွက် မျှဝေထားသော စကားဝှက်ကို ကွန်ရက်ပါဝင်သူအားလုံး သိရပါမည်။ ဒီနည်းလမ်းက သိသိသာသာကို စိတ်မချရတာကြောင့်ပါ။ ဤစကားဝှက်သည် ကွန်ရက်သို့ဝင်ရောက်ခွင့်မပေးလိုသော လူတစ်ဦးချင်းစီအား အလွယ်တကူသိနိုင်သည်။
သို့သော်၊ ဤအချက်သည်ပင်လျှင် ကွန်ရက်၏လုံခြုံရေးကို ထိခိုက်မည်မဟုတ်သောကြောင့်ဖြစ်သည်။ အခြေခံဒေတာ ကုဒ်ဝှက်ခြင်းနှင့် အသုံးပြုသူ စစ်မှန်ကြောင်း သက်သေပြခြင်းကို PPP ပရိုတိုကောက ဆောင်ရွက်ပါသည်။ သို့သော် တရားမျှတမှုအရ၊ Strongswan သည် အထောက်အထားစိစစ်ခြင်းအတွက် ပိုမိုလုံခြုံသောနည်းပညာများကို ပံ့ပိုးပေးသည်၊ ဥပမာအားဖြင့်၊ လျှို့ဝှက်သော့များကိုသုံး၍ မှန်ကန်ကြောင်း သတိပြုသင့်သည်။ Strongswan သည် စမတ်ကတ်များကို အသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားပြနိုင်သော်လည်း ယခုအချိန်အထိ အကန့်အသတ်ရှိသော စက်ပစ္စည်းများကိုသာ ပံ့ပိုးပေးထားပြီး ထို့ကြောင့် Rutoken တိုကင်များနှင့် စမတ်ကတ်များကို အသုံးပြု၍ စစ်မှန်ကြောင်းအတည်ပြုရန်မှာ ခက်ခဲနေဆဲဖြစ်သည်။ ဖိုင်မှတစ်ဆင့် ယေဘူယျစကားဝှက်တစ်ခုကို သတ်မှတ်ကြပါစို့ /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

strongswan ကို ပြန်လည်စတင်ကြပါစို့။

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tp ကို ထည့်သွင်းခြင်း။

sudo dnf install xl2tpd

ဖိုင်မှတဆင့် configure လုပ်ကြရအောင် /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

ဝန်ဆောင်မှုကို ပြန်လည်စတင်ကြပါစို့။

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

PPP စနစ်ထည့်သွင်းခြင်း။

pppd ၏ နောက်ဆုံးထွက်ဗားရှင်းကို ထည့်သွင်းရန် အကြံပြုလိုပါသည်။ ဒါကိုလုပ်ဖို့၊ အောက်ပါ command တွေရဲ့ sequence ကို execute လုပ်ပါ။

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

ဖိုင်သို့စာရေးပါ။ /etc/ppp/options.xl2tpd အောက်ပါတို့ (ထိုနေရာတွင် တန်ဖိုးများရှိပါက ၎င်းတို့ကို ဖျက်နိုင်သည်)။

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

ကျွန်ုပ်တို့သည် root လက်မှတ်နှင့် ဆာဗာအသိအမှတ်ပြုလက်မှတ်ကို ထုတ်ပေးသည်-

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

ထို့ကြောင့် ကျွန်ုပ်တို့သည် အခြေခံဆာဗာ တပ်ဆင်မှုဖြင့် ပြီးပါပြီ။ ကျန်ဆာဗာပုံစံဖွဲ့စည်းမှုတွင် ဖောက်သည်အသစ်များကို ထည့်သွင်းခြင်းပါဝင်သည်။

ကလိုင်းယင့်အသစ်ကို ထည့်နေသည်။

ကွန်ရက်သို့ ကလိုင်းယင့်အသစ်တစ်ခုထည့်ရန်၊ ဤကလိုင်းယင့်အတွက် ယုံကြည်စိတ်ချရသောစာရင်းတွင် ၎င်း၏အသိအမှတ်ပြုလက်မှတ်ကို ထည့်ရပါမည်။

အသုံးပြုသူတစ်ဦးသည် VPN ကွန်ရက်၏အဖွဲ့ဝင်ဖြစ်လိုပါက၊ သူသည် ဤကလိုင်းယင့်အတွက် သော့တွဲတစ်ခုနှင့် လက်မှတ်အပလီကေးရှင်းတစ်ခုကို ဖန်တီးပေးသည်။ အသုံးပြုသူက ယုံကြည်ပါက၊ ဤအပလီကေးရှင်းကို လက်မှတ်ရေးထိုးနိုင်ပြီး ရရှိလာသော လက်မှတ်ကို လက်မှတ်များလမ်းညွှန်သို့ စာရေးနိုင်သည်-

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

ကလိုင်းယင့်အမည်နှင့် ၎င်း၏အသိအမှတ်ပြုလက်မှတ်နှင့် ကိုက်ညီရန် /etc/ppp/eaptls-server ဖိုင်သို့ လိုင်းတစ်ခုထည့်ကြပါစို့။

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

မှတ်စု
ရှုပ်ထွေးမှုကို ရှောင်ရှားရန်၊ ဘုံအမည်၊ လက်မှတ်ဖိုင်အမည်နှင့် အသုံးပြုသူအမည်သည် သီးသန့်ဖြစ်ရန် ပိုကောင်းသည်။

ကျွန်ုပ်တို့ထည့်သွင်းနေသောအသုံးပြုသူ၏အမည်သည် အခြားအထောက်အထားစိစစ်ခြင်းဖိုင်များတွင် မည်သည့်နေရာတွင်မှမပေါ်ကြောင်းကိုလည်း စစ်ဆေးရသင့်ပြီး မဟုတ်ပါက အသုံးပြုသူအား စစ်မှန်ကြောင်းအထောက်အထားပြသည့်နည်းလမ်းနှင့် ပြဿနာများရှိမည်ဖြစ်သည်။

တူညီသောလက်မှတ်ကို အသုံးပြုသူထံ ပြန်လည်ပေးပို့ရပါမည်။

သော့တွဲနှင့် လက်မှတ်ထုတ်ပေးခြင်း။

အောင်မြင်သော စစ်မှန်ကြောင်းအထောက်အထားအတွက်၊ ကလိုင်းယင့်သည်-

1. သော့တွဲတစ်ခု ဖန်တီးပါ။
2. CA root လက်မှတ်တစ်ခုရှိသည်။
3. root CA မှ လက်မှတ်ထိုးထားသော သင်၏သော့အတွဲအတွက် လက်မှတ်တစ်ခုရှိသည်။

Linux ရှိ client အတွက်

ဦးစွာ၊ တိုကင်တွင် သော့တွဲတစ်ခုကို ထုတ်ပေးပြီး လက်မှတ်အတွက် အပလီကေးရှင်းတစ်ခုကို ဖန်တီးကြပါစို့။

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

CA သို့ပေါ်လာသော client.req အပလီကေးရှင်းကို ပေးပို့ပါ။ သင့်သော့အတွဲအတွက် လက်မှတ်တစ်ခုရရှိပြီးသည်နှင့် ၎င်းကို သော့ကဲ့သို့ တူညီသော ID ပါသည့် တိုကင်တစ်ခုသို့ ရေးလိုက်ပါ-

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

Windows နှင့် Linux ဖောက်သည်များအတွက် (ပိုမို universal နည်းလမ်း)

ဤနည်းလမ်းသည် ပို၍ သာလွန်ကောင်းမွန်သောကြောင့်ဖြစ်သည်။ Windows နှင့် Linux အသုံးပြုသူများ အောင်မြင်စွာ အသိအမှတ်ပြုခံရမည့် သော့နှင့် လက်မှတ်ကို ထုတ်ပေးရန် သင့်အား ခွင့်ပြုသော်လည်း သော့ထုတ်လုပ်ခြင်းလုပ်ငန်းစဉ်ကို လုပ်ဆောင်ရန်အတွက် ၎င်းသည် Windows စက်တစ်ခု လိုအပ်ပါသည်။

တောင်းဆိုမှုများမပြုလုပ်မီ အသိအမှတ်ပြုလက်မှတ်များ မတင်သွင်းမီ၊ သင်သည် ယုံကြည်ရသောစာရင်းတွင် VPN ကွန်ရက်၏ အမြစ်အသိအမှတ်ပြုလက်မှတ်ကို ပေါင်းထည့်ရပါမည်။ ဒါကိုလုပ်ဖို့၊ အဲဒါကိုဖွင့်ပြီး ပွင့်လာတဲ့ ဝင်းဒိုးထဲမှာ၊ “Install certificate” option ကို ရွေးပါ-

ဖွင့်သည့်ဝင်းဒိုးတွင်၊ ဒေသခံအသုံးပြုသူအတွက် လက်မှတ်တစ်ခုထည့်သွင်းခြင်းကို ရွေးပါ-

CA ၏ ယုံကြည်စိတ်ချရသော root လက်မှတ်စတိုးတွင် လက်မှတ်ကို ထည့်သွင်းကြပါစို့။

ဤလုပ်ဆောင်ချက်များအားလုံးပြီးနောက်၊ ကျွန်ုပ်တို့သည် နောက်ထပ်အချက်အားလုံးကို သဘောတူပါသည်။ စနစ်ကို ယခု ပြင်ဆင်ပြီးပါပြီ။

အောက်ပါအကြောင်းအရာများဖြင့် cert.tmp ဖိုင်တစ်ခုကို ဖန်တီးကြပါစို့။

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

၎င်းပြီးနောက်၊ ကျွန်ုပ်တို့သည် သော့တွဲတစ်ခုကို ထုတ်ပေးပြီး လက်မှတ်အတွက် အပလီကေးရှင်းတစ်ခုကို ဖန်တီးပါမည်။ ဒါကိုလုပ်ဖို့ powershell ကိုဖွင့်ပြီး အောက်ပါ command ကိုရိုက်ထည့်ပါ။

certreq.exe -new -pin $PIN .cert.tmp .client.req

ဖန်တီးထားသော အပလီကေးရှင်း client.req ကို သင်၏ CA သို့ ပေးပို့ပြီး client.pem လက်မှတ်ကို လက်ခံရရှိရန် စောင့်ပါ။ ၎င်းကို တိုကင်တစ်ခုသို့ စာရေးနိုင်ပြီး အောက်ပါ command ကို အသုံးပြု၍ Windows လက်မှတ်စတိုးသို့ ထည့်နိုင်သည်။

certreq.exe -accept .client.pem

mmc ပရိုဂရမ်၏ ဂရပ်ဖစ်အင်တာဖေ့စ်ကို အသုံးပြု၍ အလားတူလုပ်ဆောင်ချက်များကို ပြန်လည်ထုတ်လုပ်နိုင်သော်လည်း ဤနည်းလမ်းသည် အချိန်ပိုကုန်ပြီး ပရိုဂရမ်မာမှုနည်းပါးကြောင်း သတိပြုသင့်သည်။

Ubuntu client ကို စနစ်ထည့်သွင်းခြင်း။

မှတ်စု
Linux တွင် client တစ်ခုတည်ဆောက်ခြင်းသည် လောလောဆယ် အချိန်ကုန်သောကြောင့်... အရင်းအမြစ်မှ သီးခြားပရိုဂရမ်များကို တည်ဆောက်ရန် လိုအပ်သည်။ မဝေးတော့သောအနာဂတ်တွင် တရားဝင်သိမ်းဆည်းထားသောနေရာများတွင် အပြောင်းအလဲများအားလုံးပါဝင်ကြောင်း သေချာစေရန် ကျွန်ုပ်တို့ကြိုးစားပါမည်။

ဆာဗာသို့ IPSec အဆင့်တွင် ချိတ်ဆက်မှုသေချာစေရန်၊ strongswan package နှင့် xl2tp daemon ကိုအသုံးပြုသည်။ စမတ်ကတ်များကို အသုံးပြု၍ ကွန်ရက်သို့ ချိတ်ဆက်ရာတွင် ရိုးရှင်းစေရန်၊ ရိုးရှင်းသော ချိတ်ဆက်မှု စနစ်ထည့်သွင်းမှုအတွက် ဂရပ်ဖစ်ရှဲလ်ကို ပံ့ပိုးပေးသည့် l2tp-ipsec-vpn ပက်ကေ့ဂျ်ကို အသုံးပြုပါမည်။

အဆင့်တစ်ဆင့်ပြီးတစ်ဆင့် အစိတ်အပိုင်းများကို စတင်စုစည်းကြပါစို့၊ သို့သော် ၎င်းမတိုင်မီတွင် ကျွန်ုပ်တို့သည် VPN တိုက်ရိုက်အလုပ်လုပ်ရန်အတွက် လိုအပ်သော ပက်ကေ့ဂျ်များအားလုံးကို ထည့်သွင်းပါမည်။

sudo apt-get install xl2tpd strongswan libp11-3

တိုကင်များနှင့် အလုပ်လုပ်ရန်အတွက် ဆော့ဖ်ဝဲကို ထည့်သွင်းခြင်း။

နောက်ဆုံးပေါ် librtpkcs11ecp.so စာကြည့်တိုက်ကို ထည့်သွင်းပါ။ site ကိုစမတ်ကတ်များဖြင့် လုပ်ဆောင်ရန်အတွက်လည်း စာကြည့်တိုက်များ-

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Rutoken ကို ချိတ်ဆက်ပြီး စနစ်က အသိအမှတ်ပြုကြောင်း စစ်ဆေးပါ။

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

ဖာထေးထားသော ppp ကို ထည့်သွင်းခြင်း။

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

L2tpIpsecVpn ကလိုင်းယင့်ကို ထည့်သွင်းခြင်း။

လောလောဆယ်တွင်၊ client သည်လည်း source code မှ compiled လိုအပ်ပါသည်။ ၎င်းကို အောက်ပါ command များ၏ sequence ကို အသုံးပြု၍ လုပ်ဆောင်သည် ။

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

L2tpIpsecVpn ကလိုင်းယင့်ကို စနစ်ထည့်သွင်းခြင်း။

ထည့်သွင်းထားသော client ကိုဖွင့်ပါ-

စတင်ပြီးနောက်၊ L2tpIpsecVPN applet ကိုဖွင့်သင့်သည်။ ၎င်းပေါ်တွင် right-click နှိပ်ပြီး connection ကို configure လုပ်ပါ။

တိုကင်များနှင့်အလုပ်လုပ်ရန်၊ ဦးစွာ၊ ကျွန်ုပ်တို့သည် OpenSSL အင်ဂျင်နှင့် PKCS#11 စာကြည့်တိုက်၏ opensc အင်ဂျင်ဆီသို့ လမ်းကြောင်းကိုညွှန်ပြပါသည်။ ၎င်းကိုလုပ်ဆောင်ရန် openssl ဘောင်များကို configure လုပ်ရန် "Preferences" tab ကိုဖွင့်ပါ။

.

OpenSSL ဆက်တင်ဝင်းဒိုးကိုပိတ်ပြီး ကွန်ရက်ကိုစဖွင့်သတ်မှတ်ရန် ရှေ့ဆက်ကြပါစို့။ ဆက်တင်များဘောင်ရှိ Add... ခလုတ်ကို နှိပ်ပြီး ကွန်ရက်အမည်ကို ရိုက်ထည့်ခြင်းဖြင့် ကွန်ရက်အသစ်တစ်ခုကို ပေါင်းထည့်ကြပါစို့။

၎င်းပြီးနောက်၊ ဤကွန်ရက်ကို ဆက်တင်အကန့်တွင် ရနိုင်ပါမည်။ ၎င်းကို စီစဉ်သတ်မှတ်ရန် ကွန်ရက်အသစ်ပေါ်တွင် ညာဖက်နှစ်ချက်နှိပ်ပါ။ ပထမတက်ဘ်တွင် သင်သည် IPsec ဆက်တင်များကို ပြုလုပ်ရန် လိုအပ်သည်။ ဆာဗာလိပ်စာနှင့် အများသူငှာသော့ကို သတ်မှတ်ကြပါစို့။

၎င်းပြီးနောက်၊ PPP ဆက်တင်တက်ဘ်သို့သွား၍ ကျွန်ုပ်တို့ကွန်ရက်ကိုဝင်ရောက်လိုသည့် သုံးစွဲသူအမည်ကို ထိုနေရာတွင် ညွှန်ပြပါ-

၎င်းပြီးနောက်၊ Properties တက်ဘ်ကိုဖွင့်ပြီး သော့၊ client လက်မှတ်နှင့် CA သို့ လမ်းကြောင်းကို သတ်မှတ်ပါ-

ဤတဘ်ကိုပိတ်ပြီး နောက်ဆုံးဆက်တင်များကို လုပ်ဆောင်ကြပါစို့။ ၎င်းကိုလုပ်ဆောင်ရန်၊ "IP ဆက်တင်များ" တက်ဘ်ကိုဖွင့်ပြီး "DNS ဆာဗာလိပ်စာအလိုအလျောက်ရယူရန်" ရွေးချယ်မှုဘေးရှိ အကွက်ကို အမှန်ခြစ်ပါ။

ဤရွေးချယ်မှုသည် သုံးစွဲသူအား ဆာဗာမှ ကွန်ရက်အတွင်း ကိုယ်ပိုင် IP လိပ်စာကို လက်ခံရရှိစေမည်ဖြစ်သည်။

ဆက်တင်များအားလုံးပြီးနောက်၊ တဘ်အားလုံးကိုပိတ်ပြီး ကလိုင်းယင့်ကို ပြန်လည်စတင်ပါ။

ကွန်ယက်သို့ချိတ်ဆက်နေသည်

ဆက်တင်များပြီးနောက်၊ သင်သည် ကွန်ရက်သို့ ချိတ်ဆက်နိုင်သည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ applet တက်ဘ်ကိုဖွင့်ပြီး ကျွန်ုပ်တို့ချိတ်ဆက်လိုသောကွန်ရက်ကို ရွေးချယ်ပါ-

ချိတ်ဆက်မှုတည်ထောင်ခြင်းလုပ်ငန်းစဉ်အတွင်း၊ သုံးစွဲသူသည် ကျွန်ုပ်တို့အား Rutoken PIN ကုဒ်ကို ထည့်သွင်းရန် တောင်းဆိုလိမ့်မည်-

ချိတ်ဆက်မှုကို အောင်မြင်စွာတည်ဆောက်ပြီးသည့် အခြေအနေဘားတွင် အကြောင်းကြားချက်တစ်ခု ပေါ်လာပါက၊ စနစ်ထည့်သွင်းမှု အောင်မြင်သည်ဟု ဆိုလိုသည်-

မဟုတ်ပါက အဘယ်ကြောင့် ချိတ်ဆက်မှုကို မတည်ဆောက်ရသနည်းဆိုသည်ကို အဖြေရှာရကျိုးနပ်ပါသည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ သင်သည် applet ရှိ "Connection information" command ကိုရွေးချယ်ခြင်းဖြင့် program log ကိုကြည့်ရှုသင့်သည်-

Windows client ကို စနစ်ထည့်သွင်းခြင်း။

Windows တွင် client တစ်ခုတည်ဆောက်ခြင်းသည် Linux ထက်ပိုမိုလွယ်ကူသောကြောင့် ... လိုအပ်သော software အားလုံးကို system တွင်ထည့်သွင်းပြီးဖြစ်သည်။

စနစ်ထည့်သွင်းခြင်း။

Rutokens နှင့် အလုပ်လုပ်ရန်အတွက် လိုအပ်သော Driver အားလုံးကို ၎င်းတို့ထံမှ ဒေါင်းလုဒ်လုပ်ပါမည်။ ၏ site.

အထောက်အထားစိစစ်ခြင်းအတွက် အရင်းလက်မှတ်ကို တင်သွင်းခြင်း။

ဆာဗာ root လက်မှတ်ကို ဒေါင်းလုဒ်လုပ်ပြီး စနစ်တွင် ထည့်သွင်းပါ။ ဒါကိုလုပ်ဖို့၊ အဲဒါကိုဖွင့်ပြီး ပွင့်လာတဲ့ ဝင်းဒိုးထဲမှာ၊ “Install certificate” option ကို ရွေးပါ-

ဖွင့်သည့်ဝင်းဒိုးတွင်၊ ဒေသခံအသုံးပြုသူအတွက် လက်မှတ်တစ်ခုထည့်သွင်းခြင်းကို ရွေးချယ်ပါ။ အသိအမှတ်ပြုလက်မှတ်ကို ကွန်ပျူတာပေါ်ရှိ အသုံးပြုသူများအားလုံး ရနိုင်စေလိုပါက၊ ပြည်တွင်းကွန်ပျူတာပေါ်တွင် လက်မှတ်ကို ထည့်သွင်းရန် ရွေးချယ်သင့်သည်-

CA ၏ ယုံကြည်စိတ်ချရသော root လက်မှတ်စတိုးတွင် လက်မှတ်ကို ထည့်သွင်းကြပါစို့။

ဤလုပ်ဆောင်ချက်များအားလုံးပြီးနောက်၊ ကျွန်ုပ်တို့သည် နောက်ထပ်အချက်အားလုံးကို သဘောတူပါသည်။ စနစ်ကို ယခု ပြင်ဆင်ပြီးပါပြီ။

VPN ချိတ်ဆက်မှုကို စနစ်ထည့်သွင်းခြင်း။

VPN ချိတ်ဆက်မှုကို စနစ်ထည့်သွင်းရန်၊ ထိန်းချုပ်မှုဘောင်သို့သွားပြီး ချိတ်ဆက်မှုအသစ်တစ်ခုဖန်တီးရန် ရွေးချယ်စရာကို ရွေးချယ်ပါ။

ပေါ်လာသောဝင်းဒိုးတွင်၊ သင့်လုပ်ငန်းခွင်သို့ချိတ်ဆက်ရန် ချိတ်ဆက်မှုတစ်ခုဖန်တီးရန် ရွေးစရာကိုရွေးချယ်ပါ-

လာမည့်ဝင်းဒိုးတွင်၊ VPN ချိတ်ဆက်မှုကို ရွေးပါ-

VPN ချိတ်ဆက်မှုအသေးစိတ်အချက်အလက်များကို ထည့်သွင်းပြီး စမတ်ကတ်ကို အသုံးပြုရန် ရွေးချယ်ခွင့်ကိုလည်း သတ်မှတ်ပါ-

စနစ်ထည့်သွင်းမှု မပြီးပြတ်သေးပါ။ ကျန်ရှိနေသေးသည်မှာ IPsec ပရိုတိုကောအတွက် မျှဝေထားသောသော့ကို သတ်မှတ်ရန်ဖြစ်သည်၊ ၎င်းကိုလုပ်ဆောင်ရန်၊ "ကွန်ရက်ချိတ်ဆက်မှုဆက်တင်များ" တက်ဘ်သို့သွားကာ "ဤချိတ်ဆက်မှုအတွက် ပိုင်ဆိုင်မှုများ" တက်ဘ်သို့သွားပါ-

ပွင့်လာသောဝင်းဒိုးတွင်၊ "လုံခြုံရေး" တက်ဘ်သို့သွားပါ၊ ကွန်ရက်အမျိုးအစားအဖြစ် "L2TP/IPsec Network" ကိုသတ်မှတ်ပြီး "အဆင့်မြင့်ဆက်တင်များ" ကိုရွေးချယ်ပါ-

ဖွင့်သည့်ဝင်းဒိုးတွင်၊ မျှဝေထားသော IPsec ကီးကို သတ်မှတ်ပါ-

Подключение

စနစ်ထည့်သွင်းမှုပြီးပါက သင်သည် ကွန်ရက်သို့ ချိတ်ဆက်ရန် ကြိုးစားနိုင်သည်-

ချိတ်ဆက်မှုလုပ်ငန်းစဉ်အတွင်း၊ ကျွန်ုပ်တို့သည် တိုကင် PIN ကုဒ်ကို ထည့်သွင်းရန် လိုအပ်ပါမည်-

ကျွန်ုပ်တို့သည် လုံခြုံသော VPN ကွန်ရက်ကို တည်ဆောက်ထားပြီး ၎င်းသည် မခက်ခဲကြောင်း သေချာစေပါသည်။

ကျေးဇူးတင်လွှာ

Linux သုံးစွဲသူများအတွက် VPN ချိတ်ဆက်မှုများကို ရိုးရှင်းလွယ်ကူစေရန် အတူတကွလုပ်ဆောင်ခဲ့သော ကျွန်ုပ်တို့၏လုပ်ဖော်ကိုင်ဖက် Vasily Shokov နှင့် Alexander Smirnov ကို တစ်ဖန်ကျေးဇူးတင်လိုပါသည်။

source: www.habr.com