मुद्दाहरू

भर्खरै, धेरैलाई थाहा थिएन कि यो घरबाट काम गर्न कस्तो हुन्छ। महामारीले संसारको अवस्था नाटकीय रूपमा परिवर्तन गरेको छ, सबैले वर्तमान परिस्थितिमा अनुकूलन गर्न थालेका छन्, अर्थात् यो तथ्यलाई कि यो घर छोड्न मात्र असुरक्षित भएको छ। र धेरैले चाँडै आफ्ना कर्मचारीहरूको लागि घरबाट काम व्यवस्थित गर्नुपर्‍यो।

यद्यपि, टाढाको कामका लागि समाधानहरू छनौट गर्न सक्षम दृष्टिकोणको अभावले अपरिवर्तनीय घाटा निम्त्याउन सक्छ। प्रयोगकर्ता पासवर्डहरू चोरी हुन सक्छ, र यसले आक्रमणकर्तालाई उद्यमको नेटवर्क र IT स्रोतहरूमा अनियन्त्रित रूपमा जडान गर्न अनुमति दिनेछ।

यसैले भरपर्दो कर्पोरेट VPN नेटवर्कहरू सिर्जना गर्ने आवश्यकता अहिले बढेको छ। म तपाईलाई बारेमा बताउनेछु भरपर्दो, सुरक्षित и सरल VPN नेटवर्क प्रयोग गर्दा।

यसले IPsec/L2TP योजना अनुसार काम गर्दछ, जसले ग्राहकहरूलाई प्रमाणिकरण गर्न टोकनहरूमा भण्डारण गरिएका गैर-पुनर्प्राप्तियोग्य कुञ्जीहरू र प्रमाणपत्रहरू प्रयोग गर्दछ, र एन्क्रिप्टेड फारममा नेटवर्कमा डाटा पनि प्रसारण गर्दछ।

CentOS 7 (ठेगाना: centos.vpn.server.ad) भएको सर्भर र Ubuntu 20.04 भएको क्लाइन्ट, साथै Windows 10 भएको क्लाइन्ट, कन्फिगरेसनको लागि प्रदर्शन स्ट्यान्डको रूपमा प्रयोग गरियो।

प्रणाली विवरण

VPN ले IPSec + L2TP + PPP योजना अनुसार काम गर्नेछ। प्रोटोकल पोइन्ट-टू-पोइन्ट प्रोटोकल (पीपीपी) OSI मोडेलको डाटा लिङ्क तहमा सञ्चालन गर्दछ र प्रयोगकर्ता प्रमाणीकरण र प्रसारित डाटाको इन्क्रिप्शन प्रदान गर्दछ। यसको डाटा L2TP प्रोटोकलको डाटामा इन्क्याप्सुलेटेड छ, जसले वास्तवमा VPN नेटवर्कमा जडानको सिर्जना सुनिश्चित गर्दछ, तर प्रमाणीकरण र इन्क्रिप्सन प्रदान गर्दैन।

L2TP डेटा IPSec मा इन्क्याप्सुलेटेड छ, जसले प्रमाणीकरण र इन्क्रिप्सन पनि प्रदान गर्दछ, तर PPP को विपरीत, प्रमाणीकरण र इन्क्रिप्सन यन्त्र स्तरमा हुन्छ, प्रयोगकर्ता स्तरमा होइन।

यो सुविधाले तपाइँलाई केहि उपकरणहरूबाट मात्र प्रयोगकर्ताहरूलाई प्रमाणीकरण गर्न अनुमति दिन्छ। हामी IPSec प्रोटोकल को रूपमा प्रयोग गर्नेछौं र कुनै पनि उपकरणबाट प्रयोगकर्ता प्रमाणीकरण अनुमति दिन्छौं।

स्मार्ट कार्डहरू प्रयोग गरेर प्रयोगकर्ता प्रमाणीकरण PPP प्रोटोकल स्तरमा EAP-TLS प्रोटोकल प्रयोग गरी प्रदर्शन गरिनेछ।

यस सर्किट को सञ्चालन बारे थप विस्तृत जानकारी मा पाउन सकिन्छ यो लेख.

किन यो योजनाले राम्रो VPN नेटवर्कको तीनवटै आवश्यकताहरू पूरा गर्छ?

1. यो योजना को विश्वसनीयता समय द्वारा परीक्षण गरिएको छ। यो 2000 देखि VPN नेटवर्कहरू प्रयोग गर्न प्रयोग गरिएको छ।
2. सुरक्षित प्रयोगकर्ता प्रमाणीकरण PPP प्रोटोकल द्वारा प्रदान गरिएको छ। Paul Macerras द्वारा विकसित PPP प्रोटोकलको मानक कार्यान्वयन सुरक्षाको पर्याप्त स्तर प्रदान गर्दैन, किनभने प्रमाणीकरणको लागि, उत्तम अवस्थामा, लगइन र पासवर्ड प्रयोग गरेर प्रमाणीकरण प्रयोग गरिन्छ। हामी सबैलाई थाहा छ कि लगइन पासवर्ड जासुसी गर्न सकिन्छ, अनुमान लगाउन सकिन्छ वा चोरी गर्न सकिन्छ। तर, अब लामो समयदेखि विकासकर्ता Jan Just Keijser в यसको कार्यान्वयन यो प्रोटोकलले यो मुद्दालाई सच्यायो र प्रमाणीकरणको लागि EAP-TLS जस्ता असिमेट्रिक इन्क्रिप्शनमा आधारित प्रोटोकलहरू प्रयोग गर्ने क्षमता थप्यो। थप रूपमा, उनले प्रमाणीकरणका लागि स्मार्ट कार्डहरू प्रयोग गर्ने क्षमता थपे, जसले प्रणालीलाई अझ सुरक्षित बनाएको छ।
   हाल, यी दुई परियोजनाहरू मर्ज गर्न सक्रिय वार्ताहरू चलिरहेको छ र तपाईं ढिलो वा पछि यो जसरी पनि हुनेछ भनेर निश्चित हुन सक्नुहुन्छ। उदाहरणका लागि, PPP को प्याच गरिएको संस्करण Fedora भण्डारहरूमा लामो समयदेखि रहेको छ, प्रमाणीकरणका लागि सुरक्षित प्रोटोकलहरू प्रयोग गरेर।
3. हालसम्म, यो नेटवर्क विन्डोज प्रयोगकर्ताहरूले मात्र प्रयोग गर्न सक्थे, तर मस्को स्टेट युनिभर्सिटीका हाम्रा सहकर्मी भासिली शोकोभ र अलेक्जेन्डर स्मरनोभले फेला पारे। लिनक्स को लागी पुरानो L2TP ग्राहक परियोजना र परिमार्जन गरे। सँगै, हामीले क्लाइन्टको काममा धेरै बगहरू र कमिहरू फिक्स गर्यौं, स्रोतबाट निर्माण गर्दा पनि प्रणालीको स्थापना र कन्फिगरेसनलाई सरल बनायौं। ती मध्ये सबैभन्दा महत्त्वपूर्ण निम्न हुन्:
   • Openssl र qt को नयाँ संस्करणहरूको इन्टरफेसको साथ पुरानो ग्राहकको स्थिर अनुकूलता समस्याहरू।
   • अस्थायी फाइल मार्फत टोकन PIN पास गर्नबाट pppd हटाइयो।
   • ग्राफिकल इन्टरफेस मार्फत पासवर्ड अनुरोध कार्यक्रम को फिक्स्ड गलत सुरुवात। यो xl2tpd सेवाको लागि सही वातावरण स्थापना गरेर गरिएको थियो।
   • L2tpIpsecVpn डेमनको निर्माण अब क्लाइन्टको निर्माणसँग सँगै गरिन्छ, जसले निर्माण र कन्फिगरेसन प्रक्रियालाई सरल बनाउँछ।
   • विकासको सहजताको लागि, Azure पाइपलाइन प्रणाली निर्माणको शुद्धता परीक्षण गर्न जडान गरिएको छ।
   • बल डाउनग्रेड गर्ने क्षमता थपियो सुरक्षा स्तर openssl को सन्दर्भमा। यो नयाँ अपरेटिङ सिस्टमहरूलाई सही रूपमा समर्थन गर्न उपयोगी छ जहाँ मानक सुरक्षा स्तर 2 मा सेट गरिएको छ, VPN नेटवर्कहरू जसले यस स्तरको सुरक्षा आवश्यकताहरू पूरा नगर्ने प्रमाणपत्रहरू प्रयोग गर्दछ। यो विकल्प अवस्थित पुरानो VPN नेटवर्कहरूसँग काम गर्नको लागि उपयोगी हुनेछ।

सुधारिएको संस्करण मा पाउन सकिन्छ यो भण्डार.

यो क्लाइन्टले प्रमाणीकरणका लागि स्मार्ट कार्डहरूको प्रयोगलाई समर्थन गर्दछ, र लिनक्स अन्तर्गत यो योजना सेटअप गर्ने सबै कठिनाइहरू र कठिनाइहरूलाई लुकाउँछ, ग्राहक सेटअपलाई सकेसम्म सरल र छिटो बनाउँछ।

निस्सन्देह, PPP र ग्राहक GUI बीचको सुविधाजनक जडानको लागि, प्रत्येक परियोजनाहरूमा अतिरिक्त सम्पादनहरू बिना यो सम्भव थिएन, तर तैपनि तिनीहरू न्यूनतम र न्यूनतममा घटाइयो:

• फिक्स PPP बाट openssl सन्दर्भमा टोकन पिन कोड गलत तरिकाले फर्वार्ड गर्दा त्रुटि
• फिक्स कन्फिगरेसन लोड गर्ने र openssl सन्दर्भ सुरु गर्ने क्रममा त्रुटि। यो त्रुटिले हामीलाई स्थानीय /etc/ppp/openssl.cnf कन्फिगरेसन फाइलबाट स्मार्ट कार्डहरूसँग काम गर्नको लागि openssl इन्जिनहरू बारे जानकारी बाहेक केही लोड गर्न अनुमति दिँदैन, जुन गम्भीर असुविधा थियो यदि, उदाहरणका लागि, इन्जिनहरूको बारेमा जानकारीको अतिरिक्त, हामी केहि अर्को सेट गर्न चाहन्थ्यौं। उदाहरणका लागि, जडान स्थापना गर्दा सुरक्षा स्तर ठीक गर्नुहोस्।

अब तपाईं सेटअप सुरु गर्न सक्नुहुन्छ।

सर्भर ट्युनिङ

सबै आवश्यक प्याकेजहरू स्थापना गरौं।

स्ट्रङ्गस्वान (IPsec) स्थापना गर्दै

सबै भन्दा पहिले, ipsec सञ्चालनको लागि फायरवाल कन्फिगर गरौं

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

त्यसपछि स्थापना सुरु गरौं

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

स्थापना पछि, तपाईंले strongswan (IPSec कार्यान्वयन मध्ये एक) कन्फिगर गर्न आवश्यक छ। यो गर्नको लागि, फाइल सम्पादन गर्नुहोस् /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

हामी एक साझा लगइन पासवर्ड पनि सेट गर्नेछौं। साझा पासवर्ड प्रमाणीकरणको लागि सबै नेटवर्क सहभागीहरूलाई थाहा हुनुपर्छ। यो विधि स्पष्ट रूपमा अविश्वसनीय छ, किनभने यो पासवर्ड सजिलैसँग ती व्यक्तिहरूलाई थाहा हुन सक्छ जसलाई हामी नेटवर्कमा पहुँच प्रदान गर्न चाहँदैनौं।
यद्यपि, यस तथ्यले पनि नेटवर्कको सुरक्षालाई असर गर्दैन, किनभने आधारभूत डाटा इन्क्रिप्सन र प्रयोगकर्ता प्रमाणीकरण PPP प्रोटोकल द्वारा गरिन्छ। तर निष्पक्षतामा, यो ध्यान दिन लायक छ कि strongswan प्रमाणीकरण को लागी अधिक सुरक्षित टेक्नोलोजीहरु लाई समर्थन गर्दछ, उदाहरण को लागी, निजी कुञ्जीहरु को उपयोग गरेर। Strongswan सँग स्मार्ट कार्डहरू प्रयोग गरेर प्रमाणीकरण प्रदान गर्ने क्षमता पनि छ, तर अहिलेसम्म सीमित दायराका यन्त्रहरू मात्र समर्थित छन् र त्यसैले Rutoken टोकनहरू र स्मार्ट कार्डहरू प्रयोग गरेर प्रमाणीकरण गर्न अझै गाह्रो छ। फाइल मार्फत सामान्य पासवर्ड सेट गरौं /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

बलियोवान पुन: सुरु गरौं:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tp स्थापना गर्दै

sudo dnf install xl2tpd

फाइल मार्फत कन्फिगर गरौं /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

सेवा पुन: सुरु गरौं:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

पीपीपी सेटअप

यो pppd को नवीनतम संस्करण स्थापना गर्न सल्लाह दिइन्छ। यो गर्नका लागि, आदेशहरूको निम्न अनुक्रम कार्यान्वयन गर्नुहोस्:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

फाइलमा लेख्नुहोस् /etc/ppp/options.xl2tpd निम्न (यदि त्यहाँ कुनै मानहरू छन् भने, तपाइँ तिनीहरूलाई मेटाउन सक्नुहुन्छ):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

हामी रूट प्रमाणपत्र र सर्भर प्रमाणपत्र जारी:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

यसरी, हामीले आधारभूत सर्भर सेटअपको साथ पूरा गरेका छौं। बाँकी सर्भर कन्फिगरेसनमा नयाँ ग्राहकहरू थप्ने समावेश छ।

नयाँ ग्राहक थप्दै

नेटवर्कमा नयाँ क्लाइन्ट थप्नको लागि, तपाईंले यो क्लाइन्टको लागि विश्वसनीय व्यक्तिहरूको सूचीमा यसको प्रमाणपत्र थप्नु पर्छ।

यदि एक प्रयोगकर्ता VPN नेटवर्कको सदस्य बन्न चाहन्छ भने, उसले यो क्लाइन्टको लागि कुञ्जी जोडी र प्रमाणपत्र अनुप्रयोग सिर्जना गर्दछ। यदि प्रयोगकर्ता विश्वसनीय छ भने, यो अनुप्रयोगमा हस्ताक्षर गर्न सकिन्छ, र नतिजा प्रमाणपत्र प्रमाणपत्र निर्देशिकामा लेख्न सकिन्छ:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

ग्राहकको नाम र यसको प्रमाणपत्रसँग मेल खाने /etc/ppp/eaptls-server फाइलमा एउटा लाइन थपौं:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

नोट
भ्रमबाट बच्नको लागि, यो राम्रो छ: सामान्य नाम, प्रमाणपत्र फाइल नाम र प्रयोगकर्ता नाम अद्वितीय हो।

यो पनि जाँच गर्न लायक छ कि हामीले थपेका प्रयोगकर्ताको नाम अन्य प्रमाणीकरण फाइलहरूमा कतै देखा पर्दैन, अन्यथा प्रयोगकर्तालाई प्रमाणीकरण गर्ने तरिकामा समस्या हुनेछ।

उही प्रमाणपत्र प्रयोगकर्तालाई फिर्ता पठाउनुपर्छ।

कुञ्जी जोडी र प्रमाणपत्र उत्पन्न गर्दै

सफल प्रमाणीकरणको लागि, ग्राहकले:

1. एक कुञ्जी जोडी उत्पन्न;
2. CA रूट प्रमाणपत्र छ;
3. रूट CA द्वारा हस्ताक्षर गरिएको तपाईंको कुञ्जी जोडीको लागि प्रमाणपत्र छ।

लिनक्स मा ग्राहक को लागी

पहिले, टोकनमा कुञ्जी जोडा उत्पन्न गरौं र प्रमाणपत्रको लागि एउटा अनुप्रयोग सिर्जना गरौं:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

CA मा देखा पर्ने client.req आवेदन पठाउनुहोस्। एकचोटि तपाईंले आफ्नो कुञ्जी जोडीको लागि प्रमाणपत्र प्राप्त गरेपछि, कुञ्जीको रूपमा उही आईडीको साथ टोकनमा लेख्नुहोस्:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

विन्डोज र लिनक्स क्लाइन्टहरूको लागि (अधिक विश्वव्यापी विधि)

यो विधि अधिक सार्वभौमिक छ, किनभने तपाइँलाई कुञ्जी र प्रमाणपत्र उत्पन्न गर्न अनुमति दिन्छ जुन Windows र Linux प्रयोगकर्ताहरू द्वारा सफलतापूर्वक पहिचान हुनेछ, तर यो कुञ्जी उत्पादन प्रक्रिया पूरा गर्न Windows मेसिन चाहिन्छ।

अनुरोधहरू उत्पन्न गर्नु र प्रमाणपत्रहरू आयात गर्नु अघि, तपाईंले विश्वसनीय व्यक्तिहरूको सूचीमा VPN नेटवर्कको मूल प्रमाणपत्र थप्नु पर्छ। यो गर्नका लागि, यसलाई खोल्नुहोस् र खुल्ने विन्डोमा, "प्रमाणपत्र स्थापना गर्नुहोस्" विकल्प चयन गर्नुहोस्:

खुल्ने विन्डोमा, स्थानीय प्रयोगकर्ताको लागि प्रमाणपत्र स्थापना गर्ने चयन गर्नुहोस्:

CA को विश्वसनीय रूट प्रमाणपत्र स्टोरमा प्रमाणपत्र स्थापना गरौं:

यी सबै कार्यहरू पछि, हामी सबै थप बुँदाहरूमा सहमत छौं। प्रणाली अब कन्फिगर गरिएको छ।

निम्न सामग्रीको साथ फाइल cert.tmp सिर्जना गरौं:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

यस पछि, हामी एउटा कुञ्जी जोडा उत्पन्न गर्नेछौं र प्रमाणपत्रको लागि आवेदन सिर्जना गर्नेछौं। यो गर्नको लागि, पावरशेल खोल्नुहोस् र निम्न आदेश प्रविष्ट गर्नुहोस्:

certreq.exe -new -pin $PIN .cert.tmp .client.req

सिर्जना गरिएको आवेदन client.req तपाईंको CA मा पठाउनुहोस् र client.pem प्रमाणपत्र प्राप्त हुनको लागि पर्खनुहोस्। यसलाई टोकनमा लेख्न सकिन्छ र निम्न आदेश प्रयोग गरेर Windows प्रमाणपत्र भण्डारमा थप्न सकिन्छ:

certreq.exe -accept .client.pem

यो ध्यान दिन लायक छ कि समान कार्यहरू mmc कार्यक्रमको ग्राफिकल इन्टरफेस प्रयोग गरेर पुन: उत्पादन गर्न सकिन्छ, तर यो विधि धेरै समय खपत र कम प्रोग्रामेबल छ।

Ubuntu ग्राहक सेट अप गर्दै

नोट
लिनक्समा क्लाइन्ट सेट अप गर्न हाल धेरै समय खपत भइरहेको छ, किनकि ... स्रोतबाट अलग कार्यक्रमहरू निर्माण गर्न आवश्यक छ। हामी निकट भविष्यमा सबै परिवर्तनहरू आधिकारिक भण्डारहरूमा समावेश गरिएको सुनिश्चित गर्न प्रयास गर्नेछौं।

सर्भरमा IPSec स्तरमा जडान सुनिश्चित गर्न, बलियोवान प्याकेज र xl2tp डेमन प्रयोग गरिन्छ। स्मार्ट कार्डहरू प्रयोग गरेर नेटवर्कमा जडानलाई सरल बनाउन, हामी l2tp-ipsec-vpn प्याकेज प्रयोग गर्नेछौं, जसले सरलीकृत जडान सेटअपको लागि ग्राफिकल शेल प्रदान गर्दछ।

चरणबद्ध तत्वहरू संयोजन गर्न सुरु गरौं, तर त्यो भन्दा पहिले हामी VPN लाई सीधा काम गर्नका लागि सबै आवश्यक प्याकेजहरू स्थापना गर्नेछौं:

sudo apt-get install xl2tpd strongswan libp11-3

टोकनहरूसँग काम गर्न सफ्टवेयर स्थापना गर्दै

बाट नवीनतम librtpkcs11ecp.so पुस्तकालय स्थापना गर्नुहोस् साइट, स्मार्ट कार्ड संग काम गर्न को लागी पुस्तकालयहरु:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Rutoken जडान गर्नुहोस् र जाँच गर्नुहोस् कि यो प्रणाली द्वारा मान्यता प्राप्त छ:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

प्याच गरिएको ppp स्थापना गर्दै

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

L2tpIpsecVpn ग्राहक स्थापना गर्दै

यस समयमा, ग्राहकलाई स्रोत कोडबाट पनि कम्पाइल गर्न आवश्यक छ। यो आदेशहरूको निम्न अनुक्रम प्रयोग गरी गरिन्छ:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

L2tpIpsecVpn ग्राहक सेटअप गर्दै

स्थापित क्लाइन्ट सुरु गर्नुहोस्:

सुरुवात पछि, L2tpIpsecVPN एप्लेट खोल्नु पर्छ। यसमा दायाँ क्लिक गर्नुहोस् र जडान कन्फिगर गर्नुहोस्:

टोकनहरूसँग काम गर्नको लागि, सर्वप्रथम, हामी OpenSSL इन्जिन र PKCS#11 पुस्तकालयको opensc इन्जिनमा जाने बाटो संकेत गर्छौं। यो गर्नका लागि, openssl प्यारामिटरहरू कन्फिगर गर्न "प्राथमिकताहरू" ट्याब खोल्नुहोस्:

.

OpenSSL सेटिङ्स विन्डो बन्द गरौं र नेटवर्क सेटअप गर्न अगाडि बढौं। सेटिङ प्यानलमा Add... बटनमा क्लिक गरेर नयाँ नेटवर्क थपौं र नेटवर्क नाम प्रविष्ट गर्नुहोस्:

यसपछि, यो नेटवर्क सेटिङ प्यानलमा उपलब्ध हुनेछ। यसलाई कन्फिगर गर्न नयाँ नेटवर्कमा डबल-दायाँ-क्लिक गर्नुहोस्। पहिलो ट्याबमा तपाईंले IPsec सेटिङहरू बनाउन आवश्यक छ। सर्भर ठेगाना र सार्वजनिक कुञ्जी सेट गरौं:

यस पछि, PPP सेटिङ्स ट्याबमा जानुहोस् र त्यहाँ प्रयोगकर्ता नाम संकेत गर्नुहोस् जस अन्तर्गत हामी नेटवर्क पहुँच गर्न चाहन्छौं:

यस पछि, गुण ट्याब खोल्नुहोस् र कुञ्जी, ग्राहक प्रमाणपत्र र CA को मार्ग निर्दिष्ट गर्नुहोस्:

यो ट्याब बन्द गरौं र अन्तिम सेटिङहरू प्रदर्शन गरौं; यो गर्नको लागि, "IP सेटिङहरू" ट्याब खोल्नुहोस् र "DNS सर्भर ठेगाना स्वतः प्राप्त गर्नुहोस्" विकल्पको छेउमा रहेको बाकस जाँच गर्नुहोस्:

यो विकल्पले ग्राहकलाई सर्भरबाट नेटवर्क भित्र व्यक्तिगत आईपी ठेगाना प्राप्त गर्न अनुमति दिनेछ।

सबै सेटिङ्हरू पछि, सबै ट्याबहरू बन्द गर्नुहोस् र ग्राहक पुन: सुरु गर्नुहोस्:

नेटवर्कमा जोडिँदै

सेटिङहरू पछि, तपाइँ नेटवर्कमा जडान गर्न सक्नुहुन्छ। यो गर्नको लागि, एप्लेट ट्याब खोल्नुहोस् र हामीले जडान गर्न चाहेको नेटवर्क चयन गर्नुहोस्:

जडान स्थापना प्रक्रियाको क्रममा, ग्राहकले हामीलाई रुटोकन पिन कोड प्रविष्ट गर्न सोध्नेछ:

यदि स्थिति पट्टीमा एक सूचना देखा पर्दछ कि जडान सफलतापूर्वक स्थापित भएको छ, यसको मतलब सेटअप सफल भयो:

अन्यथा, यो किन जडान स्थापित भएन भनेर पत्ता लगाउन लायक छ। यो गर्नको लागि, तपाईंले एप्लेटमा "जडान जानकारी" आदेश चयन गरेर कार्यक्रम लग हेर्नु पर्छ:

विन्डोज क्लाइन्ट सेट अप गर्दै

लिनक्समा भन्दा Windows मा क्लाइन्ट सेटअप गर्न धेरै सजिलो छ, किनभने ... सबै आवश्यक सफ्टवेयर पहिले नै प्रणाली मा निर्मित छ।

प्रणाली सेटअप

हामी Rutokens सँग काम गर्नका लागि आवश्यक सबै ड्राइभरहरू डाउनलोड गरेर स्थापना गर्नेछौं को। साइट.

प्रमाणीकरणको लागि रूट प्रमाणपत्र आयात गर्दै

सर्भर रूट प्रमाणपत्र डाउनलोड गर्नुहोस् र यसलाई प्रणालीमा स्थापना गर्नुहोस्। यो गर्नका लागि, यसलाई खोल्नुहोस् र खुल्ने विन्डोमा, "प्रमाणपत्र स्थापना गर्नुहोस्" विकल्प चयन गर्नुहोस्:

खुल्ने विन्डोमा, स्थानीय प्रयोगकर्ताको लागि प्रमाणपत्र स्थापना गर्ने चयन गर्नुहोस्। यदि तपाइँ कम्प्युटरमा सबै प्रयोगकर्ताहरूलाई प्रमाणपत्र उपलब्ध गराउन चाहनुहुन्छ भने, तपाइँले स्थानीय कम्प्युटरमा प्रमाणपत्र स्थापना गर्न रोज्नुपर्छ:

CA को विश्वसनीय रूट प्रमाणपत्र स्टोरमा प्रमाणपत्र स्थापना गरौं:

यी सबै कार्यहरू पछि, हामी सबै थप बुँदाहरूमा सहमत छौं। प्रणाली अब कन्फिगर गरिएको छ।

VPN जडान सेटअप गर्दै

VPN जडान सेटअप गर्न, नियन्त्रण प्यानलमा जानुहोस् र नयाँ जडान सिर्जना गर्न विकल्प चयन गर्नुहोस्।

पप-अप विन्डोमा, तपाईंको कार्यस्थलमा जडान गर्नको लागि जडान सिर्जना गर्न विकल्प चयन गर्नुहोस्:

अर्को विन्डोमा, VPN जडान चयन गर्नुहोस्:

र VPN जडान विवरणहरू प्रविष्ट गर्नुहोस्, र स्मार्ट कार्ड प्रयोग गर्ने विकल्प पनि निर्दिष्ट गर्नुहोस्:

सेटअप अझै पूरा भएको छैन। बाँकी सबै IPsec प्रोटोकलको लागि साझा कुञ्जी निर्दिष्ट गर्न हो; यो गर्नको लागि, "नेटवर्क जडान सेटिङहरू" ट्याबमा जानुहोस् र त्यसपछि "यस जडानको लागि गुणहरू" ट्याबमा जानुहोस्:

खुल्ने विन्डोमा, "सुरक्षा" ट्याबमा जानुहोस्, नेटवर्क प्रकारको रूपमा "L2TP/IPsec नेटवर्क" निर्दिष्ट गर्नुहोस् र "उन्नत सेटिङहरू" चयन गर्नुहोस्:

खुल्ने विन्डोमा, साझा IPsec कुञ्जी निर्दिष्ट गर्नुहोस्:

Подключение

सेटअप पूरा गरेपछि, तपाइँ नेटवर्कमा जडान गर्ने प्रयास गर्न सक्नुहुन्छ:

जडान प्रक्रियाको बखत, हामीले टोकन पिन कोड प्रविष्ट गर्न आवश्यक हुनेछ:

हामीले सुरक्षित VPN नेटवर्क सेटअप गरेका छौं र यो गाह्रो छैन भनेर सुनिश्चित गरेका छौं।

स्वीकार

म फेरि एकपटक हाम्रा सहकर्मी भसिली शोकोभ र अलेक्ज्याण्डर स्मिर्नोभलाई लिनक्स क्लाइन्टहरूका लागि VPN जडानहरूको सिर्जनालाई सरल बनाउन सँगै गरेको कामको लागि धन्यवाद दिन चाहन्छु।

स्रोत: www.habr.com