🥇 OpenVPN मा SMB संगठनहरूको लागि टाढाको कामको संगठन

समस्याको गठन

लेखले खुला स्रोत उत्पादनहरूमा कर्मचारीहरूको लागि रिमोट पहुँचको संगठनको वर्णन गर्दछ र यसलाई पूर्ण रूपमा स्वायत्त प्रणाली निर्माण गर्न दुवै प्रयोग गर्न सकिन्छ, र अवस्थित व्यावसायिक प्रणालीमा इजाजतपत्रहरूको कमी हुँदा वा यसको कार्यसम्पादन अपर्याप्त हुँदा विस्तारको लागि उपयोगी हुनेछ।

लेखको लक्ष्य भनेको संस्थामा रिमोट पहुँच प्रदान गर्नको लागि पूर्ण प्रणाली लागू गर्नु हो, जुन "१० मिनेटमा OpenVPN स्थापना" भन्दा अलि बढी हो।

नतिजाको रूपमा, हामीले एउटा प्रणाली प्राप्त गर्नेछौं जसमा प्रमाणपत्रहरू र (वैकल्पिक रूपमा) कर्पोरेट सक्रिय निर्देशिका प्रयोगकर्ताहरूलाई प्रमाणीकरण गर्न प्रयोग गरिनेछ। त्यो। हामी दुई प्रमाणीकरण कारकहरू सहितको प्रणाली प्राप्त गर्नेछौं - मसँग के छ (प्रमाणपत्र) र मलाई के थाहा छ (पासवर्ड)।

प्रयोगकर्तालाई जडान गर्न अनुमति दिइएको संकेत भनेको myVPNUsr समूहमा उनीहरूको सदस्यता हो। प्रमाणपत्र अधिकार अफलाइन प्रयोग गरिनेछ।

समाधान कार्यान्वयनको लागत केवल साना हार्डवेयर स्रोतहरू र प्रणाली प्रशासकको 1 घण्टाको काम हो।

हामी CetntOS 3 मा OpenVPN र Easy-RSA संस्करण 7 को साथ भर्चुअल मेसिन प्रयोग गर्नेछौं, जसलाई 100 vCPUs र 4 GiB RAM प्रति 4 जडानहरू छुट्याइएको छ।

उदाहरणमा, हाम्रो संगठनको सञ्जाल 172.16.0.0/16 हो, जसमा 172.16.19.123 ठेगाना भएको VPN सर्भर 172.16.19.0/24, DNS सर्भरहरू 172.16.16.16 र 172.16.17.17 र sub,172.16.20.0 खण्डमा अवस्थित छ। .23/XNUMX VPN ग्राहकहरूका लागि छुट्याइएको छ।

बाहिरबाट जडान गर्न, पोर्ट 1194/udp मार्फत जडान प्रयोग गरिन्छ, र हाम्रो सर्भरको लागि DNS मा A-रेकर्ड gw.abc.ru सिर्जना गरिएको छ।

SELinux लाई असक्षम गर्न कडाइका साथ सिफारिस गरिएको छैन! OpenVPN ले सुरक्षा नीतिहरू असक्षम नगरी काम गर्दछ।

ओएस र अनुप्रयोग सफ्टवेयर को स्थापना

हामी CentOS 7.8.2003 वितरण प्रयोग गर्छौं। हामीले OS लाई न्यूनतम कन्फिगरेसनमा स्थापना गर्न आवश्यक छ। यो प्रयोग गरेर यो गर्न सुविधाजनक छ सुरुवात, पहिले स्थापित OS छवि र अन्य माध्यमहरू क्लोनिङ।

स्थापना पछि, नेटवर्क इन्टरफेसमा ठेगाना असाइन गर्दै (कार्य 172.16.19.123 को सर्तहरू अनुसार), हामी OS अपडेट गर्छौं:

$ sudo yum update -y && reboot

हामीले यो पनि सुनिश्चित गर्न आवश्यक छ कि हाम्रो मेसिनमा समय सिंक्रोनाइजेसन गरिएको छ।
एप्लिकेसन सफ्टवेयर स्थापना गर्न, तपाईंलाई मुख्य सम्पादकको रूपमा openvpn, openvpn-auth-ldap, easy-rsa र vim प्याकेजहरू चाहिन्छ (तपाईंलाई EPEL भण्डार चाहिन्छ)।

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

भर्चुअल मेसिनको लागि अतिथि एजेन्ट स्थापना गर्न यो उपयोगी छ:

$ sudo yum install open-vm-tools

VMware ESXi होस्टहरूको लागि, वा oVirt को लागि

$ sudo yum install ovirt-guest-agent

क्रिप्टोग्राफी सेटअप गर्दै

सजिलो-rsa डाइरेक्टरीमा जानुहोस्:

$ cd /usr/share/easy-rsa/3/

एक चर फाइल सिर्जना गर्नुहोस्:

$ sudo vim vars

निम्न सामग्री:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

सशर्त संगठन ABC LLC को लागि मापदण्डहरू यहाँ वर्णन गरिएको छ; तपाईं तिनीहरूलाई वास्तविक व्यक्तिहरूमा सच्याउन सक्नुहुन्छ वा तिनीहरूलाई उदाहरणबाट छोड्न सक्नुहुन्छ। प्यारामिटरहरूमा सबैभन्दा महत्त्वपूर्ण कुरा अन्तिम रेखा हो, जसले प्रमाणपत्रको वैधता अवधि दिनहरूमा निर्धारण गर्दछ। उदाहरणले मान १० वर्ष (३६५*१०+२ लीप वर्ष) प्रयोग गर्दछ। प्रयोगकर्ता प्रमाणपत्र जारी गर्नु अघि यो मान समायोजन गर्न आवश्यक हुनेछ।

अर्को, हामी एक स्वायत्त प्रमाणीकरण प्राधिकरण कन्फिगर गर्छौं।

सेटअपले चरहरू निर्यात गर्ने, CA सुरु गर्ने, CA मूल कुञ्जी र प्रमाणपत्र जारी गर्ने, Diffie-Hellman कुञ्जी, TLS कुञ्जी, र सर्भर कुञ्जी र प्रमाणपत्र समावेश गर्दछ। CA कुञ्जी सावधानीपूर्वक सुरक्षित र गोप्य राखिएको हुनुपर्छ! सबै क्वेरी प्यारामिटरहरू पूर्वनिर्धारित रूपमा छोड्न सकिन्छ।

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

यसले क्रिप्टोग्राफिक मेकानिजम सेटअप गर्ने मुख्य भाग पूरा गर्छ।

OpenVPN सेटअप गर्दै

OpenVPN डाइरेक्टरीमा जानुहोस्, सेवा निर्देशिकाहरू सिर्जना गर्नुहोस् र सजिलो-rsa मा लिङ्क थप्नुहोस्:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

मुख्य OpenVPN कन्फिगरेसन फाइल सिर्जना गर्नुहोस्:

$ sudo vim server.conf

निम्न सामग्रीहरू

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

प्यारामिटरहरूमा केही नोटहरू:

यदि प्रमाणपत्र जारी गर्दा फरक नाम निर्दिष्ट गरिएको थियो भने, यसलाई संकेत गर्नुहोस्;
तपाईंको कार्यहरू अनुरूप ठेगानाहरूको पूल निर्दिष्ट गर्नुहोस्*;
त्यहाँ एक वा बढी मार्गहरू र DNS सर्भरहरू हुन सक्छन्;
AD** मा प्रमाणीकरण लागू गर्न अन्तिम २ रेखाहरू आवश्यक छन्।

*उदाहरणमा चयन गरिएको ठेगानाहरूको दायराले 127 ग्राहकहरूलाई एकसाथ जडान गर्न अनुमति दिनेछ, किनभने /23 नेटवर्क चयन गरिएको छ, र OpenVPN ले /30 मास्क प्रयोग गरी प्रत्येक ग्राहकको लागि सबनेट सिर्जना गर्दछ।
यदि विशेष गरी आवश्यक छ भने, पोर्ट र प्रोटोकल परिवर्तन गर्न सकिन्छ, तथापि, यो ध्यानमा राख्नु पर्छ कि पोर्ट पोर्ट नम्बर परिवर्तन गर्दा SELinux कन्फिगर गर्न आवश्यक हुनेछ, र tcp प्रोटोकल प्रयोग गर्दा ओभरहेड बढ्नेछ, किनभने TCP प्याकेट वितरण नियन्त्रण पहिले नै सुरुङ मा encapsulated प्याकेट को स्तर मा प्रदर्शन गरिएको छ।

** यदि AD मा प्रमाणीकरण आवश्यक छैन भने, तिनीहरूलाई टिप्पणी गर्नुहोस्, अर्को खण्ड छोड्नुहोस्, र टेम्प्लेटमा auth-user-pass लाइन हटाउनुहोस्.

AD प्रमाणीकरण

दोस्रो कारकलाई समर्थन गर्न, हामी AD मा खाता प्रमाणिकरण प्रयोग गर्नेछौं।

हामीलाई डोमेनमा एक साधारण प्रयोगकर्ता र समूहको अधिकारको साथ खाता चाहिन्छ, सदस्यता जसले जडान गर्ने क्षमता निर्धारण गर्नेछ।

कन्फिगरेसन फाइल सिर्जना गर्नुहोस्:

/etc/openvpn/ldap.conf

निम्न सामग्रीहरू

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

कुञ्जी प्यारामिटरहरू:

URL "ldap://ldap.abc.ru" - डोमेन नियन्त्रक ठेगाना;
BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” - LDAP मा बाइन्डिङको लागि प्रामाणिक नाम (UZ - bindUsr abc.ru/Users कन्टेनरमा);
पासवर्ड b1ndP@SS — बाध्यकारी लागि प्रयोगकर्ता पासवर्ड;
BaseDN "OU=allUsr,DC=abc,DC=ru" — प्रयोगकर्ताको खोजी सुरु गर्ने बाटो;
BaseDN “OU=myGrp,DC=abc,DC=ru” – अनुमति दिने समूहको कन्टेनर (abc.rumyGrp कन्टेनरमा myVPNUsr समूह);
खोजफिल्टर "(cn=myVPNUsr)" अनुमति दिने समूहको नाम हो।

स्टार्टअप र निदान

अब हामी हाम्रो सर्भर सक्षम र सुरु गर्न प्रयास गर्न सक्छौं:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

स्टार्टअप जाँच:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

प्रमाणपत्र मुद्दा र खारेज

किनभने प्रमाणपत्रहरू आफैंको अतिरिक्त, तपाईंलाई कुञ्जीहरू र अन्य सेटिङहरू चाहिन्छ; यो सबै एक प्रोफाइल फाइलमा लपेट्न धेरै सुविधाजनक छ। यो फाइल त्यसपछि प्रयोगकर्तालाई हस्तान्तरण गरिन्छ र प्रोफाइल OpenVPN क्लाइन्टमा आयात गरिन्छ। यो गर्नको लागि, हामी सेटिङ् टेम्प्लेट र प्रोफाइल उत्पन्न गर्ने स्क्रिप्ट सिर्जना गर्नेछौं।

तपाईंले प्रोफाइलमा रूट प्रमाणपत्र (ca.crt) र TLS कुञ्जी (ta.key) फाइलहरूको सामग्रीहरू थप्न आवश्यक छ।

प्रयोगकर्ता प्रमाणपत्र जारी गर्नु अघि प्रमाणपत्रहरूको लागि आवश्यक वैधता अवधि सेट गर्न नबिर्सनुहोस् प्यारामिटर फाइलमा। तपाईंले यसलाई धेरै लामो बनाउनु हुँदैन; म आफैलाई अधिकतम 180 दिनहरूमा सीमित गर्न सिफारिस गर्दछु।

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

टिप्पणीहरू:

तार आफ्नो राख्नुहोस्... सामग्रीमा परिवर्तन उनीहरूको प्रमाणपत्रहरू;
रिमोट निर्देशनमा, तपाईंको गेटवेको नाम/ठेगाना निर्दिष्ट गर्नुहोस्;
auth-user-pass निर्देशन अतिरिक्त बाह्य प्रमाणीकरणको लागि प्रयोग गरिन्छ।

गृह डाइरेक्टरी (वा अन्य सुविधाजनक ठाउँ) मा हामी प्रमाणपत्र अनुरोध गर्न र प्रोफाइल सिर्जना गर्न स्क्रिप्ट सिर्जना गर्छौं:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

फाइललाई कार्यान्वयनयोग्य बनाउँदै:

chmod a+x ~/make.profile.sh

र हामी हाम्रो पहिलो प्रमाणपत्र जारी गर्न सक्छौं।

~/make.profile.sh my-first-user

प्रतिक्रिया

प्रमाणपत्रको सम्झौता (हानि, चोरी) को मामला मा, यो प्रमाणपत्र रद्द गर्न आवश्यक छ:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

जारी र रद्द प्रमाणपत्रहरू हेर्नुहोस्

जारी र रद्द प्रमाणपत्रहरू हेर्न, केवल अनुक्रमणिका फाइल हेर्नुहोस्:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

स्पष्टीकरण:

पहिलो रेखा सर्भर प्रमाणपत्र हो;
पहिलो वर्ण
- V (वैध) - मान्य;
- आर (रद्द गरिएको) - फिर्ता बोलाइएको।

नेटवर्क सेटअप

अन्तिम चरणहरू प्रसारण नेटवर्क कन्फिगर गर्न - राउटिंग र फायरवालहरू।

स्थानीय फायरवालमा जडानहरूलाई अनुमति दिँदै:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

अर्को, IP ट्राफिक राउटिङ सक्षम गर्नुहोस्:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

कर्पोरेट वातावरणमा, सबनेटिङ हुने सम्भावना हुन्छ र हामीले राउटर (हरू) लाई हाम्रा VPN क्लाइन्टहरूको लागि गन्तव्य प्याकेटहरू कसरी पठाउने भनेर बताउन आवश्यक छ। कमाण्ड लाइनमा हामी कमाण्डलाई तरिकामा कार्यान्वयन गर्छौं (प्रयोग गरिएको उपकरणमा निर्भर गर्दै):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

र कन्फिगरेसन बचत गर्नुहोस्।

थप रूपमा, सीमा राउटर इन्टरफेसमा जहाँ बाह्य ठेगाना gw.abc.ru सेवा गरिन्छ, udp/1194 प्याकेटहरू पास गर्न अनुमति दिन आवश्यक छ।

यदि संगठनसँग कडा सुरक्षा नियमहरू छन् भने, हाम्रो VPN सर्भरमा फायरवाल पनि कन्फिगर गरिएको हुनुपर्छ। मेरो विचारमा, सबैभन्दा ठूलो लचिलोपन iptables FORWARD चेनहरू सेटअप गरेर प्रदान गरिएको छ, यद्यपि तिनीहरूलाई सेटअप गर्न कम सुविधाजनक छ। तिनीहरूलाई सेटअप गर्ने बारे थोरै थप। यो गर्नका लागि, "प्रत्यक्ष नियमहरू" - प्रत्यक्ष नियमहरू, फाइलमा भण्डारण प्रयोग गर्न यो धेरै सुविधाजनक छ /etc/firewalld/direct.xml। नियमहरूको हालको कन्फिगरेसन निम्न रूपमा फेला पार्न सकिन्छ:

$ sudo firewall-cmd --direct --get-all-rule

फाइल परिवर्तन गर्नु अघि, यसको ब्याकअप प्रतिलिपि बनाउनुहोस्:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

फाइलको अनुमानित सामग्रीहरू हुन्:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

स्पष्टीकरण

यी अनिवार्य रूपमा नियमित iptables नियमहरू हुन्, अन्यथा firewalld को आगमन पछि प्याकेज।

पूर्वनिर्धारित सेटिङहरूको साथ गन्तव्य इन्टरफेस tun0 हो, र टनेलको लागि बाह्य इन्टरफेस फरक हुन सक्छ, उदाहरणका लागि, ens192, प्रयोग गरिएको प्लेटफर्ममा निर्भर गर्दछ।

अन्तिम लाइन ड्रप प्याकेट लगिङ को लागी हो। काममा लगिङको लागि, तपाईंले फायरवालल्ड कन्फिगरेसनमा डिबग स्तर परिवर्तन गर्न आवश्यक छ:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

सेटिङहरू लागू गर्नु भनेको सेटिङहरू पुन: पढ्नको लागि सामान्य फायरवाल्ड आदेश हो:

$ sudo firewall-cmd --reload

तपाईंले यसरी छोडेका प्याकेटहरू हेर्न सक्नुहुन्छ:

grep forward_fw /var/log/messages

अब के

यसले सेटअप पूरा गर्छ!

सबै बाँकी छ क्लाइन्ट साइडमा क्लाइन्ट सफ्टवेयर स्थापना गर्न, प्रोफाइल आयात र जडान गर्न। विन्डोज अपरेटिङ सिस्टमहरूको लागि, वितरण किट अवस्थित छ विकासकर्ता वेबसाइट.

अन्तमा, हामी हाम्रो नयाँ सर्भरलाई निगरानी र अभिलेख प्रणालीमा जडान गर्छौं, र नियमित रूपमा अद्यावधिकहरू स्थापना गर्न नबिर्सनुहोस्।

स्थिर जडान!

स्रोत: www.habr.com

OpenVPN मा SMB संगठनको टाढाको कामको संगठन