🥇 OpenVPN 'ਤੇ SMB ਸੰਸਥਾਵਾਂ ਲਈ ਰਿਮੋਟ ਕੰਮ ਦਾ ਸੰਗਠਨ

ਸਮੱਸਿਆ ਦਾ ਗਠਨ

ਲੇਖ ਓਪਨ ਸੋਰਸ ਉਤਪਾਦਾਂ 'ਤੇ ਕਰਮਚਾਰੀਆਂ ਲਈ ਰਿਮੋਟ ਐਕਸੈਸ ਦੇ ਸੰਗਠਨ ਦਾ ਵਰਣਨ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਖੁਦਮੁਖਤਿਆਰ ਪ੍ਰਣਾਲੀ ਬਣਾਉਣ ਲਈ ਦੋਵਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ, ਅਤੇ ਮੌਜੂਦਾ ਵਪਾਰਕ ਪ੍ਰਣਾਲੀ ਵਿੱਚ ਲਾਇਸੈਂਸਾਂ ਦੀ ਘਾਟ ਹੋਣ ਜਾਂ ਇਸਦੀ ਕਾਰਗੁਜ਼ਾਰੀ ਨਾਕਾਫ਼ੀ ਹੋਣ 'ਤੇ ਵਿਸਥਾਰ ਲਈ ਉਪਯੋਗੀ ਹੋਵੇਗਾ।

ਲੇਖ ਦਾ ਟੀਚਾ ਕਿਸੇ ਸੰਗਠਨ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਇੱਕ ਸੰਪੂਰਨ ਪ੍ਰਣਾਲੀ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਹੈ, ਜੋ ਕਿ "10 ਮਿੰਟਾਂ ਵਿੱਚ ਓਪਨਵੀਪੀਐਨ ਸਥਾਪਤ ਕਰਨ" ਨਾਲੋਂ ਥੋੜ੍ਹਾ ਵੱਧ ਹੈ।

ਨਤੀਜੇ ਵਜੋਂ, ਸਾਨੂੰ ਇੱਕ ਸਿਸਟਮ ਮਿਲੇਗਾ ਜਿਸ ਵਿੱਚ ਸਰਟੀਫਿਕੇਟ ਅਤੇ (ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ) ਕਾਰਪੋਰੇਟ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਦੀ ਵਰਤੋਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਵੇਗੀ। ਕਿ. ਸਾਨੂੰ ਦੋ ਤਸਦੀਕ ਕਾਰਕਾਂ ਵਾਲਾ ਇੱਕ ਸਿਸਟਮ ਮਿਲੇਗਾ - ਮੇਰੇ ਕੋਲ ਕੀ ਹੈ (ਸਰਟੀਫਿਕੇਟ) ਅਤੇ ਜੋ ਮੈਂ ਜਾਣਦਾ ਹਾਂ (ਪਾਸਵਰਡ)।

ਇੱਕ ਨਿਸ਼ਾਨੀ ਜਿਸ ਵਿੱਚ ਉਪਭੋਗਤਾ ਨੂੰ ਜੁੜਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਉਹ ਹੈ myVPNUsr ਸਮੂਹ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਸਦੱਸਤਾ। ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਨੂੰ ਔਫਲਾਈਨ ਵਰਤਿਆ ਜਾਵੇਗਾ।

ਹੱਲ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਲਾਗਤ ਸਿਰਫ ਛੋਟੇ ਹਾਰਡਵੇਅਰ ਸਰੋਤ ਅਤੇ ਸਿਸਟਮ ਪ੍ਰਸ਼ਾਸਕ ਦਾ 1 ਘੰਟੇ ਦਾ ਕੰਮ ਹੈ।

ਅਸੀਂ CetntOS 3 'ਤੇ OpenVPN ਅਤੇ Easy-RSA ਸੰਸਕਰਣ 7 ਦੇ ਨਾਲ ਇੱਕ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਦੀ ਵਰਤੋਂ ਕਰਾਂਗੇ, ਜਿਸ ਨੂੰ 100 vCPUs ਅਤੇ 4 GiB RAM ਪ੍ਰਤੀ 4 ਕੁਨੈਕਸ਼ਨ ਦਿੱਤੇ ਗਏ ਹਨ।

ਉਦਾਹਰਨ ਵਿੱਚ, ਸਾਡੇ ਸੰਗਠਨ ਦਾ ਨੈੱਟਵਰਕ 172.16.0.0/16 ਹੈ, ਜਿਸ ਵਿੱਚ 172.16.19.123 ਪਤੇ ਵਾਲਾ VPN ਸਰਵਰ 172.16.19.0/24, DNS ਸਰਵਰ 172.16.16.16 ਅਤੇ 172.16.17.17 ਅਤੇ ਉਪ, 172.16.20.0 ਅਤੇ ਉਪ 23 ਵਿੱਚ ਸਥਿਤ ਹੈ। .XNUMX/XNUMX VPN ਕਲਾਇੰਟਸ ਲਈ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ।

ਬਾਹਰੋਂ ਜੁੜਨ ਲਈ, ਪੋਰਟ 1194/udp ਰਾਹੀਂ ਇੱਕ ਕੁਨੈਕਸ਼ਨ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਸਾਡੇ ਸਰਵਰ ਲਈ DNS ਵਿੱਚ ਇੱਕ A-ਰਿਕਾਰਡ gw.abc.ru ਬਣਾਇਆ ਗਿਆ ਹੈ।

SELinux ਨੂੰ ਅਯੋਗ ਕਰਨ ਦੀ ਸਖਤੀ ਨਾਲ ਸਿਫਾਰਸ਼ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ! OpenVPN ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਨੂੰ ਅਯੋਗ ਕੀਤੇ ਬਿਨਾਂ ਕੰਮ ਕਰਦਾ ਹੈ।

OS ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਸੌਫਟਵੇਅਰ ਦੀ ਸਥਾਪਨਾ

ਅਸੀਂ CentOS 7.8.2003 ਵੰਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ। ਸਾਨੂੰ ਇੱਕ ਘੱਟੋ-ਘੱਟ ਸੰਰਚਨਾ ਵਿੱਚ OS ਨੂੰ ਇੰਸਟਾਲ ਕਰਨ ਦੀ ਲੋੜ ਹੈ. ਇਹ ਵਰਤ ਕੇ ਅਜਿਹਾ ਕਰਨ ਲਈ ਸੁਵਿਧਾਜਨਕ ਹੈ ਕਿੱਕਸਟਾਰਟ, ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ OS ਚਿੱਤਰ ਅਤੇ ਹੋਰ ਸਾਧਨਾਂ ਨੂੰ ਕਲੋਨ ਕਰਨਾ।

ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਨੈੱਟਵਰਕ ਇੰਟਰਫੇਸ ਨੂੰ ਇੱਕ ਪਤਾ ਨਿਰਧਾਰਤ ਕਰਨਾ (ਟਾਸਕ ਦੀਆਂ ਸ਼ਰਤਾਂ 172.16.19.123 ਦੇ ਅਨੁਸਾਰ), ਅਸੀਂ OS ਨੂੰ ਅਪਡੇਟ ਕਰਦੇ ਹਾਂ:

$ sudo yum update -y && reboot

ਸਾਨੂੰ ਇਹ ਵੀ ਯਕੀਨੀ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ ਕਿ ਸਾਡੀ ਮਸ਼ੀਨ 'ਤੇ ਸਮੇਂ ਦਾ ਸਮਕਾਲੀਕਰਨ ਕੀਤਾ ਗਿਆ ਹੈ।
ਐਪਲੀਕੇਸ਼ਨ ਸੌਫਟਵੇਅਰ ਸਥਾਪਤ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਮੁੱਖ ਸੰਪਾਦਕ ਵਜੋਂ openvpn, openvpn-auth-ldap, easy-rsa ਅਤੇ vim ਪੈਕੇਜਾਂ ਦੀ ਲੋੜ ਹੈ (ਤੁਹਾਨੂੰ EPEL ਰਿਪੋਜ਼ਟਰੀ ਦੀ ਲੋੜ ਹੋਵੇਗੀ)।

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਲਈ ਗੈਸਟ ਏਜੰਟ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨਾ ਲਾਭਦਾਇਕ ਹੈ:

$ sudo yum install open-vm-tools

VMware ESXi ਹੋਸਟਾਂ ਲਈ, ਜਾਂ oVirt ਲਈ

$ sudo yum install ovirt-guest-agent

ਕ੍ਰਿਪਟੋਗ੍ਰਾਫ਼ੀ ਸਥਾਪਤ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

ਆਸਾਨ-rsa ਡਾਇਰੈਕਟਰੀ 'ਤੇ ਜਾਓ:

$ cd /usr/share/easy-rsa/3/

ਇੱਕ ਵੇਰੀਏਬਲ ਫਾਈਲ ਬਣਾਓ:

$ sudo vim vars

ਹੇਠ ਦਿੱਤੀ ਸਮੱਗਰੀ:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

ਸ਼ਰਤੀਆ ਸੰਸਥਾ ABC LLC ਲਈ ਮਾਪਦੰਡ ਇੱਥੇ ਵਰਣਿਤ ਹਨ; ਤੁਸੀਂ ਉਹਨਾਂ ਨੂੰ ਅਸਲ ਵਿੱਚ ਠੀਕ ਕਰ ਸਕਦੇ ਹੋ ਜਾਂ ਉਹਨਾਂ ਨੂੰ ਉਦਾਹਰਨ ਤੋਂ ਛੱਡ ਸਕਦੇ ਹੋ। ਪੈਰਾਮੀਟਰਾਂ ਵਿੱਚ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਚੀਜ਼ ਆਖਰੀ ਲਾਈਨ ਹੈ, ਜੋ ਦਿਨਾਂ ਵਿੱਚ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵੈਧਤਾ ਦੀ ਮਿਆਦ ਨਿਰਧਾਰਤ ਕਰਦੀ ਹੈ. ਉਦਾਹਰਨ 10 ਸਾਲ (365*10+2 ਲੀਪ ਸਾਲ) ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਉਪਭੋਗਤਾ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕੀਤੇ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ ਇਸ ਮੁੱਲ ਨੂੰ ਐਡਜਸਟ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ।

ਅੱਗੇ, ਅਸੀਂ ਇੱਕ ਖੁਦਮੁਖਤਿਆਰੀ ਪ੍ਰਮਾਣੀਕਰਣ ਅਥਾਰਟੀ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹਾਂ।

ਸੈੱਟਅੱਪ ਵਿੱਚ ਵੇਰੀਏਬਲ ਨਿਰਯਾਤ ਕਰਨਾ, CA ਨੂੰ ਸ਼ੁਰੂ ਕਰਨਾ, CA ਰੂਟ ਕੁੰਜੀ ਅਤੇ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨਾ, Diffie-Hellman ਕੁੰਜੀ, TLS ਕੁੰਜੀ, ਅਤੇ ਸਰਵਰ ਕੁੰਜੀ ਅਤੇ ਸਰਟੀਫਿਕੇਟ ਸ਼ਾਮਲ ਹਨ। CA ਕੁੰਜੀ ਨੂੰ ਧਿਆਨ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਗੁਪਤ ਰੱਖਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ! ਸਾਰੇ ਪੁੱਛਗਿੱਛ ਪੈਰਾਮੀਟਰਾਂ ਨੂੰ ਡਿਫੌਲਟ ਵਜੋਂ ਛੱਡਿਆ ਜਾ ਸਕਦਾ ਹੈ।

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

ਇਹ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਵਿਧੀ ਸਥਾਪਤ ਕਰਨ ਦੇ ਮੁੱਖ ਹਿੱਸੇ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ.

OpenVPN ਸੈੱਟਅੱਪ

OpenVPN ਡਾਇਰੈਕਟਰੀ 'ਤੇ ਜਾਓ, ਸੇਵਾ ਡਾਇਰੈਕਟਰੀਆਂ ਬਣਾਓ ਅਤੇ ਆਸਾਨ-rsa ਲਈ ਲਿੰਕ ਜੋੜੋ:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

ਮੁੱਖ ਓਪਨਵੀਪੀਐਨ ਸੰਰਚਨਾ ਫਾਈਲ ਬਣਾਓ:

$ sudo vim server.conf

ਹੇਠ ਦਿੱਤੀ ਸਮੱਗਰੀ

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

ਪੈਰਾਮੀਟਰਾਂ 'ਤੇ ਕੁਝ ਨੋਟ:

ਜੇਕਰ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਵੇਲੇ ਕੋਈ ਵੱਖਰਾ ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਤਾਂ ਇਸ ਨੂੰ ਦਰਸਾਓ;
ਤੁਹਾਡੇ ਕੰਮਾਂ ਦੇ ਅਨੁਕੂਲ ਪਤਿਆਂ ਦਾ ਪੂਲ ਦਿਓ*;
ਇੱਕ ਜਾਂ ਇੱਕ ਤੋਂ ਵੱਧ ਰੂਟ ਅਤੇ DNS ਸਰਵਰ ਹੋ ਸਕਦੇ ਹਨ;
AD** ਵਿੱਚ ਪ੍ਰਮਾਣੀਕਰਨ ਲਾਗੂ ਕਰਨ ਲਈ ਆਖਰੀ 2 ਲਾਈਨਾਂ ਦੀ ਲੋੜ ਹੈ।

*ਉਦਾਹਰਣ ਵਿੱਚ ਚੁਣੇ ਗਏ ਪਤਿਆਂ ਦੀ ਰੇਂਜ 127 ਗਾਹਕਾਂ ਨੂੰ ਇੱਕੋ ਸਮੇਂ ਨਾਲ ਜੁੜਨ ਦੀ ਆਗਿਆ ਦੇਵੇਗੀ, ਕਿਉਂਕਿ /23 ਨੈੱਟਵਰਕ ਚੁਣਿਆ ਗਿਆ ਹੈ, ਅਤੇ OpenVPN /30 ਮਾਸਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਹਰੇਕ ਕਲਾਇੰਟ ਲਈ ਇੱਕ ਸਬਨੈੱਟ ਬਣਾਉਂਦਾ ਹੈ।
ਜੇਕਰ ਖਾਸ ਤੌਰ 'ਤੇ ਲੋੜ ਹੋਵੇ, ਪੋਰਟ ਅਤੇ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਬਦਲਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਹਾਲਾਂਕਿ, ਇਹ ਧਿਆਨ ਵਿੱਚ ਰੱਖਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਪੋਰਟ ਪੋਰਟ ਨੰਬਰ ਨੂੰ ਬਦਲਣ ਨਾਲ SELinux ਦੀ ਸੰਰਚਨਾ ਹੋਵੇਗੀ, ਅਤੇ tcp ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਨਾਲ ਓਵਰਹੈੱਡ ਵਧ ਜਾਵੇਗਾ, ਕਿਉਂਕਿ TCP ਪੈਕੇਟ ਡਿਲੀਵਰੀ ਨਿਯੰਤਰਣ ਪਹਿਲਾਂ ਹੀ ਸੁਰੰਗ ਵਿੱਚ ਸ਼ਾਮਲ ਪੈਕੇਟਾਂ ਦੇ ਪੱਧਰ 'ਤੇ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

**ਜੇਕਰ AD ਵਿੱਚ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ, ਤਾਂ ਉਹਨਾਂ 'ਤੇ ਟਿੱਪਣੀ ਕਰੋ, ਅਗਲੇ ਭਾਗ ਨੂੰ ਛੱਡੋ, ਅਤੇ ਟੈਂਪਲੇਟ ਵਿੱਚ auth-user-pass ਲਾਈਨ ਨੂੰ ਹਟਾਓ.

AD ਪ੍ਰਮਾਣਿਕਤਾ

ਦੂਜੇ ਕਾਰਕ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ, ਅਸੀਂ AD ਵਿੱਚ ਖਾਤਾ ਪੁਸ਼ਟੀਕਰਨ ਦੀ ਵਰਤੋਂ ਕਰਾਂਗੇ।

ਸਾਨੂੰ ਇੱਕ ਆਮ ਉਪਭੋਗਤਾ ਅਤੇ ਇੱਕ ਸਮੂਹ ਦੇ ਅਧਿਕਾਰਾਂ ਵਾਲੇ ਡੋਮੇਨ ਵਿੱਚ ਇੱਕ ਖਾਤੇ ਦੀ ਜ਼ਰੂਰਤ ਹੈ, ਮੈਂਬਰਸ਼ਿਪ ਜਿਸ ਵਿੱਚ ਜੁੜਨ ਦੀ ਯੋਗਤਾ ਨਿਰਧਾਰਤ ਕੀਤੀ ਜਾਵੇਗੀ।

ਇੱਕ ਸੰਰਚਨਾ ਫਾਇਲ ਬਣਾਓ:

/etc/openvpn/ldap.conf

ਹੇਠ ਦਿੱਤੀ ਸਮੱਗਰੀ

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

ਮੁੱਖ ਸੈਟਿੰਗਾਂ:

URL “ldap://ldap.abc.ru” - ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਪਤਾ;
BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” - LDAP ਨਾਲ ਬਾਈਡਿੰਗ ਲਈ ਪ੍ਰਮਾਣਿਕ ਨਾਮ (UZ - abc.ru/Users ਕੰਟੇਨਰ ਵਿੱਚ bindUsr);
ਪਾਸਵਰਡ b1ndP@SS — ਬਾਈਡਿੰਗ ਲਈ ਯੂਜ਼ਰ ਪਾਸਵਰਡ;
BaseDN “OU=allUsr,DC=abc,DC=ru” — ਉਹ ਮਾਰਗ ਜਿੱਥੋਂ ਉਪਭੋਗਤਾ ਦੀ ਖੋਜ ਸ਼ੁਰੂ ਕਰਨੀ ਹੈ;
BaseDN “OU=myGrp,DC=abc,DC=ru” – ਇਜਾਜ਼ਤ ਦੇਣ ਵਾਲੇ ਸਮੂਹ ਦਾ ਕੰਟੇਨਰ (abc.rumyGrp ਕੰਟੇਨਰ ਵਿੱਚ ਗਰੁੱਪ myVPNUsr);
ਸਰਚਫਿਲਟਰ "(cn=myVPNUsr)" ਆਗਿਆ ਦੇਣ ਵਾਲੇ ਸਮੂਹ ਦਾ ਨਾਮ ਹੈ।

ਸਟਾਰਟਅਪ ਅਤੇ ਡਾਇਗਨੌਸਟਿਕਸ

ਹੁਣ ਅਸੀਂ ਆਪਣੇ ਸਰਵਰ ਨੂੰ ਸਮਰੱਥ ਅਤੇ ਚਾਲੂ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਸਕਦੇ ਹਾਂ:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

ਸ਼ੁਰੂਆਤੀ ਜਾਂਚ:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨਾ ਅਤੇ ਰੱਦ ਕਰਨਾ

ਕਿਉਂਕਿ ਆਪਣੇ ਆਪ ਸਰਟੀਫਿਕੇਟਾਂ ਤੋਂ ਇਲਾਵਾ, ਤੁਹਾਨੂੰ ਕੁੰਜੀਆਂ ਅਤੇ ਹੋਰ ਸੈਟਿੰਗਾਂ ਦੀ ਜ਼ਰੂਰਤ ਹੈ; ਇਹ ਸਭ ਇੱਕ ਪ੍ਰੋਫਾਈਲ ਫਾਈਲ ਵਿੱਚ ਲਪੇਟਣਾ ਬਹੁਤ ਸੁਵਿਧਾਜਨਕ ਹੈ. ਇਹ ਫਾਈਲ ਫਿਰ ਉਪਭੋਗਤਾ ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਪ੍ਰੋਫਾਈਲ ਨੂੰ OpenVPN ਕਲਾਇੰਟ 'ਤੇ ਆਯਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਅਸੀਂ ਇੱਕ ਸੈਟਿੰਗ ਟੈਂਪਲੇਟ ਅਤੇ ਇੱਕ ਸਕ੍ਰਿਪਟ ਬਣਾਵਾਂਗੇ ਜੋ ਪ੍ਰੋਫਾਈਲ ਤਿਆਰ ਕਰਦੀ ਹੈ।

ਤੁਹਾਨੂੰ ਪ੍ਰੋਫਾਈਲ ਵਿੱਚ ਰੂਟ ਸਰਟੀਫਿਕੇਟ (ca.crt) ਅਤੇ TLS ਕੁੰਜੀ (ta.key) ਫਾਈਲਾਂ ਦੀ ਸਮੱਗਰੀ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

ਉਪਭੋਗਤਾ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਸਰਟੀਫਿਕੇਟਾਂ ਲਈ ਲੋੜੀਂਦੀ ਵੈਧਤਾ ਅਵਧੀ ਨਿਰਧਾਰਤ ਕਰਨਾ ਨਾ ਭੁੱਲੋ ਪੈਰਾਮੀਟਰ ਫਾਈਲ ਵਿੱਚ. ਤੁਹਾਨੂੰ ਇਸ ਨੂੰ ਬਹੁਤ ਲੰਮਾ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ; ਮੈਂ ਆਪਣੇ ਆਪ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ 180 ਦਿਨਾਂ ਤੱਕ ਸੀਮਤ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਕਰਦਾ ਹਾਂ।

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

ਟਿੱਪਣੀ:

ਲਾਈਨਾਂ ਪਾਓ ਆਪਣਾ... ਸਮੱਗਰੀ ਵਿੱਚ ਬਦਲੋ ਉਨ੍ਹਾਂ ਦੇ ਸਰਟੀਫਿਕੇਟ;
ਰਿਮੋਟ ਡਾਇਰੈਕਟਿਵ ਵਿੱਚ, ਆਪਣੇ ਗੇਟਵੇ ਦਾ ਨਾਮ/ਪਤਾ ਦਿਓ;
auth-user-ਪਾਸ ਡਾਇਰੈਕਟਿਵ ਵਾਧੂ ਬਾਹਰੀ ਪ੍ਰਮਾਣੀਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਹੋਮ ਡਾਇਰੈਕਟਰੀ (ਜਾਂ ਹੋਰ ਸੁਵਿਧਾਜਨਕ ਜਗ੍ਹਾ) ਵਿੱਚ ਅਸੀਂ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਦੀ ਬੇਨਤੀ ਕਰਨ ਅਤੇ ਇੱਕ ਪ੍ਰੋਫਾਈਲ ਬਣਾਉਣ ਲਈ ਇੱਕ ਸਕ੍ਰਿਪਟ ਬਣਾਉਂਦੇ ਹਾਂ:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

ਫਾਈਲ ਨੂੰ ਚੱਲਣਯੋਗ ਬਣਾਉਣਾ:

chmod a+x ~/make.profile.sh

ਅਤੇ ਅਸੀਂ ਆਪਣਾ ਪਹਿਲਾ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰ ਸਕਦੇ ਹਾਂ।

~/make.profile.sh my-first-user

ਫੀਡਬੈਕ

ਕਿਸੇ ਸਰਟੀਫਿਕੇਟ (ਨੁਕਸਾਨ, ਚੋਰੀ) ਨਾਲ ਸਮਝੌਤਾ ਹੋਣ ਦੇ ਮਾਮਲੇ ਵਿੱਚ, ਇਸ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਰੱਦ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

ਜਾਰੀ ਕੀਤੇ ਅਤੇ ਰੱਦ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਵੇਖੋ

ਜਾਰੀ ਕੀਤੇ ਅਤੇ ਰੱਦ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟਾਂ ਨੂੰ ਦੇਖਣ ਲਈ, ਬਸ ਇੰਡੈਕਸ ਫਾਈਲ ਵੇਖੋ:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

ਵਿਆਖਿਆ:

ਪਹਿਲੀ ਲਾਈਨ ਸਰਵਰ ਸਰਟੀਫਿਕੇਟ ਹੈ;
ਪਹਿਲਾ ਅੱਖਰ
- V (ਵੈਧ) - ਵੈਧ;
- ਆਰ (ਰੱਦ) - ਵਾਪਸ ਬੁਲਾਇਆ.

ਨੈੱਟਵਰਕ ਸੰਰਚਨਾ

ਆਖਰੀ ਪੜਾਅ ਟਰਾਂਸਮਿਸ਼ਨ ਨੈੱਟਵਰਕ - ਰੂਟਿੰਗ ਅਤੇ ਫਾਇਰਵਾਲਾਂ ਨੂੰ ਸੰਰਚਿਤ ਕਰਨਾ ਹੈ।

ਸਥਾਨਕ ਫਾਇਰਵਾਲ ਵਿੱਚ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਆਗਿਆ ਦੇ ਰਿਹਾ ਹੈ:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

ਅੱਗੇ, IP ਟ੍ਰੈਫਿਕ ਰੂਟਿੰਗ ਨੂੰ ਸਮਰੱਥ ਕਰੋ:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

ਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣ ਵਿੱਚ, ਸਬਨੈਟਿੰਗ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਹੁੰਦੀ ਹੈ ਅਤੇ ਸਾਨੂੰ ਰਾਊਟਰ(ਆਂ) ਨੂੰ ਇਹ ਦੱਸਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਕਿ ਸਾਡੇ VPN ਕਲਾਇੰਟਸ ਲਈ ਨਿਰਧਾਰਿਤ ਪੈਕੇਟ ਕਿਵੇਂ ਭੇਜਣੇ ਹਨ। ਕਮਾਂਡ ਲਾਈਨ 'ਤੇ ਅਸੀਂ ਕਮਾਂਡ ਨੂੰ ਇਸ ਤਰੀਕੇ ਨਾਲ ਚਲਾਉਂਦੇ ਹਾਂ (ਵਰਤੇ ਗਏ ਉਪਕਰਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

ਅਤੇ ਸੰਰਚਨਾ ਨੂੰ ਸੰਭਾਲੋ.

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਬਾਰਡਰ ਰਾਊਟਰ ਇੰਟਰਫੇਸ 'ਤੇ ਜਿੱਥੇ ਬਾਹਰੀ ਪਤਾ gw.abc.ru ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, udp/1194 ਪੈਕੇਟਾਂ ਨੂੰ ਲੰਘਣ ਦੀ ਇਜਾਜ਼ਤ ਦੇਣਾ ਜ਼ਰੂਰੀ ਹੈ।

ਜੇਕਰ ਸੰਸਥਾ ਦੇ ਸਖ਼ਤ ਸੁਰੱਖਿਆ ਨਿਯਮ ਹਨ, ਤਾਂ ਸਾਡੇ VPN ਸਰਵਰ 'ਤੇ ਫਾਇਰਵਾਲ ਨੂੰ ਵੀ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਮੇਰੀ ਰਾਏ ਵਿੱਚ, ਸਭ ਤੋਂ ਵੱਡੀ ਲਚਕਤਾ iptables FORWARD ਚੇਨ ਸਥਾਪਤ ਕਰਕੇ ਪ੍ਰਦਾਨ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਹਾਲਾਂਕਿ ਉਹਨਾਂ ਨੂੰ ਸਥਾਪਤ ਕਰਨਾ ਘੱਟ ਸੁਵਿਧਾਜਨਕ ਹੈ. ਉਹਨਾਂ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਬਾਰੇ ਥੋੜਾ ਹੋਰ. ਅਜਿਹਾ ਕਰਨ ਲਈ, "ਸਿੱਧਾ ਨਿਯਮ" ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸਭ ਤੋਂ ਸੁਵਿਧਾਜਨਕ ਹੈ - ਸਿੱਧੇ ਨਿਯਮ, ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਗਏ ਹਨ /etc/firewalld/direct.xml. ਨਿਯਮਾਂ ਦੀ ਮੌਜੂਦਾ ਸੰਰਚਨਾ ਹੇਠ ਲਿਖੇ ਅਨੁਸਾਰ ਲੱਭੀ ਜਾ ਸਕਦੀ ਹੈ:

$ sudo firewall-cmd --direct --get-all-rule

ਕਿਸੇ ਫਾਈਲ ਨੂੰ ਬਦਲਣ ਤੋਂ ਪਹਿਲਾਂ, ਇਸਦੀ ਬੈਕਅੱਪ ਕਾਪੀ ਬਣਾਓ:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

ਫਾਈਲ ਦੀ ਅੰਦਾਜ਼ਨ ਸਮੱਗਰੀ ਹਨ:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

ਵਿਆਖਿਆ

ਇਹ ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਨਿਯਮਤ iptables ਨਿਯਮ ਹਨ, ਨਹੀਂ ਤਾਂ ਫਾਇਰਵਾਲਡ ਦੇ ਆਗਮਨ ਤੋਂ ਬਾਅਦ ਪੈਕ ਕੀਤੇ ਗਏ ਹਨ।

ਡਿਫਾਲਟ ਸੈਟਿੰਗਾਂ ਵਾਲਾ ਮੰਜ਼ਿਲ ਇੰਟਰਫੇਸ tun0 ਹੈ, ਅਤੇ ਸੁਰੰਗ ਲਈ ਬਾਹਰੀ ਇੰਟਰਫੇਸ ਵੱਖਰਾ ਹੋ ਸਕਦਾ ਹੈ, ਉਦਾਹਰਨ ਲਈ, ens192, ਵਰਤੇ ਗਏ ਪਲੇਟਫਾਰਮ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ।

ਆਖਰੀ ਲਾਈਨ ਡਰਾਪ ਪੈਕੇਟਾਂ ਨੂੰ ਲੌਗ ਕਰਨ ਲਈ ਹੈ। ਕੰਮ ਕਰਨ ਲਈ ਲਾਗਿੰਗ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਫਾਇਰਵਾਲਡ ਸੰਰਚਨਾ ਵਿੱਚ ਡੀਬੱਗ ਪੱਧਰ ਨੂੰ ਬਦਲਣ ਦੀ ਲੋੜ ਹੈ:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

ਸੈਟਿੰਗਾਂ ਨੂੰ ਮੁੜ-ਪੜ੍ਹਨ ਲਈ ਸੈਟਿੰਗਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਆਮ ਫਾਇਰਵਾਲਡ ਕਮਾਂਡ ਹੈ:

$ sudo firewall-cmd --reload

ਤੁਸੀਂ ਇਸ ਤਰ੍ਹਾਂ ਛੱਡੇ ਹੋਏ ਪੈਕੇਟ ਦੇਖ ਸਕਦੇ ਹੋ:

grep forward_fw /var/log/messages

ਅੱਗੇ ਕੀ ਹੈ

ਇਹ ਸੈੱਟਅੱਪ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ!

ਜੋ ਬਚਦਾ ਹੈ ਉਹ ਹੈ ਕਲਾਇੰਟ ਸਾਈਡ 'ਤੇ ਕਲਾਇੰਟ ਸੌਫਟਵੇਅਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨਾ, ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਆਯਾਤ ਕਰਨਾ ਅਤੇ ਕਨੈਕਟ ਕਰਨਾ। ਵਿੰਡੋਜ਼ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਲਈ, ਡਿਸਟਰੀਬਿਊਸ਼ਨ ਕਿੱਟ 'ਤੇ ਸਥਿਤ ਹੈ ਡਿਵੈਲਪਰ ਵੈੱਬਸਾਈਟ.

ਅੰਤ ਵਿੱਚ, ਅਸੀਂ ਆਪਣੇ ਨਵੇਂ ਸਰਵਰ ਨੂੰ ਨਿਗਰਾਨੀ ਅਤੇ ਪੁਰਾਲੇਖ ਪ੍ਰਣਾਲੀਆਂ ਨਾਲ ਜੋੜਦੇ ਹਾਂ, ਅਤੇ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਅੱਪਡੇਟ ਸਥਾਪਤ ਕਰਨਾ ਨਾ ਭੁੱਲੋ।

ਸਥਿਰ ਕੁਨੈਕਸ਼ਨ!

ਸਰੋਤ: www.habr.com

OpenVPN 'ਤੇ ਇੱਕ SMB ਸੰਸਥਾ ਦੇ ਰਿਮੋਟ ਕੰਮ ਦਾ ਸੰਗਠਨ