مسلې

په دې وروستیو کې، ډیری نه پوهیدل چې د کور څخه کار کول څنګه دي. د وبا ناروغي په ډراماتیک ډول په نړۍ کې وضعیت بدل کړی؛ هرڅوک د اوسني شرایطو سره موافقت پیل کړی ، د بیلګې په توګه دا حقیقت چې د کور پریښودل په ساده ډول ناامنه شوي. او ډیری باید ژر تر ژره د خپلو کارمندانو لپاره د کور څخه کار تنظیم کړي.

په هرصورت، د لیرې کار لپاره د حلونو غوره کولو لپاره د وړ چلند نشتوالی کولی شي د نه بدلیدونکي زیانونو لامل شي. د کارن پاسورډونه غلا کیدی شي، او دا به یو برید کونکي ته اجازه ورکړي چې په غیر منظم ډول د شبکې او د تصدۍ IT سرچینو سره وصل شي.

له همدې امله د باور وړ کارپوریټ VPN شبکو رامینځته کولو اړتیا اوس زیاته شوې. زه به تاسو ته په اړه ووایم د باور وړ, خوندي и ساده د VPN شبکې کارولو کې.

دا د IPsec/L2TP سکیم سره سم کار کوي، کوم چې د پیرودونکو تصدیق کولو لپاره په ټوکنونو کې زیرمه شوي غیر نه ترلاسه کیدونکي کیلي او سندونه کاروي، او همدارنګه په کوډ شوي بڼه کې د شبکې څخه ډاټا لیږدوي.

د CentOS 7 سره یو سرور (پته: centos.vpn.server.ad) او یو مراجع د اوبنټو 20.04 سره، او همدارنګه د وینډوز 10 سره یو پیرودونکي، د ترتیب لپاره د مظاهرې په توګه کارول شوي.

د سیسټم توضیحات

VPN به د IPSec + L2TP + PPP سکیم مطابق کار وکړي. پروتوکول پوائنټ تر پوائنټ پروتوکول (پی پی پی) د OSI ماډل ډیټا لینک پرت کې کار کوي او د لیږد شوي ډیټا د کارونکي تصدیق او کوډ کول چمتو کوي. د دې ډاټا د L2TP پروتوکول ډیټا کې پوښل شوي ، کوم چې واقعیا د VPN شبکې کې د اتصال رامینځته کول تضمینوي ، مګر تصدیق او کوډ کول نه وړاندې کوي.

د L2TP ډاټا په IPSec کې پوښل شوي، کوم چې تصدیق او کوډ کول هم چمتو کوي، مګر د PPP برعکس، تصدیق او کوډ کول د وسیلې په کچه واقع کیږي، نه د کاروونکي په کچه.

دا فیچر تاسو ته اجازه درکوي یوازې د ځینو وسیلو څخه کاروونکي تصدیق کړئ. موږ به د IPSec پروتوکول وکاروو لکه څنګه چې دا دی او د هرې وسیلې څخه د کارونکي تصدیق ته اجازه ورکوو.

د سمارټ کارتونو په کارولو سره د کارونکي تصدیق به د PPP پروتوکول په کچه د EAP-TLS پروتوکول په کارولو سره ترسره شي.

د دې سرکټ د عملیاتو په اړه نور تفصيلي معلومات موندل کیدی شي دا مقاله.

ولې دا سکیم د ښه VPN شبکې ټولې درې اړتیاوې پوره کوي؟

1. د دې سکیم اعتبار د وخت په تیریدو سره ازمول شوی. دا د 2000 راهیسې د VPN شبکې ځای په ځای کولو لپاره کارول شوی.
2. د خوندي کارونکي تصدیق د PPP پروتوکول لخوا چمتو شوی. د PPP پروتوکول معیاري پلي کول چې د پاول میکراس لخوا رامینځته شوي په کافي اندازه امنیت نه ورکوي، ځکه د تصدیق لپاره، په غوره حالت کې، د ننوتلو او پټنوم په کارولو سره تصدیق کارول کیږي. موږ ټول پوهیږو چې د ننوتلو پاسورډ جاسوسي کیدی شي ، اټکل کیدی شي یا غلا کیدی شي. په هرصورت، د اوږدې مودې لپاره اوس پراختیا کونکي جان بس کیجسر в د هغې پلي کول دې پروتوکول دا مسله سمه کړه او د غیر متناسب کوډ کولو پراساس د پروتوکولونو کارولو وړتیا اضافه کړه ، لکه EAP-TLS ، د تصدیق لپاره. سربیره پردې، هغه د تصدیق لپاره د سمارټ کارتونو کارولو وړتیا اضافه کړه، کوم چې سیسټم ډیر خوندي کړی.
   اوس مهال، د دغو دوو پروژو د یوځای کولو لپاره فعالې خبرې اترې روانې دي او تاسو ډاډه یاست چې ژر یا وروسته به دا هر څه پیښ شي. د مثال په توګه، د PPP یوه پیچلې نسخه د اوږدې مودې لپاره د فیډورا ذخیره کې ده، د تصدیق کولو لپاره خوندي پروتوکولونه کاروي.
3. تر دې وروستیو پورې، دا شبکه یوازې د وینډوز کاروونکو لخوا کارول کیدی شي، مګر زموږ همکارانو د مسکو دولتي پوهنتون واسیلي شوکوف او الکساندر سمیرنوف وموندل. د لینکس لپاره زاړه L2TP پیرودونکي پروژه او ترمیم یې کړ. په ګډه، موږ د مراجعینو په کار کې ډیری نیمګړتیاوې او نیمګړتیاوې حل کړې، د سیسټم نصب او تنظیم کول یې ساده کړل، حتی کله چې د سرچینې څخه جوړیږي. د دوی ترټولو مهم دي:
   • د Openssl او qt د نویو نسخو انٹرفیس سره د زاړه پیرودونکي د مطابقت ستونزې ثابتې شوې.
   • pppd د لنډمهاله فایل له لارې د نښه شوي PIN تیرولو څخه لرې کړل.
   • د ګرافیکي انٹرفیس له لارې د پټنوم غوښتنې برنامې غلط پیل شوی. دا د xl2tpd خدمت لپاره د سم چاپیریال په نصبولو سره ترسره شوی.
   • د L2tpIpsecVpn ډیمون جوړول اوس پخپله د پیرودونکي جوړونې سره یوځای ترسره کیږي ، کوم چې د جوړونې او تنظیم کولو پروسه ساده کوي.
   • د پراختیا اسانتیا لپاره، د Azure پایپ لاین سیسټم د جوړیدو سموالي ازموینې لپاره وصل شوی.
   • د جبري ښکته کولو وړتیا اضافه کړه امنیت کچه د Openssl په شرایطو کې. دا د نوي عملیاتي سیسټمونو سم ملاتړ لپاره ګټور دی چیرې چې د معیاري امنیت کچه ​​2 ته ټاکل شوې ، د VPN شبکو سره چې سندونه کاروي چې د دې کچې امنیت اړتیاوې نه پوره کوي. دا اختیار به د موجوده زاړه VPN شبکو سره کار کولو لپاره ګټور وي.

اصلاح شوی نسخه په کې موندل کیدی شي دا ذخیره.

دا پیرودونکی د تصدیق لپاره د سمارټ کارتونو کارولو ملاتړ کوي ، او د لینکس لاندې د دې سکیم تنظیم کولو ټولې ستونزې او سختۍ د امکان تر حده پټوي ، د پیرودونکي تنظیم کول څومره چې امکان لري ساده او ګړندي کوي.

البته، د PPP او پیرودونکي GUI ترمنځ د مناسب ارتباط لپاره، دا د هرې پروژې لپاره د اضافي سمونونو پرته ممکنه نه وه، مګر بیا هم دوی لږترلږه او لږ تر لږه کم شوي:

• ثابت شوی د PPP څخه د Openssl شرایطو ته په غلطه توګه د نښه PIN کوډ لیږلو تېروتنه
• ثابت شوی د تشکیلاتو بارولو او د Openssl شرایطو پیل کولو په ترتیب کې تېروتنه. دې تېروتنې موږ ته اجازه نه راکوله چې د ځایی /etc/ppp/openssl.cnf کنفیګریشن فایل څخه د سمارټ کارتونو سره کار کولو لپاره د Openssl انجنونو په اړه معلومات پرته بل څه پورته کړو، کوم چې یو جدي تکلیف و که د مثال په توګه، د انجنونو په اړه د معلوماتو سربیره، موږ غوښتل یو څه بل شی تنظیم کړو. د مثال په توګه، د پیوستون رامینځته کولو پر مهال د امنیت کچه ​​تنظیم کړئ.

اوس تاسو کولی شئ تنظیم کول پیل کړئ.

د سرور توننګ

راځئ چې ټول اړین کڅوړې نصب کړو.

د قوي سوان نصب کول (IPsec)

له هرڅه دمخه ، راځئ چې د ipsec عملیاتو لپاره فایر وال تنظیم کړو

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

بیا راځئ چې نصب پیل کړو

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

د نصبولو وروسته، تاسو اړتیا لرئ چې سټراسوان تنظیم کړئ (یو د IPSec پلي کولو څخه). د دې کولو لپاره، فایل سم کړئ /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

موږ به د ننوتلو یو عام پاسورډ هم تنظیم کړو. شریک شوی پټنوم باید د تصدیق لپاره د شبکې ټولو ګډون کونکو ته وپیژندل شي. دا طریقه په ښکاره ډول د اعتبار وړ نه ده، ځکه دا پټنوم په اسانۍ سره هغه اشخاصو ته پیژندل کیدی شي چې موږ نه غواړو شبکې ته لاسرسی چمتو کړو.
په هرصورت، حتی دا حقیقت به د شبکې امنیت اغیزه ونکړي، ځکه د اصلي معلوماتو کوډ کول او د کارونکي تصدیق د PPP پروتوکول لخوا ترسره کیږي. مګر په عادلانه توګه، دا د یادولو وړ ده چې ځواکمن د تصدیق کولو لپاره د ډیرو خوندي ټیکنالوژیو ملاتړ کوي، د بیلګې په توګه، د شخصي کیلي کارول. سټرانګسوان د سمارټ کارتونو په کارولو سره د تصدیق چمتو کولو وړتیا هم لري ، مګر تر دې دمه یوازې د وسیلو یو محدود لړۍ ملاتړ کیږي او له همدې امله د روتوکن ټوکنونو او سمارټ کارتونو په کارولو سره تصدیق لاهم ستونزمن دی. راځئ چې د فایل له لارې عمومي پټنوم تنظیم کړو /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

راځئ چې قوي سوان بیا پیل کړو:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

د xl2tp نصب کول

sudo dnf install xl2tpd

راځئ چې دا د فایل له لارې تنظیم کړو /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

راځئ چې خدمت بیا پیل کړو:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

د پی پی پی تنظیم

دا مشوره ورکول کیږي چې د pppd وروستۍ نسخه نصب کړئ. د دې کولو لپاره، د کمانډونو لاندې ترتیب اجرا کړئ:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

فایل ته ولیکئ /etc/ppp/options.xl2tpd لاندې (که چیرې کوم ارزښتونه شتون ولري، تاسو کولی شئ هغه حذف کړئ):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

موږ د روټ سند او سرور سند خپروو:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

پدې توګه ، موږ د لومړني سرور تنظیم کولو سره ترسره شوي. د سرور پاتې ترتیب کې د نوي پیرودونکو اضافه کول شامل دي.

د نوي پیرودونکي اضافه کول

شبکې ته د نوي پیرودونکي اضافه کولو لپاره ، تاسو باید د دې پیرودونکي لپاره د باور وړ کسانو لیست کې د دې سند اضافه کړئ.

که یو کاروونکی غواړي د VPN شبکې غړی شي، هغه د دې پیرودونکي لپاره کلیدي جوړه او د سند غوښتنلیک رامینځته کوي. که چیرې کاروونکي باور ولري، نو دا غوښتنلیک لاسلیک کیدی شي، او پایله شوي سند د سندونو لارښود ته لیکل کیدی شي:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

راځئ چې /etc/ppp/eaptls-server فایل ته یو کرښه اضافه کړو ترڅو د پیرودونکي نوم او د دې سند سره سمون ومومي:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

یادښت
د ګډوډۍ مخنیوي لپاره، دا غوره ده چې: عام نوم، د سند فایل نوم او د کارن نوم ځانګړی وي.

دا هم د چک کولو ارزښت لري چې د هغه کارن نوم چې موږ یې اضافه کوو د نورو تصدیق کولو فایلونو کې هیڅ ځای نه ښکاري، که نه نو د کارونکي د تصدیق کولو طریقې سره به ستونزې وي.

ورته سند باید بیرته کارونکي ته واستول شي.

د کلیدي جوړه او سند تولید کول

د بریالي تصدیق لپاره، پیرودونکي باید:

1. کلیدي جوړه جوړه کړئ؛
2. د CA روټ سند ولرئ؛
3. ستاسو د کلیدي جوړې لپاره یو سند ولرئ چې د روټ CA لخوا لاسلیک شوی.

په لینکس کې د پیرودونکي لپاره

لومړی، راځئ چې په نښه کې کلیدي جوړه جوړه کړو او د سند لپاره غوښتنلیک جوړ کړو:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

د client.req غوښتنلیک واستوئ چې CA ته ښکاري. یوځل چې تاسو د خپلې کلیدي جوړې لپاره سند ترلاسه کړئ ، نو دا د کیلي په څیر ورته ID سره په نښه کې ولیکئ:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

د وینډوز او لینکس پیرودونکو لپاره (ډیر نړیوال میتود)

دا میتود ډیر نړیوال دی، ځکه تاسو ته اجازه درکوي یو کیلي او سند تولید کړئ چې د وینډوز او لینکس کاروونکو لخوا به په بریالیتوب سره وپیژندل شي، مګر دا د وینډوز ماشین ته اړتیا لري ترڅو د کلیدي نسل طرزالعمل ترسره کړي.

د غوښتنو تولیدولو او د سندونو واردولو دمخه، تاسو باید د VPN شبکې روټ سند د باور وړ کسانو لیست کې اضافه کړئ. د دې کولو لپاره، دا پرانیزئ او په هغه کړکۍ کې چې خلاصیږي، د "انسټالټ سند" انتخاب غوره کړئ:

په هغه کړکۍ کې چې خلاصیږي ، د ځایی کارونکي لپاره د سند نصب کول غوره کړئ:

راځئ چې سند د CA په باوري روټ سند پلورنځي کې نصب کړو:

د دې ټولو کړنو وروسته، موږ د نورو ټولو ټکو سره موافق یو. سیسټم اوس ترتیب شوی.

راځئ چې د لاندې منځپانګې سره د cert.tmp فایل جوړ کړو:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

له دې وروسته، موږ به کلیدي جوړه جوړه کړو او د سند لپاره به یو غوښتنلیک جوړ کړو. د دې کولو لپاره ، پاورشیل خلاص کړئ او لاندې کمانډ دننه کړئ:

certreq.exe -new -pin $PIN .cert.tmp .client.req

جوړ شوی غوښتنلیک client.req خپل CA ته واستوئ او د client.pem سند ترلاسه کولو انتظار وکړئ. دا په نښه کې لیکل کیدی شي او د لاندې کمانډ په کارولو سره د وینډوز سند پلورنځي کې اضافه کیدی شي:

certreq.exe -accept .client.pem

د یادولو وړ ده چې ورته کړنې د mmc برنامې ګرافیکي انٹرفیس په کارولو سره بیا تولید کیدی شي ، مګر دا میتود ډیر وخت مصرف او لږ د برنامه وړ دی.

د اوبنټو پیرودونکي تنظیم کول

یادښت
په لینکس کې د پیرودونکي تنظیم کول اوس مهال خورا ډیر وخت نیسي ، ځکه چې ... د سرچینې څخه جلا پروګرامونو جوړولو ته اړتیا لري. موږ به هڅه وکړو چې ډاډ ترلاسه کړو چې ټول بدلونونه په نږدې راتلونکي کې په رسمي ذخیره کې شامل دي.

د سرور سره د IPSec په کچه د پیوستون ډاډ ترلاسه کولو لپاره ، د سټراسوان کڅوړه او xl2tp ډیمون کارول کیږي. د سمارټ کارتونو په کارولو سره د شبکې سره د نښلولو ساده کولو لپاره، موږ به د l2tp-ipsec-vpn کڅوړه وکاروو، کوم چې د ساده پیوستون تنظیم کولو لپاره ګرافیکي شیل چمتو کوي.

راځئ چې ګام په ګام د عناصرو راټولول پیل کړو، مګر مخکې له دې به موږ د VPN لپاره د مستقیم کار کولو لپاره ټول اړین کڅوړې نصب کړو:

sudo apt-get install xl2tpd strongswan libp11-3

د ټوکنونو سره کار کولو لپاره سافټویر نصب کول

د دې څخه وروستی librtpkcs11ecp.so کتابتون نصب کړئ سایټد سمارټ کارتونو سره د کار کولو لپاره کتابتونونه هم:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

روتوکن سره وصل کړئ او وګورئ چې دا د سیسټم لخوا پیژندل شوی:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

د پیچ ​​شوي پی پی پی نصب کول

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

د L2tpIpsecVpn پیرودونکي نصب کول

په اوس وخت کې، مراجع باید د سرچینې کوډ څخه تالیف شي. دا د امرونو د لاندې ترتیب په کارولو سره ترسره کیږي:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

د L2tpIpsecVpn پیرودونکي تنظیم کول

نصب شوی پیرودونکي پیل کړئ:

د لانچ وروسته، L2tpIpsecVPN اپلیټ باید خلاص شي. ښي کلیک وکړئ او پیوستون تنظیم کړئ:

د ټوکنونو سره د کار کولو لپاره، لومړی، موږ د OpenSSL انجن د Opensc انجن او د PKCS#11 کتابتون ته لاره په ګوته کوو. د دې کولو لپاره، د Openssl پیرامیټونو تنظیم کولو لپاره د "ترجیحات" ټب خلاص کړئ:

.

راځئ چې د OpenSSL ترتیبات کړکۍ وتړو او د شبکې تنظیم کولو ته لاړ شو. راځئ چې د ترتیباتو په پینل کې د Add... تڼۍ په کلیک کولو سره نوې شبکه اضافه کړو او د شبکې نوم دننه کړئ:

له دې وروسته، دا شبکه به د ترتیباتو پینل کې شتون ولري. د تنظیم کولو لپاره په نوې شبکه باندې دوه ځله ښي کلیک وکړئ. په لومړي ټب کې تاسو اړتیا لرئ د IPsec تنظیمات جوړ کړئ. راځئ چې د سرور پته او عامه کیلي تنظیم کړو:

له دې وروسته، د PPP ترتیباتو ټب ته لاړ شئ او هلته د هغه کارن نوم په ګوته کړئ چې موږ یې لاندې شبکې ته لاسرسی غواړو:

له دې وروسته ، د ملکیت ټب خلاص کړئ او کیلي ته لاره مشخص کړئ ، د پیرودونکي سند او CA:

راځئ چې دا ټب وتړو او وروستي ترتیبات ترسره کړو؛ د دې کولو لپاره، د "IP ترتیبات" ټب خلاص کړئ او د "په اتوماتيک ډول د DNS سرور پته ترلاسه کړئ" اختیار ته نږدې بکس چیک کړئ:

دا اختیار به پیرودونکي ته اجازه ورکړي چې په شبکه کې د سرور څخه شخصي IP پته ترلاسه کړي.

د ټولو ترتیباتو وروسته، ټول ټبونه بند کړئ او پیرودونکي بیا پیل کړئ:

شبکې سره نښلول

د تنظیماتو وروسته، تاسو کولی شئ د شبکې سره وصل شئ. د دې کولو لپاره، د اپلټ ټب پرانیزئ او هغه شبکه غوره کړئ چې موږ یې وصل کول غواړو:

د پیوستون رامینځته کولو پروسې په جریان کې ، پیرودونکی به له موږ څخه وغواړي چې د Rutoken PIN کوډ دننه کړي:

که چیرې یو خبرتیا د وضعیت بار کې څرګند شي چې اړیکه په بریالیتوب سره رامینځته شوې ، نو پدې معنی ده چې تنظیم بریالی و:

که نه نو، دا د موندلو ارزښت لري چې ولې اړیکه نه وه جوړه شوې. د دې کولو لپاره، تاسو باید په اپلټ کې د "اړیکو معلوماتو" کمانډ په غوره کولو سره د پروګرام لاګ وګورئ:

د وینډوز پیرودونکي تنظیم کول

په وینډوز کې د پیرودونکي تنظیم کول د لینکس په پرتله خورا اسانه دي ، ځکه چې ... ټول اړین سافټویر لا دمخه په سیسټم کې جوړ شوی.

د سیسټم تنظیم کول

موږ به د Rutokens سره د کار کولو لپاره ټول اړین ډرایورونه د دوی څخه ډاونلوډ کولو سره نصب کړو د. سایټ.

د تصدیق لپاره د روټ سند واردول

د سرور روټ سند ډاونلوډ کړئ او په سیسټم کې یې نصب کړئ. د دې کولو لپاره، دا پرانیزئ او په هغه کړکۍ کې چې خلاصیږي، د "انسټالټ سند" انتخاب غوره کړئ:

په هغه کړکۍ کې چې خلاصیږي ، د ځایی کارونکي لپاره د سند نصب کول غوره کړئ. که تاسو غواړئ سند په کمپیوټر کې ټولو کاروونکو ته شتون ولري ، نو تاسو باید په محلي کمپیوټر کې د سند نصبولو غوره کړئ:

راځئ چې سند د CA په باوري روټ سند پلورنځي کې نصب کړو:

د دې ټولو کړنو وروسته، موږ د نورو ټولو ټکو سره موافق یو. سیسټم اوس ترتیب شوی.

د VPN اتصال تنظیم کول

د VPN اتصال تنظیم کولو لپاره ، د کنټرول پینل ته لاړشئ او د نوي پیوستون رامینځته کولو اختیار غوره کړئ.

په پاپ اپ کړکۍ کې، د خپل کار ځای سره د نښلولو لپاره د پیوستون جوړولو لپاره اختیار غوره کړئ:

په راتلونکې کړکۍ کې، د VPN اتصال غوره کړئ:

او د VPN پیوستون توضیحات دننه کړئ، او د سمارټ کارت کارولو اختیار هم مشخص کړئ:

تنظیم لا تر اوسه بشپړ شوی نه دی. ټول هغه څه چې پاتې دي د IPsec پروتوکول لپاره د شریک کیلي مشخص کول دي؛ د دې کولو لپاره ، د "شبکې اتصال ترتیبات" ټب ته لاړشئ او بیا د "د دې اړیکې لپاره ملکیتونه" ټب ته لاړ شئ:

په هغه کړکۍ کې چې خلاصیږي، د "امنیت" ټب ته لاړ شئ، د شبکې ډول په توګه "L2TP/IPsec شبکه" مشخص کړئ او "پرمختللي ترتیبات" غوره کړئ:

په هغه کړکۍ کې چې خلاصیږي، د شریک IPsec کیلي مشخص کړئ:

Подключение

د تنظیم کولو بشپړولو وروسته، تاسو کولی شئ د شبکې سره وصل کولو هڅه وکړئ:

د پیوستون پروسې په جریان کې، موږ به اړ یو چې د نښه PIN کوډ دننه کړو:

موږ یو خوندي VPN شبکه جوړه کړې او ډاډ ترلاسه کړی چې دا ستونزمن نه دی.

اعترافونه

زه غواړم یوځل بیا زموږ د همکارانو واسیلي شوکوف او الکساندر سمیرنوف څخه د هغه کار لپاره مننه وکړم چې دوی د لینکس پیرودونکو لپاره د VPN اتصالونو رامینځته کولو ساده کولو لپاره په ګډه ترسره کړي.

سرچینه: www.habr.com