آرٽيڪل اوپن سورس پراڊڪٽس تي ملازمن لاءِ ريموٽ رسائي جي تنظيم کي بيان ڪري ٿو ۽ مڪمل طور تي خودمختيار نظام ٺاهڻ لاءِ ٻنهي کي استعمال ڪري سگهجي ٿو، ۽ توسيع لاءِ مفيد ٿيندو جڏهن موجوده تجارتي نظام ۾ لائسنس جي گهٽتائي هجي يا ان جي ڪارڪردگي ڪافي نه هجي.
آرٽيڪل جو مقصد هڪ تنظيم کي ريموٽ رسائي فراهم ڪرڻ لاءِ مڪمل نظام لاڳو ڪرڻ آهي ، جيڪو “10 منٽن ۾ اوپن وي پي اين کي انسٽال ڪرڻ” کان ٿورو وڌيڪ آهي.
نتيجي طور، اسان هڪ سسٽم حاصل ڪنداسين جنهن ۾ سرٽيفڪيٽ ۽ (اختياري طور تي) ڪارپوريٽ فعال ڊائريڪٽري استعمال ڪيو ويندو صارفين جي تصديق ڪرڻ لاء. اهو. اسان کي ٻن تصديق جي عنصرن سان هڪ سسٽم حاصل ڪنداسين - مون وٽ ڇا آهي (سرٽيفڪيٽ) ۽ جيڪو مان ڄاڻان ٿو (پاسورڊ).
هڪ نشاني جيڪا صارف کي ڳنڍڻ جي اجازت ڏني وئي آهي انهن جي رڪنيت آهي myVPNUsr گروپ ۾. سرٽيفڪيٽ اختيار آف لائن استعمال ڪيو ويندو.
حل کي لاڳو ڪرڻ جي قيمت صرف ننڍڙو هارڊويئر وسيلن ۽ سسٽم جي منتظم جي ڪم جو 1 ڪلاڪ آهي.
اسان هڪ ورچوئل مشين استعمال ڪنداسين OpenVPN ۽ Easy-RSA ورزن 3 سان CetntOS 7 تي، جنهن کي مختص ڪيو ويو آهي 100 وي سي پي يو ۽ 4 GiB رام في 4 ڪنيڪشن.
مثال طور، اسان جي تنظيم جو نيٽ ورڪ 172.16.0.0/16 آهي، جنهن ۾ ايڊريس 172.16.19.123 سان VPN سرور سيڪشن 172.16.19.0/24، DNS سرورز 172.16.16.16 ۽ 172.16.17.17 ۽ 172.16.20.0. .23/XNUMX مختص ڪيو ويو آهي VPN گراهڪن لاءِ.
ٻاهران ڳنڍڻ لاءِ، بندرگاهه 1194/udp ذريعي هڪ ڪنيڪشن استعمال ڪيو ويندو آهي، ۽ اسان جي سرور لاءِ DNS ۾ هڪ A-record gw.abc.ru ٺاهيو ويو آهي.
SELinux کي بند ڪرڻ جي سختي سان سفارش نه ڪئي وئي آهي! OpenVPN سيڪيورٽي پاليسين کي غير فعال ڪرڻ کان سواء ڪم ڪري ٿو.
اسان استعمال ڪريون ٿا CentOS 7.8.2003 تقسيم. اسان کي او ايس کي گھٽ ۾ گھٽ ترتيب ۾ انسٽال ڪرڻ جي ضرورت آھي. اهو استعمال ڪرڻ آسان آهي ڪيڪٽاڳ ۾ نصب ٿيل OS تصوير ۽ ٻين ذريعن کي ڪلون ڪرڻ.
انسٽاليشن کان پوء، نيٽ ورڪ انٽرفيس تي هڪ ايڊريس تفويض ڪرڻ (ٽاسڪ 172.16.19.123 جي شرطن جي مطابق)، اسان او ايس کي اپڊيٽ ڪريون ٿا:
$ sudo yum update -y && reboot
اسان کي پڻ پڪ ڪرڻ جي ضرورت آهي ته وقت جي هم وقت سازي اسان جي مشين تي ڪئي وئي آهي.
ايپليڪيشن سافٽ ويئر انسٽال ڪرڻ لاءِ، توھان کي گھربل آھي Openvpn، openvpn-auth-ldap، easy-rsa ۽ vim پيڪيجز بنيادي ايڊيٽر طور (توھان کي EPEL مخزن جي ضرورت پوندي).
مشروط تنظيم ABC LLC جا پيرا ميٽر هتي بيان ڪيا ويا آهن؛ توهان انهن کي درست ڪري سگهو ٿا حقيقي وارن ڏانهن يا انهن کي مثال مان ڇڏي ڏيو. پيرا ميٽرز ۾ سڀ کان اهم شيء آخري لائن آهي، جيڪو ڏينهن ۾ سرٽيفڪيٽ جي صحيح مدت کي طئي ڪري ٿو. مثال استعمال ڪري ٿو قدر 10 سال (365*10+2 ليپ سال). صارف سرٽيفڪيٽ جاري ٿيڻ کان اڳ ھن قدر کي ترتيب ڏيڻ جي ضرورت پوندي.
اڳيون، اسان هڪ خودمختيار سرٽيفڪيشن اٿارٽي ترتيب ڏيون ٿا.
سيٽ اپ ۾ متغير برآمد ڪرڻ، CA جي شروعات ڪرڻ، CA روٽ ڪي ۽ سرٽيفڪيٽ جاري ڪرڻ، Diffie-Hellman ڪي، TLS ڪي، ۽ سرور ڪي ۽ سرٽيفڪيٽ شامل آهن. CA چاٻي کي احتياط سان محفوظ ڪيو وڃي ۽ ڳجهو رکيو وڃي! سڀ سوالن جا پيرا ميٽر ڊفالٽ طور ڇڏي سگھجن ٿا.
*مثال ۾ چونڊيل پتي جي حد 127 ڪلائنٽ کي هڪ ئي وقت ڳنڍڻ جي اجازت ڏيندو، ڇاڪاڻ ته /23 نيٽ ورڪ چونڊيو ويو آهي، ۽ OpenVPN /30 ماسڪ استعمال ڪندي هر ڪلائنٽ لاءِ سب نيٽ ٺاهي ٿو.
جيڪڏهن خاص طور تي ضروري هجي ته، بندرگاهن ۽ پروٽوڪول کي تبديل ڪري سگهجي ٿو، جڏهن ته، اهو ذهن ۾ رکڻ گهرجي ته پورٽ نمبر تبديل ڪرڻ سان SELinux کي ترتيب ڏيڻ جي ضرورت پوندي، ۽ tcp پروٽوڪول کي استعمال ڪندي اوور هيڊ وڌائيندو، ڇاڪاڻ ته TCP پيڪٽ جي ترسيل ڪنٽرول اڳ ۾ ئي سرنگ ۾ ڍڪيل پيڪيٽس جي سطح تي ڪيو ويو آهي.
**جيڪڏهن AD ۾ تصديق جي ضرورت نه آهي، انهن تي تبصرو ڪريو، ايندڙ سيڪشن کي ڇڏي ڏيو، ۽ ٽيمپليٽ ۾ auth-user-pass لائن کي هٽايو.
AD جي تصديق
ٻئي عنصر کي سپورٽ ڪرڻ لاءِ، اسان AD ۾ اڪائونٽ جي تصديق استعمال ڪنداسين.
اسان کي ڊومين ۾ هڪ اڪائونٽ جي ضرورت آهي هڪ عام صارف ۽ هڪ گروپ جي حقن سان، رڪنيت جنهن ۾ ڳنڍڻ جي صلاحيت جو تعين ڪندو.
توھان کي پروفائل ۾ روٽ سرٽيفڪيٽ (ca.crt) ۽ TLS ڪي (ta.key) فائلن جو مواد شامل ڪرڻ جي ضرورت آھي.
صارف سرٽيفڪيٽ جاري ڪرڻ کان اڳ سرٽيفڪيٽن لاءِ گهربل صحيح مدت مقرر ڪرڻ نه وساريو parameters فائل ۾. توهان کي ان کي تمام ڊگهو نه ڪرڻ گهرجي؛ مان سفارش ڪريان ٿو ته پاڻ کي وڌ ۾ وڌ 180 ڏينهن تائين محدود ڪريو.
vim /usr/share/easy-rsa/3/vars
...
export EASYRSA_CERT_EXPIRE=180
vim /usr/share/easy-rsa/3/client/template.ovpn
client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>
نوٽ:
پودا پنهنجي... مواد ۾ تبديل ڪريو پنهنجي سرٽيفڪيٽ؛
ريموٽ هدايت ۾، توهان جي گيٽ وي جو نالو/پتا بيان ڪريو؛
auth-user-pass directive اضافي خارجي تصديق لاءِ استعمال ڪيو ويندو آهي.
ڪارپوريٽ ماحول ۾، ذيلي نيٽ ورڪ ٿيڻ جو امڪان آهي ۽ اسان کي روٽر کي ٻڌائڻ جي ضرورت آهي ته اسان جي وي پي اين ڪلائنٽ لاءِ مقرر ڪيل پيڪيٽ ڪيئن موڪليا وڃن. ڪمانڊ لائن تي اسان ڪمانڊ کي طريقي سان عمل ڪريون ٿا (استعمال ٿيل سامان تي منحصر):
# ip route 172.16.20.0 255.255.254.0 172.16.19.123
۽ ترتيب محفوظ ڪريو.
ان کان علاوه، بارڊر روٽر انٽرفيس تي جتي ٻاهرين ايڊريس gw.abc.ru ڏني وئي آهي، اهو ضروري آهي ته udp/1194 پيڪٽس جي گذرڻ جي اجازت ڏني وڃي.
صورت ۾ تنظيم کي سخت حفاظتي ضابطا آهن، هڪ فائر وال پڻ اسان جي وي پي اين سرور تي ترتيب ڏيڻ گهرجي. منهنجي خيال ۾، iptables FORWARD زنجيرن کي ترتيب ڏيڻ سان سڀ کان وڏي لچڪ فراهم ڪئي وئي آهي، جيتوڻيڪ انهن کي ترتيب ڏيڻ گهٽ آسان آهي. ان کي ترتيب ڏيڻ بابت ٿورو وڌيڪ. هن کي ڪرڻ لاء، "سڌي قاعدن" کي استعمال ڪرڻ تمام آسان آهي - سڌو ضابطو، فائل ۾ ذخيرو ٿيل /etc/firewalld/direct.xml. ضابطن جي موجوده تشڪيل هن ريت ملي سگهي ٿي: