Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Mambo

Hivi majuzi, wengi hawakujua jinsi ilivyokuwa kufanya kazi kutoka nyumbani. Janga hilo limebadilisha sana hali ya ulimwengu; Na wengi walilazimika kupanga haraka kazi kutoka nyumbani kwa wafanyikazi wao.

Hata hivyo, ukosefu wa mbinu inayofaa ya kuchagua ufumbuzi wa kazi ya mbali inaweza kusababisha hasara zisizoweza kurekebishwa. Nywila za mtumiaji zinaweza kuibiwa, na hii itamruhusu mshambuliaji kuunganisha bila kudhibitiwa kwenye mtandao na rasilimali za IT za biashara.

Ndio maana hitaji la kuunda mitandao ya kuaminika ya kampuni ya VPN sasa imeongezeka. Nitakuambia kuhusu kuaminika, salama ΠΈ rahisi katika kutumia mtandao wa VPN.

Inafanya kazi kulingana na mpango wa IPsec/L2TP, ambao hutumia funguo zisizoweza kurejeshwa na vyeti vilivyohifadhiwa kwenye tokeni ili kuthibitisha wateja, na pia hutuma data kwenye mtandao katika fomu iliyosimbwa.

Seva yenye CentOS 7 (anwani: centos.vpn.server.ad) na mteja mwenye Ubuntu 20.04, na pia mteja mwenye Windows 10.

Maelezo ya Mfumo

VPN itafanya kazi kulingana na mpango wa IPSec + L2TP + PPP. Itifaki Itifaki ya Uhakika kwa Uhakika (PPP) hufanya kazi katika safu ya kiungo cha data cha muundo wa OSI na hutoa uthibitishaji wa mtumiaji na usimbaji fiche wa data inayotumwa. Data yake imefungwa katika data ya itifaki ya L2TP, ambayo kwa kweli inahakikisha kuundwa kwa uhusiano katika mtandao wa VPN, lakini haitoi uthibitishaji na usimbaji fiche.

Data ya L2TP imeingizwa katika IPSec, ambayo pia hutoa uthibitishaji na usimbaji fiche, lakini tofauti na PPP, uthibitishaji na usimbaji fiche hutokea katika kiwango cha kifaa, si katika kiwango cha mtumiaji.

Kipengele hiki hukuruhusu kuthibitisha watumiaji kutoka kwa vifaa fulani pekee. Tutatumia itifaki ya IPSec jinsi ilivyo na kuruhusu uthibitishaji wa mtumiaji kutoka kwa kifaa chochote.

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Uthibitishaji wa mtumiaji kwa kutumia kadi mahiri utafanywa katika kiwango cha itifaki ya PPP kwa kutumia itifaki ya EAP-TLS.

Maelezo zaidi juu ya uendeshaji wa mzunguko huu yanaweza kupatikana katika Makala hii.

Kwa nini mpango huu unakidhi mahitaji yote matatu ya mtandao mzuri wa VPN?

  1. Kuegemea kwa mpango huu kumejaribiwa kwa wakati. Imetumika kupeleka mitandao ya VPN tangu 2000.
  2. Uthibitishaji salama wa mtumiaji hutolewa na itifaki ya PPP. Utekelezaji wa kawaida wa itifaki ya PPP iliyotengenezwa na Paul Mackerras haitoi kiwango cha kutosha cha usalama, kwa sababu Kwa uthibitishaji, katika hali bora, uthibitishaji kwa kutumia kuingia na nenosiri hutumiwa. Sote tunajua kuwa nenosiri la kuingia linaweza kuchunguzwa, kukisiwa au kuibiwa. Hata hivyo, kwa muda mrefu sasa developer Jan Just Keijser Π² utekelezaji wake Itifaki hii ilirekebisha suala hili na kuongeza uwezo wa kutumia itifaki kulingana na usimbaji fiche usiolinganishwa, kama vile EAP-TLS, kwa uthibitishaji. Aidha, aliongeza uwezo wa kutumia kadi smart kwa ajili ya uthibitishaji, ambayo ilifanya mfumo kuwa salama zaidi.
    Hivi sasa, mazungumzo yanayoendelea yanafanywa ili kuunganisha miradi hii miwili na unaweza kuwa na uhakika kwamba hivi karibuni au baadaye hii itafanyika. Kwa mfano, toleo lililo na viraka la PPP limekuwa kwenye hazina za Fedora kwa muda mrefu, kwa kutumia itifaki salama za uthibitishaji.
  3. Hadi hivi majuzi, mtandao huu ungeweza kutumiwa na watumiaji pekee Windows, lakini wenzetu kutoka Chuo Kikuu cha Jimbo la Moscow Vasily Shokov na Alexander Smirnov waligundua mradi wa zamani wa mteja wa L2TP wa Linux na kuirekebisha. Kwa pamoja, tulirekebisha hitilafu na mapungufu mengi katika kazi ya mteja, kurahisisha usakinishaji na usanidi wa mfumo, hata wakati wa kujenga kutoka kwa chanzo. Muhimu zaidi wao ni:
    • Shida zisizohamishika za uoanifu za mteja wa zamani na kiolesura cha matoleo mapya ya openssl na qt.
    • Imeondolewa pppd kutokana na kupitisha PIN ya tokeni kupitia faili ya muda.
    • Uzinduzi usio sahihi wa programu ya ombi la nenosiri kupitia kiolesura cha picha. Hii ilifanywa kwa kusakinisha mazingira sahihi ya huduma ya xl2tpd.
    • Uundaji wa daemon ya L2tpIpsecVpn sasa unafanywa pamoja na uundaji wa mteja yenyewe, ambayo hurahisisha mchakato wa uundaji na usanidi.
    • Kwa urahisi wa maendeleo, mfumo wa Mabomba ya Azure umeunganishwa ili kupima usahihi wa jengo.
    • Imeongeza uwezo wa kulazimisha kushusha kiwango kiwango cha usalama katika muktadha wa openssl. Hii ni muhimu kwa kusaidia kwa usahihi mifumo mipya ya uendeshaji ambapo kiwango cha usalama cha kawaida kimewekwa kuwa 2, na mitandao ya VPN inayotumia vyeti ambavyo havikidhi mahitaji ya usalama ya kiwango hiki. Chaguo hili litakuwa muhimu kwa kufanya kazi na mitandao ya zamani ya VPN.

Toleo lililosahihishwa linaweza kupatikana ndani hazina hii.

Mteja huyu anaunga mkono matumizi ya kadi mahiri kwa ajili ya uthibitishaji, na pia anaficha iwezekanavyo ugumu na ugumu wote wa kuanzisha mpango huu chini ya Linux, na kufanya usanidi wa mteja kuwa rahisi na wa haraka iwezekanavyo.

Kwa kweli, kwa muunganisho rahisi kati ya PPP na GUI ya mteja, haikuwezekana bila mabadiliko ya ziada kwa kila moja ya miradi, lakini hata hivyo yalipunguzwa na kupunguzwa kwa kiwango cha chini:

Sasa unaweza kuanza kusanidi.

Urekebishaji wa Seva

Hebu tusakinishe vifurushi vyote muhimu.

Inasakinisha strongswan (IPsec)

Kwanza kabisa, hebu tusanidi firewall kwa operesheni ya ipsec

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

Kisha hebu tuanze ufungaji

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

Baada ya usakinishaji, unahitaji kusanidi strongswan (moja ya utekelezaji wa IPSec). Ili kufanya hivyo, hariri faili /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

Pia tutaweka nenosiri la kawaida la kuingia. Nenosiri lililoshirikiwa lazima lijulikane kwa washiriki wote wa mtandao kwa ajili ya uthibitishaji. Njia hii ni dhahiri isiyoaminika, kwa sababu nenosiri hili linaweza kujulikana kwa urahisi kwa watu binafsi ambao hatutaki kutoa ufikiaji wa mtandao.
Hata hivyo, hata ukweli huu hautaathiri usalama wa mtandao, kwa sababu Usimbaji fiche wa msingi wa data na uthibitishaji wa mtumiaji unafanywa na itifaki ya PPP. Lakini kwa haki, ni muhimu kuzingatia kwamba strongswan inasaidia teknolojia salama zaidi za uthibitishaji, kwa mfano, kutumia funguo za kibinafsi. Strongswan pia ina uwezo wa kutoa uthibitishaji kwa kutumia kadi mahiri, lakini hadi sasa ni anuwai ndogo tu ya vifaa vinavyotumika na kwa hivyo uthibitishaji kwa kutumia tokeni za Rutoken na kadi mahiri bado ni ngumu. Wacha tuweke nenosiri la jumla kupitia faili /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

Wacha tuanze tena strongswan:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

Inasakinisha xl2tp

sudo dnf install xl2tpd

Wacha tuisanidi kupitia faili /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; опрСдСляСт статичСский адрСс сСрвСра Π² Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ сСти
local ip = 100.10.10.1
; Π·Π°Π΄Π°Π΅Ρ‚ Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… адрСсов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; Π΄Π°Π½Π½ΡƒΡŽ ΠΎΠΏΡ†ΠΈΡŽ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ послС ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ настройки сСти
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ адрСс сСрвСра Π² сСти
name = centos.vpn.server.ad

Wacha tuanze tena huduma:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

Mpangilio wa PPP

Inashauriwa kusakinisha toleo la hivi karibuni la pppd. Ili kufanya hivyo, fanya mlolongo ufuatao wa amri:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

Andika kwa faili /etc/ppp/options.xl2tpd zifuatazo (ikiwa kuna maadili yoyote hapo, unaweza kufuta):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

Tunatoa cheti cha mizizi na cheti cha seva:

#дирСктория с сСртификатами ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, Π£Π¦ ΠΈ сСрвСра
sudo mkdir /etc/ppp/certs
#дирСктория с Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌΠΈ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ сСрвСра ΠΈ Π£Π¦
sudo mkdir /etc/ppp/keys
#Π·Π°ΠΏΡ€Π΅Ρ‰Π°Π΅ΠΌ любой доступ ΠΊ этой Π΄ΠΈΡ€Ρ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΈ ΠΊΡ€ΠΎΠΌΠ΅ администатора
sudo chmod 0600 /etc/ppp/keys/

#Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅ΠΌ ΠΊΠ»ΡŽΡ‡ ΠΈ выписываСм сСртификат Π£Π¦
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅ΠΌ ΠΊΠ»ΡŽΡ‡ ΠΈ выписываСм сСртификат сСрвСра
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

Kwa hivyo, tumemaliza usanidi wa msingi wa seva. Mipangilio mingine ya seva inahusisha kuongeza wateja wapya.

Kuongeza mteja mpya

Ili kuongeza mteja mpya kwenye mtandao, lazima uongeze cheti chake kwenye orodha ya wanaoaminika kwa mteja huyu.

Ikiwa mtumiaji anataka kuwa mwanachama wa mtandao wa VPN, huunda jozi muhimu na ombi la cheti kwa mteja huyu. Ikiwa mtumiaji anaaminika, basi programu hii inaweza kusainiwa, na cheti kinachotokana kinaweza kuandikwa kwenye saraka ya vyeti:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

Wacha tuongeze laini kwenye /etc/ppp/eaptls-server faili ili kulinganisha jina la mteja na cheti chake:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

KUMBUKA
Ili kuepuka mkanganyiko, ni bora kwamba: Jina la Kawaida, jina la faili la cheti na jina la mtumiaji liwe la kipekee.

Inafaa pia kuangalia kuwa jina la mtumiaji tunayeongeza halionekani popote katika faili zingine za uthibitishaji, vinginevyo kutakuwa na shida na jinsi mtumiaji anavyothibitishwa.

Cheti sawa lazima kirudishwe kwa mtumiaji.

Kuzalisha jozi muhimu na cheti

Kwa uthibitishaji uliofanikiwa, mteja lazima:

  1. kuzalisha jozi muhimu;
  2. kuwa na cheti cha mizizi ya CA;
  3. kuwa na cheti cha jozi yako muhimu iliyotiwa saini na mzizi wa CA.

kwa mteja kwenye Linux

Kwanza, wacha tutengeneze jozi muhimu kwenye ishara na tuunde programu ya cheti:

#ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ ΠΊΠ»ΡŽΡ‡Π° (ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ --id) ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΌΠ΅Π½ΠΈΡ‚ΡŒ Π½Π° любой Π΄Ρ€ΡƒΠ³ΠΎΠΉ.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

Tuma programu ya client.req inayoonekana kwa CA. Mara tu unapopokea cheti cha jozi yako ya funguo, iandike kwa ishara iliyo na kitambulisho sawa na ufunguo:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

kwa wateja Windows ΠΈ Linux (mbinu ya jumla zaidi)

Njia hii ni ya ulimwengu wote zaidi, kwani hukuruhusu kutoa ufunguo na cheti ambacho kitatambuliwa kwa mafanikio na watumiaji Windows ΠΈ Linux, lakini inahitaji kuwa na gari Windows kutekeleza utaratibu wa uzalishaji muhimu.

Kabla ya kutoa maombi na kuagiza vyeti, lazima uongeze cheti kikuu cha mtandao wa VPN kwenye orodha ya wanaoaminika. Ili kufanya hivyo, fungua na kwenye dirisha linalofungua, chagua chaguo la "Sakinisha cheti":

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Katika dirisha linalofungua, chagua kusakinisha cheti cha mtumiaji wa ndani:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Wacha tusakinishe cheti kwenye duka la cheti cha mizizi linaloaminika la CA:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Baada ya vitendo hivi vyote, tunakubaliana na pointi zote zaidi. Mfumo sasa umesanidiwa.

Hebu tuunde faili cert.tmp na maudhui yafuatayo:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

Baada ya hayo, tutazalisha jozi muhimu na kuunda maombi ya cheti. Ili kufanya hivyo, fungua ganda la nguvu na ingiza amri ifuatayo:

certreq.exe -new -pin $PIN .cert.tmp .client.req

Wasilisha ombi la client.req lililozalishwa kwa CA yako na usubiri cheti cha client.pem kifike. Unaweza kukiandika kwenye tokeni na kukiongeza kwenye duka lako la cheti. Windows na amri ifuatayo:

certreq.exe -accept .client.pem

Inafaa kumbuka kuwa vitendo kama hivyo vinaweza kutolewa tena kwa kutumia kiolesura cha picha cha programu ya mmc, lakini njia hii inatumia muda mwingi na haiwezi kupangwa.

Mpangilio wa mteja Ubuntu

KUMBUKA
Kuweka mteja kwa ajili ya Linux Hii kwa sasa inachukua muda mwingi, kwani inahitaji kujenga programu za kibinafsi kutoka kwa msimbo chanzo. Tutafanya kazi ili kuhakikisha kwamba mabadiliko yote yanajumuishwa katika hazina rasmi haraka iwezekanavyo.

Ili kuhakikisha muunganisho katika kiwango cha IPSec kwa seva, kifurushi cha strongswan na daemon ya xl2tp hutumiwa. Ili kurahisisha kuunganisha kwenye mtandao kwa kutumia kadi mahiri, tutatumia kifurushi cha l2tp-ipsec-vpn, ambacho hutoa ganda la picha kwa ajili ya kusanidi kiunganishi kilichorahisishwa.

Wacha tuanze kukusanya vitu hatua kwa hatua, lakini kabla ya hapo tutasakinisha vifurushi vyote muhimu kwa VPN kufanya kazi moja kwa moja:

sudo apt-get install xl2tpd strongswan libp11-3

Kufunga programu ya kufanya kazi na ishara

Sakinisha maktaba ya hivi punde ya librtpkcs11ecp.so kutoka tovuti, pia maktaba za kufanya kazi na kadi smart:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Unganisha Rutoken na uangalie kuwa inatambuliwa na mfumo:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

Inasakinisha ppp iliyowekwa viraka

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

Inasakinisha mteja wa L2tpIpsecVpn

Kwa sasa, mteja pia anahitaji kukusanywa kutoka kwa msimbo wa chanzo. Hii inafanywa kwa kutumia mlolongo ufuatao wa amri:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

Kuanzisha mteja wa L2tpIpsecVpn

Zindua mteja uliosakinishwa:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Baada ya uzinduzi, applet ya L2tpIpsecVPN inapaswa kufunguliwa. Bonyeza kulia juu yake na usanidi unganisho:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Kufanya kazi na ishara, kwanza kabisa, tunaonyesha njia ya injini ya opensc ya injini ya OpenSSL na maktaba ya PKCS#11. Ili kufanya hivyo, fungua kichupo cha "Mapendeleo" ili kusanidi vigezo vya openssl:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI.

Hebu tufunge dirisha la mipangilio ya OpenSSL na tuendelee kusanidi mtandao. Hebu tuongeze mtandao mpya kwa kubofya kitufe cha Ongeza... kwenye paneli ya mipangilio na uweke jina la mtandao:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Baada ya hayo, mtandao huu utapatikana kwenye paneli ya mipangilio. Bofya mara mbili kulia kwenye mtandao mpya ili kuusanidi. Kwenye kichupo cha kwanza unahitaji kufanya mipangilio ya IPsec. Wacha tuweke anwani ya seva na ufunguo wa umma:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Baada ya hayo, nenda kwenye kichupo cha mipangilio ya PPP na uonyeshe hapo jina la mtumiaji ambalo tunataka kufikia mtandao:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Baada ya hayo, fungua kichupo cha Sifa na ueleze njia ya ufunguo, cheti cha mteja na CA:
Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Hebu tufunge kichupo hiki na tufanye mipangilio ya mwisho kufanya hivyo, fungua kichupo cha "mipangilio ya IP" na uangalie kisanduku karibu na chaguo la "Pata anwani ya seva ya DNS moja kwa moja":

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI
Chaguo hili litamruhusu mteja kupokea anwani ya kibinafsi ya IP ndani ya mtandao kutoka kwa seva.

Baada ya mipangilio yote, funga tabo zote na uanze tena mteja:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Inaunganisha kwenye mtandao

Baada ya mipangilio, unaweza kuunganisha kwenye mtandao. Ili kufanya hivyo, fungua kichupo cha applet na uchague mtandao ambao tunataka kuunganisha:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Wakati wa mchakato wa kuanzishwa kwa muunganisho, mteja atatuuliza tuweke nambari ya siri ya Rutoken:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Ikiwa arifa itaonekana kwenye upau wa hali kwamba muunganisho umeanzishwa kwa ufanisi, inamaanisha kuwa usanidi ulifaulu:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Vinginevyo, inafaa kufikiria kwa nini unganisho haujaanzishwa. Ili kufanya hivyo, unapaswa kuangalia logi ya programu kwa kuchagua amri ya "Maelezo ya Uunganisho" kwenye applet:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Mpangilio wa mteja Windows

Kuweka mteja katika Windows inafanywa kwa urahisi zaidi kuliko Linux, kwa sababu programu zote muhimu tayari zimejengwa ndani ya mfumo.

Usanidi wa Mfumo

Tutaweka madereva yote muhimu kwa kufanya kazi na Rutokens kwa kupakua kutoka ya. tovuti.

Inaleta cheti cha mizizi kwa uthibitishaji

Pakua cheti cha mizizi ya seva na usakinishe kwenye mfumo. Ili kufanya hivyo, fungua na kwenye dirisha linalofungua, chagua chaguo la "Sakinisha cheti":

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Katika dirisha linalofungua, chagua kusakinisha cheti cha mtumiaji wa ndani. Ikiwa unataka cheti kipatikane kwa watumiaji wote kwenye kompyuta, basi unapaswa kuchagua kusakinisha cheti kwenye kompyuta ya karibu nawe:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Wacha tusakinishe cheti kwenye duka la cheti cha mizizi linaloaminika la CA:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Baada ya vitendo hivi vyote, tunakubaliana na pointi zote zaidi. Mfumo sasa umesanidiwa.

Inaweka muunganisho wa VPN

Ili kusanidi muunganisho wa VPN, nenda kwenye jopo la kudhibiti na uchague chaguo la kuunda muunganisho mpya.

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Katika dirisha ibukizi, chagua chaguo la kuunda muunganisho ili kuunganisha mahali pako pa kazi:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Katika dirisha linalofuata, chagua muunganisho wa VPN:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

na ingiza maelezo ya muunganisho wa VPN, na pia taja chaguo la kutumia kadi mahiri:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Usanidi bado haujakamilika. Iliyobaki ni kutaja ufunguo ulioshirikiwa wa itifaki ya IPsec kufanya hivyo, nenda kwenye kichupo cha "Mipangilio ya uunganisho wa Mtandao" na kisha uende kwenye kichupo cha "Sifa za uunganisho huu":

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Katika dirisha linalofungua, nenda kwenye kichupo cha "Usalama", taja "Mtandao wa L2TP/IPsec" kama aina ya mtandao na uchague "Mipangilio ya Juu":

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Katika dirisha linalofungua, taja ufunguo wa IPsec ulioshirikiwa:
Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

ΠŸΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅

Baada ya kukamilisha usanidi, unaweza kujaribu kuunganisha kwenye mtandao:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Wakati wa mchakato wa uunganisho, tutahitajika kuingiza nambari ya PIN ya tokeni:

Kuweka uthibitishaji katika mtandao wa L2TP kwa kutumia Rutoken EDS 2.0 na Rutoken PKI

Tumeweka mtandao salama wa VPN na tumehakikisha kuwa sio ngumu.

Shukrani

Ningependa tena kuwashukuru wenzetu Vasily Shokov na Alexander Smirnov kwa kazi yao ya pamoja ili kurahisisha uundaji wa miunganisho ya VPN kwa wateja. Linux.

Chanzo: mapenzi.com

Nunua upangishaji wa kuaminika wa tovuti zilizo na ulinzi wa DDoS, seva za VPS VDS πŸ”₯ Nunua upangishaji wa tovuti unaoaminika kwa ulinzi wa DDoS, seva za VPS VDS | ProHoster