
Mambo
Hivi majuzi, wengi hawakujua jinsi ilivyokuwa kufanya kazi kutoka nyumbani. Janga hilo limebadilisha sana hali ya ulimwengu; Na wengi walilazimika kupanga haraka kazi kutoka nyumbani kwa wafanyikazi wao.
Hata hivyo, ukosefu wa mbinu inayofaa ya kuchagua ufumbuzi wa kazi ya mbali inaweza kusababisha hasara zisizoweza kurekebishwa. Nywila za mtumiaji zinaweza kuibiwa, na hii itamruhusu mshambuliaji kuunganisha bila kudhibitiwa kwenye mtandao na rasilimali za IT za biashara.
Ndio maana hitaji la kuunda mitandao ya kuaminika ya kampuni ya VPN sasa imeongezeka. Nitakuambia kuhusu kuaminika, salama ΠΈ rahisi katika kutumia mtandao wa VPN.
Inafanya kazi kulingana na mpango wa IPsec/L2TP, ambao hutumia funguo zisizoweza kurejeshwa na vyeti vilivyohifadhiwa kwenye tokeni ili kuthibitisha wateja, na pia hutuma data kwenye mtandao katika fomu iliyosimbwa.
Seva yenye CentOS 7 (anwani: centos.vpn.server.ad) na mteja mwenye Ubuntu 20.04, na pia mteja mwenye Windows 10.
Maelezo ya Mfumo
VPN itafanya kazi kulingana na mpango wa IPSec + L2TP + PPP. Itifaki Itifaki ya Uhakika kwa Uhakika (PPP) hufanya kazi katika safu ya kiungo cha data cha muundo wa OSI na hutoa uthibitishaji wa mtumiaji na usimbaji fiche wa data inayotumwa. Data yake imefungwa katika data ya itifaki ya L2TP, ambayo kwa kweli inahakikisha kuundwa kwa uhusiano katika mtandao wa VPN, lakini haitoi uthibitishaji na usimbaji fiche.
Data ya L2TP imeingizwa katika IPSec, ambayo pia hutoa uthibitishaji na usimbaji fiche, lakini tofauti na PPP, uthibitishaji na usimbaji fiche hutokea katika kiwango cha kifaa, si katika kiwango cha mtumiaji.
Kipengele hiki hukuruhusu kuthibitisha watumiaji kutoka kwa vifaa fulani pekee. Tutatumia itifaki ya IPSec jinsi ilivyo na kuruhusu uthibitishaji wa mtumiaji kutoka kwa kifaa chochote.

Uthibitishaji wa mtumiaji kwa kutumia kadi mahiri utafanywa katika kiwango cha itifaki ya PPP kwa kutumia itifaki ya EAP-TLS.
Maelezo zaidi juu ya uendeshaji wa mzunguko huu yanaweza kupatikana katika .
Kwa nini mpango huu unakidhi mahitaji yote matatu ya mtandao mzuri wa VPN?
- Kuegemea kwa mpango huu kumejaribiwa kwa wakati. Imetumika kupeleka mitandao ya VPN tangu 2000.
- Uthibitishaji salama wa mtumiaji hutolewa na itifaki ya PPP. haitoi kiwango cha kutosha cha usalama, kwa sababu Kwa uthibitishaji, katika hali bora, uthibitishaji kwa kutumia kuingia na nenosiri hutumiwa. Sote tunajua kuwa nenosiri la kuingia linaweza kuchunguzwa, kukisiwa au kuibiwa. Hata hivyo, kwa muda mrefu sasa developer Π² Itifaki hii ilirekebisha suala hili na kuongeza uwezo wa kutumia itifaki kulingana na usimbaji fiche usiolinganishwa, kama vile EAP-TLS, kwa uthibitishaji. Aidha, aliongeza uwezo wa kutumia kadi smart kwa ajili ya uthibitishaji, ambayo ilifanya mfumo kuwa salama zaidi.
Hivi sasa, mazungumzo yanayoendelea yanafanywa ili kuunganisha miradi hii miwili na unaweza kuwa na uhakika kwamba hivi karibuni au baadaye hii itafanyika. Kwa mfano, toleo lililo na viraka la PPP limekuwa kwenye hazina za Fedora kwa muda mrefu, kwa kutumia itifaki salama za uthibitishaji. - Hadi hivi majuzi, mtandao huu ungeweza kutumiwa na watumiaji pekee Windows, lakini wenzetu kutoka Chuo Kikuu cha Jimbo la Moscow Vasily Shokov na Alexander Smirnov waligundua na kuirekebisha. Kwa pamoja, tulirekebisha hitilafu na mapungufu mengi katika kazi ya mteja, kurahisisha usakinishaji na usanidi wa mfumo, hata wakati wa kujenga kutoka kwa chanzo. Muhimu zaidi wao ni:
- Shida zisizohamishika za uoanifu za mteja wa zamani na kiolesura cha matoleo mapya ya openssl na qt.
- Imeondolewa pppd kutokana na kupitisha PIN ya tokeni kupitia faili ya muda.
- Uzinduzi usio sahihi wa programu ya ombi la nenosiri kupitia kiolesura cha picha. Hii ilifanywa kwa kusakinisha mazingira sahihi ya huduma ya xl2tpd.
- Uundaji wa daemon ya L2tpIpsecVpn sasa unafanywa pamoja na uundaji wa mteja yenyewe, ambayo hurahisisha mchakato wa uundaji na usanidi.
- Kwa urahisi wa maendeleo, mfumo wa Mabomba ya Azure umeunganishwa ili kupima usahihi wa jengo.
- Imeongeza uwezo wa kulazimisha kushusha kiwango katika muktadha wa openssl. Hii ni muhimu kwa kusaidia kwa usahihi mifumo mipya ya uendeshaji ambapo kiwango cha usalama cha kawaida kimewekwa kuwa 2, na mitandao ya VPN inayotumia vyeti ambavyo havikidhi mahitaji ya usalama ya kiwango hiki. Chaguo hili litakuwa muhimu kwa kufanya kazi na mitandao ya zamani ya VPN.
Toleo lililosahihishwa linaweza kupatikana ndani .
Mteja huyu anaunga mkono matumizi ya kadi mahiri kwa ajili ya uthibitishaji, na pia anaficha iwezekanavyo ugumu na ugumu wote wa kuanzisha mpango huu chini ya Linux, na kufanya usanidi wa mteja kuwa rahisi na wa haraka iwezekanavyo.
Kwa kweli, kwa muunganisho rahisi kati ya PPP na GUI ya mteja, haikuwezekana bila mabadiliko ya ziada kwa kila moja ya miradi, lakini hata hivyo yalipunguzwa na kupunguzwa kwa kiwango cha chini:
- Zisizohamishika
- Zisizohamishika . Hitilafu hii haikuturuhusu kupakia chochote kutoka kwa faili ya usanidi ya /etc/ppp/openssl.cnf isipokuwa habari kuhusu injini za openssl za kufanya kazi na kadi smart, ambayo ilikuwa usumbufu mkubwa ikiwa, kwa mfano, pamoja na habari kuhusu injini, tulitaka kuweka kitu kingine. Kwa mfano, rekebisha kiwango cha usalama wakati wa kuanzisha muunganisho.
Sasa unaweza kuanza kusanidi.
Urekebishaji wa Seva
Hebu tusakinishe vifurushi vyote muhimu.
Inasakinisha strongswan (IPsec)
Kwanza kabisa, hebu tusanidi firewall kwa operesheni ya ipsec
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload
Kisha hebu tuanze ufungaji
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan
Baada ya usakinishaji, unahitaji kusanidi strongswan (moja ya utekelezaji wa IPSec). Ili kufanya hivyo, hariri faili /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
Pia tutaweka nenosiri la kawaida la kuingia. Nenosiri lililoshirikiwa lazima lijulikane kwa washiriki wote wa mtandao kwa ajili ya uthibitishaji. Njia hii ni dhahiri isiyoaminika, kwa sababu nenosiri hili linaweza kujulikana kwa urahisi kwa watu binafsi ambao hatutaki kutoa ufikiaji wa mtandao.
Hata hivyo, hata ukweli huu hautaathiri usalama wa mtandao, kwa sababu Usimbaji fiche wa msingi wa data na uthibitishaji wa mtumiaji unafanywa na itifaki ya PPP. Lakini kwa haki, ni muhimu kuzingatia kwamba strongswan inasaidia teknolojia salama zaidi za uthibitishaji, kwa mfano, kutumia funguo za kibinafsi. Strongswan pia ina uwezo wa kutoa uthibitishaji kwa kutumia kadi mahiri, lakini hadi sasa ni anuwai ndogo tu ya vifaa vinavyotumika na kwa hivyo uthibitishaji kwa kutumia tokeni za Rutoken na kadi mahiri bado ni ngumu. Wacha tuweke nenosiri la jumla kupitia faili /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"
Wacha tuanze tena strongswan:
sudo systemctl enable strongswan
sudo systemctl restart strongswan
Inasakinisha xl2tp
sudo dnf install xl2tpd
Wacha tuisanidi kupitia faili /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; ΠΎΠΏΡΠ΅Π΄Π΅Π»ΡΠ΅Ρ ΡΡΠ°ΡΠΈΡΠ΅ΡΠΊΠΈΠΉ Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ° Π² Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΠΎΠΉ ΡΠ΅ΡΠΈ
local ip = 100.10.10.1
; Π·Π°Π΄Π°Π΅Ρ Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΡ
Π°Π΄ΡΠ΅ΡΠΎΠ²
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; Π΄Π°Π½Π½ΡΡ ΠΎΠΏΡΠΈΡ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡΠΊΠ»ΡΡΠΈΡΡ ΠΏΠΎΡΠ»Π΅ ΡΡΠΏΠ΅ΡΠ½ΠΎΠΉ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ ΡΠ΅ΡΠΈ
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; ΡΠΊΠ°Π·ΡΠ²Π°Π΅Ρ Π°Π΄ΡΠ΅Ρ ΡΠ΅ΡΠ²Π΅ΡΠ° Π² ΡΠ΅ΡΠΈ
name = centos.vpn.server.ad
Wacha tuanze tena huduma:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd
Mpangilio wa PPP
Inashauriwa kusakinisha toleo la hivi karibuni la pppd. Ili kufanya hivyo, fanya mlolongo ufuatao wa amri:
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install
Andika kwa faili /etc/ppp/options.xl2tpd zifuatazo (ikiwa kuna maadili yoyote hapo, unaweza kufuta):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
Tunatoa cheti cha mizizi na cheti cha seva:
#Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ Ρ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ°ΠΌΠΈ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ, Π£Π¦ ΠΈ ΡΠ΅ΡΠ²Π΅ΡΠ°
sudo mkdir /etc/ppp/certs
#Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ Ρ Π·Π°ΠΊΡΡΡΡΠΌΠΈ ΠΊΠ»ΡΡΠ°ΠΌΠΈ ΡΠ΅ΡΠ²Π΅ΡΠ° ΠΈ Π£Π¦
sudo mkdir /etc/ppp/keys
#Π·Π°ΠΏΡΠ΅ΡΠ°Π΅ΠΌ Π»ΡΠ±ΠΎΠΉ Π΄ΠΎΡΡΡΠΏ ΠΊ ΡΡΠΎΠΉ Π΄ΠΈΡΡΠ΅ΠΊΡΠΎΡΠΈΠΈ ΠΊΡΠΎΠΌΠ΅ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΠ°ΡΠΎΡΠ°
sudo chmod 0600 /etc/ppp/keys/
#Π³Π΅Π½Π΅ΡΠΈΡΡΠ΅ΠΌ ΠΊΠ»ΡΡ ΠΈ Π²ΡΠΏΠΈΡΡΠ²Π°Π΅ΠΌ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ Π£Π¦
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#Π³Π΅Π½Π΅ΡΠΈΡΡΠ΅ΠΌ ΠΊΠ»ΡΡ ΠΈ Π²ΡΠΏΠΈΡΡΠ²Π°Π΅ΠΌ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ ΡΠ΅ΡΠ²Π΅ΡΠ°
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial
Kwa hivyo, tumemaliza usanidi wa msingi wa seva. Mipangilio mingine ya seva inahusisha kuongeza wateja wapya.
Kuongeza mteja mpya
Ili kuongeza mteja mpya kwenye mtandao, lazima uongeze cheti chake kwenye orodha ya wanaoaminika kwa mteja huyu.
Ikiwa mtumiaji anataka kuwa mwanachama wa mtandao wa VPN, huunda jozi muhimu na ombi la cheti kwa mteja huyu. Ikiwa mtumiaji anaaminika, basi programu hii inaweza kusainiwa, na cheti kinachotokana kinaweza kuandikwa kwenye saraka ya vyeti:
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial
Wacha tuongeze laini kwenye /etc/ppp/eaptls-server faili ili kulinganisha jina la mteja na cheti chake:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *
KUMBUKA
Ili kuepuka mkanganyiko, ni bora kwamba: Jina la Kawaida, jina la faili la cheti na jina la mtumiaji liwe la kipekee.
Inafaa pia kuangalia kuwa jina la mtumiaji tunayeongeza halionekani popote katika faili zingine za uthibitishaji, vinginevyo kutakuwa na shida na jinsi mtumiaji anavyothibitishwa.
Cheti sawa lazima kirudishwe kwa mtumiaji.
Kuzalisha jozi muhimu na cheti
Kwa uthibitishaji uliofanikiwa, mteja lazima:
- kuzalisha jozi muhimu;
- kuwa na cheti cha mizizi ya CA;
- kuwa na cheti cha jozi yako muhimu iliyotiwa saini na mzizi wa CA.
kwa mteja kwenye Linux
Kwanza, wacha tutengeneze jozi muhimu kwenye ishara na tuunde programu ya cheti:
#ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡ ΠΊΠ»ΡΡΠ° (ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡ --id) ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΌΠ΅Π½ΠΈΡΡ Π½Π° Π»ΡΠ±ΠΎΠΉ Π΄ΡΡΠ³ΠΎΠΉ.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"
Tuma programu ya client.req inayoonekana kwa CA. Mara tu unapopokea cheti cha jozi yako ya funguo, iandike kwa ishara iliyo na kitambulisho sawa na ufunguo:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45
kwa wateja Windows ΠΈ Linux (mbinu ya jumla zaidi)
Njia hii ni ya ulimwengu wote zaidi, kwani hukuruhusu kutoa ufunguo na cheti ambacho kitatambuliwa kwa mafanikio na watumiaji Windows ΠΈ Linux, lakini inahitaji kuwa na gari Windows kutekeleza utaratibu wa uzalishaji muhimu.
Kabla ya kutoa maombi na kuagiza vyeti, lazima uongeze cheti kikuu cha mtandao wa VPN kwenye orodha ya wanaoaminika. Ili kufanya hivyo, fungua na kwenye dirisha linalofungua, chagua chaguo la "Sakinisha cheti":

Katika dirisha linalofungua, chagua kusakinisha cheti cha mtumiaji wa ndani:

Wacha tusakinishe cheti kwenye duka la cheti cha mizizi linaloaminika la CA:

Baada ya vitendo hivi vyote, tunakubaliana na pointi zote zaidi. Mfumo sasa umesanidiwa.
Hebu tuunde faili cert.tmp na maudhui yafuatayo:
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE
Baada ya hayo, tutazalisha jozi muhimu na kuunda maombi ya cheti. Ili kufanya hivyo, fungua ganda la nguvu na ingiza amri ifuatayo:
certreq.exe -new -pin $PIN .cert.tmp .client.req
Wasilisha ombi la client.req lililozalishwa kwa CA yako na usubiri cheti cha client.pem kifike. Unaweza kukiandika kwenye tokeni na kukiongeza kwenye duka lako la cheti. Windows na amri ifuatayo:
certreq.exe -accept .client.pem
Inafaa kumbuka kuwa vitendo kama hivyo vinaweza kutolewa tena kwa kutumia kiolesura cha picha cha programu ya mmc, lakini njia hii inatumia muda mwingi na haiwezi kupangwa.
Mpangilio wa mteja Ubuntu
KUMBUKA
Kuweka mteja kwa ajili ya Linux Hii kwa sasa inachukua muda mwingi, kwani inahitaji kujenga programu za kibinafsi kutoka kwa msimbo chanzo. Tutafanya kazi ili kuhakikisha kwamba mabadiliko yote yanajumuishwa katika hazina rasmi haraka iwezekanavyo.
Ili kuhakikisha muunganisho katika kiwango cha IPSec kwa seva, kifurushi cha strongswan na daemon ya xl2tp hutumiwa. Ili kurahisisha kuunganisha kwenye mtandao kwa kutumia kadi mahiri, tutatumia kifurushi cha l2tp-ipsec-vpn, ambacho hutoa ganda la picha kwa ajili ya kusanidi kiunganishi kilichorahisishwa.
Wacha tuanze kukusanya vitu hatua kwa hatua, lakini kabla ya hapo tutasakinisha vifurushi vyote muhimu kwa VPN kufanya kazi moja kwa moja:
sudo apt-get install xl2tpd strongswan libp11-3
Kufunga programu ya kufanya kazi na ishara
Sakinisha maktaba ya hivi punde ya librtpkcs11ecp.so kutoka , pia maktaba za kufanya kazi na kadi smart:
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl
Unganisha Rutoken na uangalie kuwa inatambuliwa na mfumo:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l
Inasakinisha ppp iliyowekwa viraka
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install
Inasakinisha mteja wa L2tpIpsecVpn
Kwa sasa, mteja pia anahitaji kukusanywa kutoka kwa msimbo wa chanzo. Hii inafanywa kwa kutumia mlolongo ufuatao wa amri:
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install
Kuanzisha mteja wa L2tpIpsecVpn
Zindua mteja uliosakinishwa:

Baada ya uzinduzi, applet ya L2tpIpsecVPN inapaswa kufunguliwa. Bonyeza kulia juu yake na usanidi unganisho:

Kufanya kazi na ishara, kwanza kabisa, tunaonyesha njia ya injini ya opensc ya injini ya OpenSSL na maktaba ya PKCS#11. Ili kufanya hivyo, fungua kichupo cha "Mapendeleo" ili kusanidi vigezo vya openssl:
.
Hebu tufunge dirisha la mipangilio ya OpenSSL na tuendelee kusanidi mtandao. Hebu tuongeze mtandao mpya kwa kubofya kitufe cha Ongeza... kwenye paneli ya mipangilio na uweke jina la mtandao:

Baada ya hayo, mtandao huu utapatikana kwenye paneli ya mipangilio. Bofya mara mbili kulia kwenye mtandao mpya ili kuusanidi. Kwenye kichupo cha kwanza unahitaji kufanya mipangilio ya IPsec. Wacha tuweke anwani ya seva na ufunguo wa umma:

Baada ya hayo, nenda kwenye kichupo cha mipangilio ya PPP na uonyeshe hapo jina la mtumiaji ambalo tunataka kufikia mtandao:

Baada ya hayo, fungua kichupo cha Sifa na ueleze njia ya ufunguo, cheti cha mteja na CA:

Hebu tufunge kichupo hiki na tufanye mipangilio ya mwisho kufanya hivyo, fungua kichupo cha "mipangilio ya IP" na uangalie kisanduku karibu na chaguo la "Pata anwani ya seva ya DNS moja kwa moja":

Chaguo hili litamruhusu mteja kupokea anwani ya kibinafsi ya IP ndani ya mtandao kutoka kwa seva.
Baada ya mipangilio yote, funga tabo zote na uanze tena mteja:

Inaunganisha kwenye mtandao
Baada ya mipangilio, unaweza kuunganisha kwenye mtandao. Ili kufanya hivyo, fungua kichupo cha applet na uchague mtandao ambao tunataka kuunganisha:

Wakati wa mchakato wa kuanzishwa kwa muunganisho, mteja atatuuliza tuweke nambari ya siri ya Rutoken:

Ikiwa arifa itaonekana kwenye upau wa hali kwamba muunganisho umeanzishwa kwa ufanisi, inamaanisha kuwa usanidi ulifaulu:

Vinginevyo, inafaa kufikiria kwa nini unganisho haujaanzishwa. Ili kufanya hivyo, unapaswa kuangalia logi ya programu kwa kuchagua amri ya "Maelezo ya Uunganisho" kwenye applet:

Mpangilio wa mteja Windows
Kuweka mteja katika Windows inafanywa kwa urahisi zaidi kuliko Linux, kwa sababu programu zote muhimu tayari zimejengwa ndani ya mfumo.
Usanidi wa Mfumo
Tutaweka madereva yote muhimu kwa kufanya kazi na Rutokens kwa kupakua kutoka .
Inaleta cheti cha mizizi kwa uthibitishaji
Pakua cheti cha mizizi ya seva na usakinishe kwenye mfumo. Ili kufanya hivyo, fungua na kwenye dirisha linalofungua, chagua chaguo la "Sakinisha cheti":

Katika dirisha linalofungua, chagua kusakinisha cheti cha mtumiaji wa ndani. Ikiwa unataka cheti kipatikane kwa watumiaji wote kwenye kompyuta, basi unapaswa kuchagua kusakinisha cheti kwenye kompyuta ya karibu nawe:

Wacha tusakinishe cheti kwenye duka la cheti cha mizizi linaloaminika la CA:

Baada ya vitendo hivi vyote, tunakubaliana na pointi zote zaidi. Mfumo sasa umesanidiwa.
Inaweka muunganisho wa VPN
Ili kusanidi muunganisho wa VPN, nenda kwenye jopo la kudhibiti na uchague chaguo la kuunda muunganisho mpya.

Katika dirisha ibukizi, chagua chaguo la kuunda muunganisho ili kuunganisha mahali pako pa kazi:

Katika dirisha linalofuata, chagua muunganisho wa VPN:

na ingiza maelezo ya muunganisho wa VPN, na pia taja chaguo la kutumia kadi mahiri:

Usanidi bado haujakamilika. Iliyobaki ni kutaja ufunguo ulioshirikiwa wa itifaki ya IPsec kufanya hivyo, nenda kwenye kichupo cha "Mipangilio ya uunganisho wa Mtandao" na kisha uende kwenye kichupo cha "Sifa za uunganisho huu":

Katika dirisha linalofungua, nenda kwenye kichupo cha "Usalama", taja "Mtandao wa L2TP/IPsec" kama aina ya mtandao na uchague "Mipangilio ya Juu":

Katika dirisha linalofungua, taja ufunguo wa IPsec ulioshirikiwa:

ΠΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅
Baada ya kukamilisha usanidi, unaweza kujaribu kuunganisha kwenye mtandao:

Wakati wa mchakato wa uunganisho, tutahitajika kuingiza nambari ya PIN ya tokeni:

Tumeweka mtandao salama wa VPN na tumehakikisha kuwa sio ngumu.
Shukrani
Ningependa tena kuwashukuru wenzetu Vasily Shokov na Alexander Smirnov kwa kazi yao ya pamoja ili kurahisisha uundaji wa miunganisho ya VPN kwa wateja. Linux.
Chanzo: mapenzi.com
