சிக்கல்கள்
சமீபத்தில், வீட்டில் இருந்து வேலை செய்வது எப்படி இருக்கும் என்று பலருக்குத் தெரியாது. தொற்றுநோய் உலகின் நிலைமையை வியத்தகு முறையில் மாற்றியுள்ளது; எல்லோரும் தற்போதைய சூழ்நிலைகளுக்கு ஏற்ப மாறத் தொடங்கியுள்ளனர், அதாவது வீட்டை விட்டு வெளியேறுவது பாதுகாப்பற்றதாகிவிட்டது. மேலும் பலர் தங்கள் ஊழியர்களுக்கு வீட்டிலிருந்து வேலையை விரைவாக ஏற்பாடு செய்ய வேண்டியிருந்தது.
இருப்பினும், தொலைதூர வேலைக்கான தீர்வுகளைத் தேர்ந்தெடுப்பதில் திறமையான அணுகுமுறை இல்லாதது மீளமுடியாத இழப்புகளுக்கு வழிவகுக்கும். பயனர் கடவுச்சொற்கள் திருடப்படலாம், மேலும் இது ஒரு தாக்குபவர் கட்டுப்பாட்டின்றி நிறுவனத்தின் நெட்வொர்க் மற்றும் IT ஆதாரங்களுடன் இணைக்க அனுமதிக்கும்.
அதனால்தான் நம்பகமான கார்ப்பரேட் VPN நெட்வொர்க்குகளை உருவாக்குவதற்கான தேவை இப்போது அதிகரித்துள்ளது. பற்றி சொல்கிறேன் நம்பகமான, பாதுகாப்பான и எளிய VPN நெட்வொர்க்கைப் பயன்படுத்துவதில்.
இது IPsec/L2TP திட்டத்தின் படி செயல்படுகிறது, இது மீட்டெடுக்க முடியாத விசைகள் மற்றும் வாடிக்கையாளர்களை அங்கீகரிக்க டோக்கன்களில் சேமிக்கப்பட்ட சான்றிதழ்களைப் பயன்படுத்துகிறது, மேலும் தரவுகளை பிணையத்தில் மறைகுறியாக்கப்பட்ட வடிவத்தில் அனுப்புகிறது.
CentOS 7 உடன் ஒரு சர்வர் (முகவரி: centos.vpn.server.ad) மற்றும் Ubuntu 20.04 உடன் ஒரு கிளையன்ட், அத்துடன் Windows 10 உடன் ஒரு கிளையன்ட் ஆகியவை உள்ளமைவைக் குறிக்கும் விளக்கமாகப் பயன்படுத்தப்பட்டன.
கணினி விளக்கம்
VPN ஆனது IPSec + L2TP + PPP திட்டத்தின் படி வேலை செய்யும். நெறிமுறை பாயிண்ட்-டு-பாயிண்ட் புரோட்டோகால் (பிபிபி) OSI மாதிரியின் தரவு இணைப்பு அடுக்கில் இயங்குகிறது மற்றும் அனுப்பப்பட்ட தரவின் பயனர் அங்கீகாரம் மற்றும் குறியாக்கத்தை வழங்குகிறது. அதன் தரவு L2TP நெறிமுறையின் தரவுகளில் இணைக்கப்பட்டுள்ளது, இது உண்மையில் VPN நெட்வொர்க்கில் ஒரு இணைப்பை உருவாக்குவதை உறுதி செய்கிறது, ஆனால் அங்கீகாரம் மற்றும் குறியாக்கத்தை வழங்காது.
L2TP தரவு IPSec இல் இணைக்கப்பட்டுள்ளது, இது அங்கீகாரம் மற்றும் குறியாக்கத்தையும் வழங்குகிறது, ஆனால் PPP போலல்லாமல், அங்கீகரிப்பு மற்றும் குறியாக்கம் பயனர் மட்டத்தில் அல்ல, சாதன அளவில் நிகழ்கிறது.
இந்த அம்சம் சில சாதனங்களிலிருந்து மட்டுமே பயனர்களை அங்கீகரிக்க அனுமதிக்கிறது. IPSec நெறிமுறையை அப்படியே பயன்படுத்துவோம் மற்றும் எந்த சாதனத்திலிருந்தும் பயனர் அங்கீகாரத்தை அனுமதிப்போம்.
ஸ்மார்ட் கார்டுகளைப் பயன்படுத்தி பயனர் அங்கீகாரம் EAP-TLS நெறிமுறையைப் பயன்படுத்தி PPP நெறிமுறை மட்டத்தில் செய்யப்படும்.
இந்த சுற்றுகளின் செயல்பாட்டைப் பற்றிய விரிவான தகவல்களைக் காணலாம் .
ஏன் இந்தத் திட்டம் ஒரு நல்ல VPN நெட்வொர்க்கின் மூன்று தேவைகளையும் பூர்த்தி செய்கிறது?
- இந்த திட்டத்தின் நம்பகத்தன்மை காலத்தால் சோதிக்கப்பட்டது. இது 2000 முதல் VPN நெட்வொர்க்குகளை வரிசைப்படுத்த பயன்படுத்தப்படுகிறது.
- பாதுகாப்பான பயனர் அங்கீகாரம் PPP நெறிமுறையால் வழங்கப்படுகிறது. போதுமான அளவிலான பாதுகாப்பை வழங்கவில்லை, ஏனெனில் அங்கீகாரத்திற்காக, சிறந்த சந்தர்ப்பத்தில், உள்நுழைவு மற்றும் கடவுச்சொல்லைப் பயன்படுத்தி அங்கீகாரம் பயன்படுத்தப்படுகிறது. உள்நுழைவு கடவுச்சொல்லை உளவு பார்க்கவோ, யூகிக்கவோ அல்லது திருடவோ முடியும் என்பதை நாம் அனைவரும் அறிவோம். இருப்பினும், நீண்ட காலமாக இப்போது டெவலப்பர் в இந்த நெறிமுறை இந்த சிக்கலை சரிசெய்தது மற்றும் அங்கீகாரத்திற்காக EAP-TLS போன்ற சமச்சீரற்ற குறியாக்கத்தின் அடிப்படையில் நெறிமுறைகளைப் பயன்படுத்தும் திறனைச் சேர்த்தது. கூடுதலாக, அங்கீகாரத்திற்காக ஸ்மார்ட் கார்டுகளைப் பயன்படுத்தும் திறனை அவர் சேர்த்தார், இது கணினியை மிகவும் பாதுகாப்பானதாக மாற்றியது.
தற்போது, இந்த இரண்டு திட்டங்களையும் இணைப்பதற்கான செயலில் பேச்சுவார்த்தைகள் நடந்து வருகின்றன, விரைவில் அல்லது பின்னர் இது எப்படியும் நடக்கும் என்பதை நீங்கள் உறுதியாக நம்பலாம். எடுத்துக்காட்டாக, PPP இன் பேட்ச் செய்யப்பட்ட பதிப்பு நீண்ட காலமாக ஃபெடோரா களஞ்சியங்களில் உள்ளது, அங்கீகாரத்திற்கான பாதுகாப்பான நெறிமுறைகளைப் பயன்படுத்துகிறது. - சமீப காலம் வரை, இந்த நெட்வொர்க்கை விண்டோஸ் பயனர்களால் மட்டுமே பயன்படுத்த முடியும், ஆனால் மாஸ்கோ மாநில பல்கலைக்கழகத்தைச் சேர்ந்த எங்கள் சகாக்கள் வாசிலி ஷோகோவ் மற்றும் அலெக்சாண்டர் ஸ்மிர்னோவ் ஆகியோர் கண்டறிந்தனர் மற்றும் அதை மாற்றியமைத்தார். ஒன்றாக, கிளையண்டின் வேலையில் உள்ள பல பிழைகள் மற்றும் குறைபாடுகளை நாங்கள் சரிசெய்தோம், மூலத்திலிருந்து உருவாக்கும்போது கூட கணினியின் நிறுவல் மற்றும் உள்ளமைவை எளிதாக்கினோம். அவற்றில் மிகவும் குறிப்பிடத்தக்கவை:
- Openssl மற்றும் qt இன் புதிய பதிப்புகளின் இடைமுகத்துடன் பழைய கிளையண்டின் நிலையான பொருந்தக்கூடிய சிக்கல்கள்.
- தற்காலிக கோப்பு மூலம் டோக்கன் பின்னை அனுப்புவதில் இருந்து pppd அகற்றப்பட்டது.
- வரைகலை இடைமுகம் மூலம் கடவுச்சொல் கோரிக்கை நிரலின் தவறான துவக்கம் சரி செய்யப்பட்டது. xl2tpd சேவைக்கான சரியான சூழலை நிறுவுவதன் மூலம் இது செய்யப்பட்டது.
- L2tpIpsecVpn டீமானின் உருவாக்கம் இப்போது கிளையண்ட் பில்ட் உடன் இணைந்து மேற்கொள்ளப்படுகிறது, இது உருவாக்கம் மற்றும் உள்ளமைவு செயல்முறையை எளிதாக்குகிறது.
- வளர்ச்சியின் எளிமைக்காக, அஸூர் பைப்லைன்ஸ் அமைப்பு கட்டமைப்பின் சரியான தன்மையை சோதிக்க இணைக்கப்பட்டுள்ளது.
- தரமிறக்கத்தை கட்டாயப்படுத்தும் திறன் சேர்க்கப்பட்டது openssl இன் சூழலில். இந்த நிலையின் பாதுகாப்புத் தேவைகளைப் பூர்த்தி செய்யாத சான்றிதழ்களைப் பயன்படுத்தும் VPN நெட்வொர்க்குகளுடன் நிலையான பாதுகாப்பு நிலை 2 க்கு அமைக்கப்பட்டுள்ள புதிய இயக்க முறைமைகளை சரியாக ஆதரிக்க இது பயனுள்ளதாக இருக்கும். ஏற்கனவே உள்ள பழைய VPN நெட்வொர்க்குகளுடன் பணிபுரிய இந்த விருப்பம் பயனுள்ளதாக இருக்கும்.
திருத்தப்பட்ட பதிப்பில் காணலாம் .
இந்த கிளையன்ட் அங்கீகாரத்திற்காக ஸ்மார்ட் கார்டுகளைப் பயன்படுத்துவதை ஆதரிக்கிறது, மேலும் லினக்ஸின் கீழ் இந்தத் திட்டத்தை அமைப்பதில் உள்ள அனைத்து கஷ்டங்களையும் கஷ்டங்களையும் முடிந்தவரை மறைத்து, கிளையன்ட் அமைப்பை முடிந்தவரை எளிமையாகவும் வேகமாகவும் செய்கிறது.
நிச்சயமாக, PPP மற்றும் கிளையன்ட் GUI க்கு இடையே ஒரு வசதியான இணைப்புக்காக, ஒவ்வொரு திட்டங்களுக்கும் கூடுதல் திருத்தங்கள் இல்லாமல் சாத்தியமில்லை, இருப்பினும் அவை குறைக்கப்பட்டு குறைந்தபட்சமாக குறைக்கப்பட்டன:
- சரி செய்யப்பட்டது
- சரி செய்யப்பட்டது . இந்தப் பிழையானது, ஸ்மார்ட் கார்டுகளுடன் பணிபுரியும் openssl இன்ஜின்கள் பற்றிய தகவலைத் தவிர, உள்ளூர் /etc/ppp/openssl.cnf உள்ளமைவு கோப்பிலிருந்து எதையும் ஏற்ற அனுமதிக்கவில்லை, எடுத்துக்காட்டாக, என்ஜின்கள் பற்றிய தகவலுடன் கூடுதலாக, இது கடுமையான சிரமமாக இருந்தது. நாங்கள் வேறு ஏதாவது அமைக்க விரும்பினோம். எடுத்துக்காட்டாக, இணைப்பை நிறுவும் போது பாதுகாப்பு அளவை சரிசெய்யவும்.
இப்போது நீங்கள் அமைக்க ஆரம்பிக்கலாம்.
சர்வர் டியூனிங்
தேவையான அனைத்து தொகுப்புகளையும் நிறுவுவோம்.
ஸ்ட்ராங்ஸ்வான் (ஐபிசெக்) நிறுவுதல்
முதலில், ipsec செயல்பாட்டிற்கான ஃபயர்வாலை உள்ளமைப்போம்
sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reloadபின்னர் நிறுவலைத் தொடங்குவோம்
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswanநிறுவிய பின், நீங்கள் strongswan (IPSec செயலாக்கங்களில் ஒன்று) உள்ளமைக்க வேண்டும். இதைச் செய்ய, கோப்பைத் திருத்தவும் /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024பொதுவான உள்நுழைவு கடவுச்சொல்லையும் அமைப்போம். பகிரப்பட்ட கடவுச்சொல் அங்கீகாரத்திற்காக அனைத்து நெட்வொர்க் பங்கேற்பாளர்களுக்கும் தெரிந்திருக்க வேண்டும். இந்த முறை வெளிப்படையாக நம்பமுடியாதது, ஏனெனில் நெட்வொர்க்கிற்கான அணுகலை நாங்கள் வழங்க விரும்பாத நபர்களுக்கு இந்த கடவுச்சொல் எளிதாகத் தெரியும்.
இருப்பினும், இந்த உண்மை கூட பிணையத்தின் பாதுகாப்பை பாதிக்காது, ஏனெனில் அடிப்படை தரவு குறியாக்கம் மற்றும் பயனர் அங்கீகாரம் PPP நெறிமுறை மூலம் மேற்கொள்ளப்படுகிறது. ஆனால் நியாயமாக, ஸ்ட்ராங்ஸ்வான் அங்கீகாரத்திற்கான மிகவும் பாதுகாப்பான தொழில்நுட்பங்களை ஆதரிக்கிறது என்பது கவனிக்கத்தக்கது, எடுத்துக்காட்டாக, தனிப்பட்ட விசைகளைப் பயன்படுத்துதல். Strongswan ஸ்மார்ட் கார்டுகளைப் பயன்படுத்தி அங்கீகாரத்தை வழங்கும் திறனையும் கொண்டுள்ளது, ஆனால் இதுவரை வரையறுக்கப்பட்ட அளவிலான சாதனங்கள் மட்டுமே ஆதரிக்கப்படுகின்றன, எனவே Rutoken டோக்கன்கள் மற்றும் ஸ்மார்ட் கார்டுகளைப் பயன்படுத்தி அங்கீகாரம் இன்னும் கடினமாக உள்ளது. கோப்பு வழியாக பொதுவான கடவுச்சொல்லை அமைப்போம் /etc/strongswan/ipsec.secrets:
# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"ஸ்ட்ராங்ஸ்வானை மீண்டும் தொடங்குவோம்:
sudo systemctl enable strongswan
sudo systemctl restart strongswanxl2tp ஐ நிறுவுகிறது
sudo dnf install xl2tpdஅதை கோப்பு வழியாக கட்டமைப்போம் /etc/xl2tpd/xl2tpd.conf:
[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes
[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.adசேவையை மீண்டும் தொடங்குவோம்:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpdPPP அமைப்பு
pppd இன் சமீபத்திய பதிப்பை நிறுவுவது நல்லது. இதைச் செய்ய, பின்வரும் கட்டளைகளின் வரிசையை இயக்கவும்:
sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installகோப்பில் எழுதவும் /etc/ppp/options.xl2tpd பின்வருபவை (அங்கு ஏதேனும் மதிப்புகள் இருந்தால், அவற்றை நீக்கலாம்):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000நாங்கள் ரூட் சான்றிதழ் மற்றும் சர்வர் சான்றிதழை வழங்குகிறோம்:
#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/
#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"
#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserialஎனவே, நாங்கள் அடிப்படை சேவையக அமைப்பை முடித்துவிட்டோம். மீதமுள்ள சேவையக உள்ளமைவு புதிய வாடிக்கையாளர்களைச் சேர்ப்பதை உள்ளடக்கியது.
புதிய வாடிக்கையாளரைச் சேர்த்தல்
நெட்வொர்க்கில் புதிய கிளையண்டைச் சேர்க்க, இந்தக் கிளையண்டிற்கான நம்பகமானவர்களின் பட்டியலில் அதன் சான்றிதழை நீங்கள் சேர்க்க வேண்டும்.
ஒரு பயனர் VPN நெட்வொர்க்கில் உறுப்பினராக விரும்பினால், அவர் இந்த கிளையண்டிற்காக ஒரு முக்கிய ஜோடி மற்றும் சான்றிதழ் பயன்பாட்டை உருவாக்குகிறார். பயனர் நம்பகமானவராக இருந்தால், இந்த விண்ணப்பத்தில் கையொப்பமிடலாம், அதன் விளைவாக வரும் சான்றிதழை சான்றிதழ் கோப்பகத்தில் எழுதலாம்:
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserialகிளையன்ட் பெயரையும் அதன் சான்றிதழையும் பொருத்துவதற்கு /etc/ppp/eaptls-server கோப்பில் ஒரு வரியைச் சேர்ப்போம்:
"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *குறிப்பு
குழப்பத்தைத் தவிர்க்க, இது சிறந்தது: பொதுவான பெயர், சான்றிதழ் கோப்பு பெயர் மற்றும் பயனர் பெயர் தனிப்பட்டதாக இருக்க வேண்டும்.
நாங்கள் சேர்க்கும் பயனரின் பெயர் மற்ற அங்கீகாரக் கோப்புகளில் எங்கும் தோன்றவில்லையா என்பதையும் சரிபார்க்க வேண்டும், இல்லையெனில் பயனர் அங்கீகரிக்கப்படும் விதத்தில் சிக்கல்கள் இருக்கும்.
அதே சான்றிதழை பயனருக்கு திருப்பி அனுப்ப வேண்டும்.
ஒரு முக்கிய ஜோடி மற்றும் சான்றிதழை உருவாக்குதல்
வெற்றிகரமான அங்கீகாரத்திற்கு, வாடிக்கையாளர் கண்டிப்பாக:
- ஒரு முக்கிய ஜோடியை உருவாக்கவும்;
- CA ரூட் சான்றிதழ் வேண்டும்;
- ரூட் CA மூலம் கையொப்பமிடப்பட்ட உங்கள் முக்கிய ஜோடிக்கான சான்றிதழைப் பெறுங்கள்.
Linux இல் வாடிக்கையாளருக்கு
முதலில், டோக்கனில் ஒரு முக்கிய ஜோடியை உருவாக்கி, சான்றிதழுக்கான பயன்பாட்டை உருவாக்குவோம்:
#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"CA க்கு தோன்றும் client.req விண்ணப்பத்தை அனுப்பவும். உங்கள் முக்கிய ஜோடிக்கான சான்றிதழைப் பெற்றவுடன், சாவியின் அதே ஐடியுடன் டோக்கனில் எழுதவும்:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45விண்டோஸ் மற்றும் லினக்ஸ் கிளையண்டுகளுக்கு (மிகவும் உலகளாவிய முறை)
இந்த முறை மிகவும் உலகளாவியது, ஏனெனில் விண்டோஸ் மற்றும் லினக்ஸ் பயனர்களால் வெற்றிகரமாக அங்கீகரிக்கப்படும் விசை மற்றும் சான்றிதழை உருவாக்க உங்களை அனுமதிக்கிறது, ஆனால் விசை உருவாக்க செயல்முறையை செயல்படுத்த விண்டோஸ் இயந்திரம் தேவைப்படுகிறது.
கோரிக்கைகளை உருவாக்குவதற்கும் சான்றிதழ்களை இறக்குமதி செய்வதற்கும் முன், நீங்கள் VPN நெட்வொர்க்கின் ரூட் சான்றிதழை நம்பகமானவர்களின் பட்டியலில் சேர்க்க வேண்டும். இதைச் செய்ய, அதைத் திறந்து, திறக்கும் சாளரத்தில், "சான்றிதழை நிறுவு" விருப்பத்தைத் தேர்ந்தெடுக்கவும்:
திறக்கும் சாளரத்தில், உள்ளூர் பயனருக்கான சான்றிதழை நிறுவுவதைத் தேர்ந்தெடுக்கவும்:
CA இன் நம்பகமான ரூட் சான்றிதழ் ஸ்டோரில் சான்றிதழை நிறுவுவோம்:
இந்த அனைத்து செயல்களுக்கும் பிறகு, மேலும் அனைத்து புள்ளிகளுக்கும் நாங்கள் உடன்படுகிறோம். கணினி இப்போது கட்டமைக்கப்பட்டுள்ளது.
பின்வரும் உள்ளடக்கத்துடன் cert.tmp கோப்பை உருவாக்குவோம்:
[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE"
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSEஇதற்குப் பிறகு, நாங்கள் ஒரு முக்கிய ஜோடியை உருவாக்கி, சான்றிதழுக்கான விண்ணப்பத்தை உருவாக்குவோம். இதைச் செய்ய, பவர்ஷெல்லைத் திறந்து பின்வரும் கட்டளையை உள்ளிடவும்:
certreq.exe -new -pin $PIN .cert.tmp .client.reqஉருவாக்கப்பட்ட Client.req பயன்பாட்டை உங்கள் CA க்கு அனுப்பி, client.pem சான்றிதழ் பெறப்படும் வரை காத்திருக்கவும். இது ஒரு டோக்கனில் எழுதப்பட்டு, பின்வரும் கட்டளையைப் பயன்படுத்தி விண்டோஸ் சான்றிதழ் ஸ்டோரில் சேர்க்கலாம்:
certreq.exe -accept .client.pemஎம்எம்சி நிரலின் வரைகலை இடைமுகத்தைப் பயன்படுத்தி இதேபோன்ற செயல்களை மீண்டும் உருவாக்க முடியும் என்பது கவனிக்கத்தக்கது, ஆனால் இந்த முறை அதிக நேரத்தை எடுத்துக்கொள்வது மற்றும் குறைவான நிரல்படுத்தக்கூடியது.
உபுண்டு கிளையண்டை அமைத்தல்
குறிப்பு
லினக்ஸில் கிளையண்டை அமைப்பது தற்போது அதிக நேரத்தை எடுத்துக்கொள்ளும், ஏனெனில்... மூலத்திலிருந்து தனி நிரல்களை உருவாக்க வேண்டும். எதிர்காலத்தில் அனைத்து மாற்றங்களும் அதிகாரப்பூர்வ களஞ்சியங்களில் சேர்க்கப்படுவதை உறுதிசெய்ய முயற்சிப்போம்.
சேவையகத்துடன் IPSec அளவில் இணைப்பை உறுதி செய்ய, strongswan தொகுப்பு மற்றும் xl2tp டீமான் பயன்படுத்தப்படுகின்றன. ஸ்மார்ட் கார்டுகளைப் பயன்படுத்தி நெட்வொர்க்குடன் இணைப்பதை எளிதாக்க, நாம் l2tp-ipsec-vpn தொகுப்பைப் பயன்படுத்துவோம், இது எளிமையான இணைப்பு அமைப்பிற்கான வரைகலை ஷெல்லை வழங்குகிறது.
கூறுகளை படிப்படியாக இணைக்கத் தொடங்குவோம், ஆனால் அதற்கு முன் VPN நேரடியாக வேலை செய்ய தேவையான அனைத்து தொகுப்புகளையும் நிறுவுவோம்:
sudo apt-get install xl2tpd strongswan libp11-3டோக்கன்களுடன் வேலை செய்வதற்கான மென்பொருளை நிறுவுதல்
இதிலிருந்து சமீபத்திய librtpkcs11ecp.so நூலகத்தை நிறுவவும் , ஸ்மார்ட் கார்டுகளுடன் பணிபுரியும் நூலகங்களும்:
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-opensslRutoken ஐ இணைத்து, அது கணினியால் அங்கீகரிக்கப்பட்டுள்ளதா என்பதைச் சரிபார்க்கவும்:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -lஇணைக்கப்பட்ட பிபிபியை நிறுவுகிறது
sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make installL2tpIpsecVpn கிளையண்டை நிறுவுகிறது
இந்த நேரத்தில், கிளையன்ட் மூலக் குறியீட்டிலிருந்து தொகுக்கப்பட வேண்டும். பின்வரும் கட்டளைகளின் வரிசையைப் பயன்படுத்தி இது செய்யப்படுகிறது:
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make installL2tpIpsecVpn கிளையண்டை அமைக்கிறது
நிறுவப்பட்ட கிளையண்டை துவக்கவும்:
தொடங்கப்பட்ட பிறகு, L2tpIpsecVPN ஆப்லெட் திறக்கப்பட வேண்டும். அதன் மீது வலது கிளிக் செய்து இணைப்பை உள்ளமைக்கவும்:
டோக்கன்களுடன் வேலை செய்ய, முதலில், OpenSSL இன்ஜின் மற்றும் PKCS#11 லைப்ரரியின் opensc இன்ஜினுக்கான பாதையைக் குறிப்பிடுகிறோம். இதைச் செய்ய, openssl அளவுருக்களை உள்ளமைக்க "விருப்பத்தேர்வுகள்" தாவலைத் திறக்கவும்:
.
OpenSSL அமைப்புகள் சாளரத்தை மூடிவிட்டு பிணையத்தை அமைப்பதற்கு செல்லலாம். அமைப்புகள் பேனலில் உள்ள சேர்... பொத்தானைக் கிளிக் செய்வதன் மூலம் புதிய நெட்வொர்க்கைச் சேர்ப்போம் மற்றும் பிணைய பெயரை உள்ளிடவும்:
அதன் பிறகு, இந்த நெட்வொர்க் அமைப்புகள் பேனலில் கிடைக்கும். புதிய நெட்வொர்க்கை உள்ளமைக்க அதன் மீது இருமுறை வலது கிளிக் செய்யவும். முதல் தாவலில் நீங்கள் IPsec அமைப்புகளை உருவாக்க வேண்டும். சேவையக முகவரி மற்றும் பொது விசையை அமைப்போம்:
இதற்குப் பிறகு, PPP அமைப்புகள் தாவலுக்குச் சென்று, நெட்வொர்க்கை அணுக விரும்பும் பயனர் பெயரைக் குறிப்பிடவும்:
இதற்குப் பிறகு, பண்புகள் தாவலைத் திறந்து, விசை, கிளையன்ட் சான்றிதழ் மற்றும் CA க்கான பாதையைக் குறிப்பிடவும்:
இந்தத் தாவலை மூடிவிட்டு இறுதி அமைப்புகளைச் செய்வோம்; இதைச் செய்ய, "IP அமைப்புகள்" தாவலைத் திறந்து, "DNS சேவையக முகவரியைத் தானாகப் பெறு" விருப்பத்திற்கு அடுத்துள்ள பெட்டியைத் தேர்வுசெய்யவும்:
இந்த விருப்பம் கிளையன்ட் சேவையகத்திலிருந்து நெட்வொர்க்கிற்குள் தனிப்பட்ட ஐபி முகவரியைப் பெற அனுமதிக்கும்.
அனைத்து அமைப்புகளுக்கும் பிறகு, அனைத்து தாவல்களையும் மூடிவிட்டு கிளையண்டை மறுதொடக்கம் செய்யுங்கள்:
நெட்வொர்க் இணைப்பு
அமைப்புகளுக்குப் பிறகு, நீங்கள் பிணையத்துடன் இணைக்கலாம். இதைச் செய்ய, ஆப்லெட் தாவலைத் திறந்து, நாம் இணைக்க விரும்பும் பிணையத்தைத் தேர்ந்தெடுக்கவும்:
இணைப்பு நிறுவுதல் செயல்பாட்டின் போது, ருடோகன் பின் குறியீட்டை உள்ளிடுமாறு கிளையன்ட் எங்களிடம் கேட்பார்:
இணைப்பு வெற்றிகரமாக நிறுவப்பட்டது என்று நிலைப் பட்டியில் அறிவிப்பு தோன்றினால், அமைப்பு வெற்றிகரமாக இருந்தது என்று அர்த்தம்:
இல்லையெனில், இணைப்பு ஏன் நிறுவப்படவில்லை என்பதைக் கண்டறிவது மதிப்பு. இதைச் செய்ய, ஆப்லெட்டில் உள்ள "இணைப்புத் தகவல்" கட்டளையைத் தேர்ந்தெடுப்பதன் மூலம் நிரல் பதிவைப் பார்க்க வேண்டும்:
விண்டோஸ் கிளையண்டை அமைத்தல்
லினக்ஸை விட விண்டோஸில் கிளையண்டை அமைப்பது மிகவும் எளிதானது, ஏனெனில்... தேவையான அனைத்து மென்பொருள்களும் ஏற்கனவே கணினியில் கட்டமைக்கப்பட்டுள்ளன.
கணினி அமைப்பு
Rutokens உடன் பணிபுரிய தேவையான அனைத்து இயக்கிகளையும் பதிவிறக்கம் செய்வதன் மூலம் நிறுவுவோம் .
அங்கீகாரத்திற்கான ரூட் சான்றிதழை இறக்குமதி செய்கிறது
சர்வர் ரூட் சான்றிதழை பதிவிறக்கம் செய்து கணினியில் நிறுவவும். இதைச் செய்ய, அதைத் திறந்து, திறக்கும் சாளரத்தில், "சான்றிதழை நிறுவு" விருப்பத்தைத் தேர்ந்தெடுக்கவும்:
திறக்கும் சாளரத்தில், உள்ளூர் பயனருக்கான சான்றிதழை நிறுவுவதைத் தேர்ந்தெடுக்கவும். கணினியில் உள்ள அனைத்து பயனர்களுக்கும் சான்றிதழ் கிடைக்க வேண்டும் என நீங்கள் விரும்பினால், உள்ளூர் கணினியில் சான்றிதழை நிறுவ நீங்கள் தேர்வு செய்ய வேண்டும்:
CA இன் நம்பகமான ரூட் சான்றிதழ் ஸ்டோரில் சான்றிதழை நிறுவுவோம்:
இந்த அனைத்து செயல்களுக்கும் பிறகு, மேலும் அனைத்து புள்ளிகளுக்கும் நாங்கள் உடன்படுகிறோம். கணினி இப்போது கட்டமைக்கப்பட்டுள்ளது.
VPN இணைப்பை அமைத்தல்
VPN இணைப்பை அமைக்க, கட்டுப்பாட்டுப் பலகத்திற்குச் சென்று புதிய இணைப்பை உருவாக்குவதற்கான விருப்பத்தைத் தேர்ந்தெடுக்கவும்.
பாப்-அப் சாளரத்தில், உங்கள் பணியிடத்துடன் இணைக்க இணைப்பை உருவாக்குவதற்கான விருப்பத்தைத் தேர்ந்தெடுக்கவும்:
அடுத்த சாளரத்தில், VPN இணைப்பைத் தேர்ந்தெடுக்கவும்:
VPN இணைப்பு விவரங்களை உள்ளிடவும், மேலும் ஸ்மார்ட் கார்டைப் பயன்படுத்துவதற்கான விருப்பத்தையும் குறிப்பிடவும்:
அமைப்பு இன்னும் முழுமையடையவில்லை. IPsec நெறிமுறைக்கான பகிரப்பட்ட விசையைக் குறிப்பிடுவது மட்டுமே எஞ்சியுள்ளது; இதைச் செய்ய, "நெட்வொர்க் இணைப்பு அமைப்புகள்" தாவலுக்குச் சென்று, பின்னர் "இந்த இணைப்புக்கான பண்புகள்" தாவலுக்குச் செல்லவும்:
திறக்கும் சாளரத்தில், "பாதுகாப்பு" தாவலுக்குச் சென்று, பிணைய வகையாக "L2TP/IPsec நெட்வொர்க்" எனக் குறிப்பிட்டு, "மேம்பட்ட அமைப்புகள்" என்பதைத் தேர்ந்தெடுக்கவும்:
திறக்கும் சாளரத்தில், பகிரப்பட்ட IPsec விசையைக் குறிப்பிடவும்:
Подключение
அமைப்பை முடித்த பிறகு, பிணையத்துடன் இணைக்க முயற்சி செய்யலாம்:
இணைப்புச் செயல்பாட்டின் போது, நாம் டோக்கன் பின் குறியீட்டை உள்ளிட வேண்டும்:
பாதுகாப்பான VPN நெட்வொர்க்கை அமைத்து, அது கடினமாக இல்லை என்பதை உறுதிசெய்துள்ளோம்.
ஒப்புதல்கள்
லினக்ஸ் வாடிக்கையாளர்களுக்கான VPN இணைப்புகளை உருவாக்குவதை எளிதாக்குவதற்கு எங்கள் சக ஊழியர்களான வாசிலி ஷோகோவ் மற்றும் அலெக்சாண்டர் ஸ்மிர்னோவ் ஆகியோர் இணைந்து செய்த பணிகளுக்கு மீண்டும் ஒருமுறை நன்றி தெரிவிக்க விரும்புகிறேன்.
ஆதாரம்: www.habr.com