مسائل

ابھی حال ہی میں، بہت سے لوگ نہیں جانتے تھے کہ گھر سے کام کرنا کیسا ہوتا ہے۔ وبائی مرض نے دنیا کے حالات کو ڈرامائی طور پر تبدیل کر دیا ہے، ہر کسی نے موجودہ حالات کے مطابق ڈھالنا شروع کر دیا ہے، یعنی اس حقیقت کے مطابق کہ گھر سے نکلنا محض غیر محفوظ ہو گیا ہے۔ اور بہت سے لوگوں کو اپنے ملازمین کے لیے جلدی سے گھر سے کام کا اہتمام کرنا پڑا۔

تاہم، دور دراز کے کام کے لیے حل کو منتخب کرنے کے لیے ایک قابل نقطہ نظر کی کمی ناقابل واپسی نقصانات کا باعث بن سکتی ہے۔ صارف کے پاس ورڈز چوری کیے جا سکتے ہیں، اور یہ حملہ آور کو انٹرپرائز کے نیٹ ورک اور IT وسائل سے بے قابو ہو کر جڑنے کی اجازت دے گا۔

یہی وجہ ہے کہ اب قابل اعتماد کارپوریٹ VPN نیٹ ورکس بنانے کی ضرورت بڑھ گئی ہے۔ کے بارے میں بتاتا ہوں۔ قابل اعتماد, محفوظ и سادہ وی پی این نیٹ ورک استعمال کرنے میں۔

یہ IPsec/L2TP اسکیم کے مطابق کام کرتا ہے، جو کلائنٹس کی توثیق کرنے کے لیے ٹوکنز پر ذخیرہ شدہ غیر قابل بازیافت کلیدوں اور سرٹیفکیٹس کا استعمال کرتا ہے، اور نیٹ ورک پر ڈیٹا کو خفیہ کردہ شکل میں منتقل کرتا ہے۔

CentOS 7 کے ساتھ ایک سرور (پتہ: centos.vpn.server.ad) اور Ubuntu 20.04 کے ساتھ ایک کلائنٹ کے ساتھ ساتھ Windows 10 والے کلائنٹ کو کنفیگریشن کے مظاہرے کے طور پر استعمال کیا گیا۔

سسٹم کی تفصیل

VPN IPSec + L2TP + PPP اسکیم کے مطابق کام کرے گا۔ پروٹوکول پوائنٹ ٹو پوائنٹ پروٹوکول (پیپلز پارٹی) OSI ماڈل کی ڈیٹا لنک پرت پر کام کرتا ہے اور صارف کی تصدیق اور منتقل شدہ ڈیٹا کی خفیہ کاری فراہم کرتا ہے۔ اس کا ڈیٹا L2TP پروٹوکول کے ڈیٹا میں شامل ہے، جو دراصل VPN نیٹ ورک میں کنکشن کی تخلیق کو یقینی بناتا ہے، لیکن تصدیق اور خفیہ کاری فراہم نہیں کرتا ہے۔

L2TP ڈیٹا کو IPSec میں شامل کیا جاتا ہے، جو تصدیق اور خفیہ کاری بھی فراہم کرتا ہے، لیکن PPP کے برعکس، تصدیق اور خفیہ کاری صارف کی سطح پر نہیں، ڈیوائس کی سطح پر ہوتی ہے۔

یہ خصوصیت آپ کو صرف مخصوص آلات سے صارفین کی تصدیق کرنے کی اجازت دیتی ہے۔ ہم IPSec پروٹوکول کو جیسا ہے استعمال کریں گے اور کسی بھی ڈیوائس سے صارف کی تصدیق کی اجازت دیں گے۔

سمارٹ کارڈز کا استعمال کرتے ہوئے صارف کی تصدیق PPP پروٹوکول کی سطح پر EAP-TLS پروٹوکول کے ذریعے کی جائے گی۔

اس سرکٹ کے آپریشن کے بارے میں مزید تفصیلی معلومات میں پایا جا سکتا ہے یہ مضمون.

یہ اسکیم اچھے وی پی این نیٹ ورک کی تینوں ضروریات کو کیوں پورا کرتی ہے؟

1. اس اسکیم کی وشوسنییتا کا وقت کے ساتھ تجربہ کیا گیا ہے۔ اسے 2000 سے VPN نیٹ ورکس کو تعینات کرنے کے لیے استعمال کیا جا رہا ہے۔
2. پی پی پی پروٹوکول کے ذریعہ محفوظ صارف کی تصدیق فراہم کی جاتی ہے۔ پال میکراس کے تیار کردہ پی پی پی پروٹوکول کا معیاری نفاذ سیکورٹی کی کافی سطح فراہم نہیں کرتا، کیونکہ تصدیق کے لیے، بہترین صورت میں، لاگ ان اور پاس ورڈ کا استعمال کرتے ہوئے توثیق کا استعمال کیا جاتا ہے۔ ہم سب جانتے ہیں کہ لاگ ان پاس ورڈ کی جاسوسی کی جا سکتی ہے، اندازہ لگایا جا سکتا ہے یا چوری کیا جا سکتا ہے۔ تاہم، اب ایک طویل وقت کے لئے ڈویلپر جان جسٹ کیجسر в اس کا نفاذ اس پروٹوکول نے اس مسئلے کو درست کیا اور تصدیق کے لیے غیر متناسب خفیہ کاری، جیسے EAP-TLS، پر مبنی پروٹوکول استعمال کرنے کی صلاحیت کو شامل کیا۔ اس کے علاوہ، انہوں نے تصدیق کے لیے سمارٹ کارڈز کے استعمال کی صلاحیت کو بھی شامل کیا، جس نے سسٹم کو مزید محفوظ بنا دیا۔
   فی الحال، ان دونوں منصوبوں کو ضم کرنے کے لیے فعال مذاکرات جاری ہیں اور آپ یقین کر سکتے ہیں کہ جلد یا بدیر یہ بہرحال ہو جائے گا۔ مثال کے طور پر، PPP کا ایک پیچ شدہ ورژن Fedora کے ذخیروں میں کافی عرصے سے موجود ہے، تصدیق کے لیے محفوظ پروٹوکول کا استعمال کرتے ہوئے۔
3. کچھ عرصہ پہلے تک، یہ نیٹ ورک صرف ونڈوز استعمال کرنے والے استعمال کر سکتے تھے، لیکن ماسکو سٹیٹ یونیورسٹی کے ہمارے ساتھیوں واسیلی شوکوف اور الیگزینڈر سمرنوف نے پایا۔ لینکس کے لیے پرانا L2TP کلائنٹ پروجیکٹ اور اس میں ترمیم کی. ایک ساتھ، ہم نے کلائنٹ کے کام میں بہت سے کیڑے اور کوتاہیوں کو دور کیا، سسٹم کی تنصیب اور ترتیب کو آسان بنایا، یہاں تک کہ ماخذ سے تعمیر کرتے وقت بھی۔ ان میں سے سب سے اہم ہیں:
   • اوپن ایس ایل اور کیو ٹی کے نئے ورژن کے انٹرفیس کے ساتھ پرانے کلائنٹ کے فکسڈ مطابقت کے مسائل۔
   • pppd کو ایک عارضی فائل کے ذریعے ٹوکن PIN پاس کرنے سے ہٹا دیا گیا۔
   • گرافیکل انٹرفیس کے ذریعے پاس ورڈ کی درخواست کے پروگرام کے غلط آغاز کو درست کیا گیا۔ یہ xl2tpd سروس کے لیے صحیح ماحول کو انسٹال کرکے کیا گیا تھا۔
   • L2tpIpsecVpn ڈیمون کی تعمیر اب خود کلائنٹ کی تعمیر کے ساتھ کی جاتی ہے، جو تعمیر اور ترتیب کے عمل کو آسان بناتی ہے۔
   • ترقی میں آسانی کے لیے، Azure پائپ لائنز کا نظام تعمیر کی درستگی کو جانچنے کے لیے منسلک ہے۔
   • زبردستی ڈاؤن گریڈ کرنے کی صلاحیت شامل کی گئی۔ سیکورٹی کی سطح openssl کے تناظر میں۔ یہ نئے آپریٹنگ سسٹمز کو درست طریقے سے سپورٹ کرنے کے لیے مفید ہے جہاں معیاری سیکیورٹی لیول 2 پر سیٹ کیا گیا ہے، VPN نیٹ ورکس کے ساتھ جو سرٹیفکیٹ استعمال کرتے ہیں جو اس سطح کی سیکیورٹی کی ضروریات کو پورا نہیں کرتے ہیں۔ یہ آپشن موجودہ پرانے VPN نیٹ ورکس کے ساتھ کام کرنے کے لیے مفید ہوگا۔

تصحیح شدہ ورژن میں پایا جا سکتا ہے۔ یہ ذخیرہ.

یہ کلائنٹ تصدیق کے لیے سمارٹ کارڈز کے استعمال کی حمایت کرتا ہے، اور اس اسکیم کو لینکس کے تحت ترتیب دینے کی تمام مشکلات اور مشکلات کو بھی چھپاتا ہے، جس سے کلائنٹ سیٹ اپ کو آسان اور تیز تر بنایا جاتا ہے۔

بلاشبہ، PPP اور کلائنٹ GUI کے درمیان آسان کنکشن کے لیے، ہر ایک پروجیکٹ میں اضافی ترامیم کے بغیر یہ ممکن نہیں تھا، لیکن اس کے باوجود انہیں کم سے کم کر کے کم سے کم کر دیا گیا:

• طے شدہ PPP سے ٹوکن PIN کوڈ کو اوپن ایس ایل سیاق و سباق میں غلط طریقے سے آگے بھیجنے کی غلطی
• طے شدہ کنفیگریشن لوڈ کرنے اور اوپن ایس ایل سیاق و سباق کو شروع کرنے کی ترتیب میں غلطی. اس خرابی نے ہمیں مقامی /etc/ppp/openssl.cnf کنفیگریشن فائل سے سمارٹ کارڈز کے ساتھ کام کرنے کے لیے openssl انجن کے بارے میں معلومات کے علاوہ کچھ لوڈ کرنے کی اجازت نہیں دی، جو کہ ایک سنگین تکلیف تھی اگر، مثال کے طور پر، انجنوں کے بارے میں معلومات کے علاوہ، ہم کچھ اور سیٹ کرنا چاہتے تھے۔ مثال کے طور پر، کنکشن قائم کرتے وقت حفاظتی سطح کو درست کریں۔

اب آپ ترتیب دینا شروع کر سکتے ہیں۔

سرور ٹیوننگ

آئیے تمام ضروری پیکجوں کو انسٹال کرتے ہیں۔

سٹرانگسوان انسٹال کرنا (IPsec)

سب سے پہلے، آئی پی ایس سی آپریشن کے لیے فائر وال کو کنفیگر کرتے ہیں۔

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

پھر آئیے انسٹالیشن شروع کریں۔

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

تنصیب کے بعد، آپ کو سٹرانگسوان (IPSec کے نفاذ میں سے ایک) کو ترتیب دینے کی ضرورت ہے۔ ایسا کرنے کے لیے فائل میں ترمیم کریں۔ /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

ہم ایک مشترکہ لاگ ان پاس ورڈ بھی ترتیب دیں گے۔ تصدیق کے لیے مشترکہ پاس ورڈ تمام نیٹ ورک کے شرکاء کو معلوم ہونا چاہیے۔ یہ طریقہ واضح طور پر ناقابل اعتماد ہے، کیونکہ یہ پاس ورڈ آسانی سے ان افراد کو معلوم ہو سکتا ہے جنہیں ہم نیٹ ورک تک رسائی فراہم نہیں کرنا چاہتے۔
تاہم، یہ حقیقت بھی نیٹ ورک کی سیکورٹی کو متاثر نہیں کرے گا، کیونکہ بنیادی ڈیٹا انکرپشن اور صارف کی توثیق PPP پروٹوکول کے ذریعے کی جاتی ہے۔ لیکن منصفانہ طور پر، یہ بات قابل توجہ ہے کہ سٹرانگسوان تصدیق کے لیے زیادہ محفوظ ٹیکنالوجیز کو سپورٹ کرتا ہے، مثال کے طور پر، پرائیویٹ کیز کا استعمال۔ Strongswan میں سمارٹ کارڈز کا استعمال کرتے ہوئے توثیق فراہم کرنے کی صلاحیت بھی ہے، لیکن ابھی تک صرف ایک محدود رینج کے آلات ہی معاون ہیں اور اس لیے Rutoken ٹوکنز اور سمارٹ کارڈز کا استعمال کرتے ہوئے تصدیق کرنا اب بھی مشکل ہے۔ آئیے فائل کے ذریعے ایک عام پاس ورڈ سیٹ کریں۔ /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

آئیے مضبوطی سے دوبارہ شروع کریں:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

xl2tp انسٹال کرنا

sudo dnf install xl2tpd

آئیے اسے فائل کے ذریعے ترتیب دیں۔ /etc/xl2tpd/xl2tpd.conf:

[global]
force userspace = yes
listen-addr = 0.0.0.0
ipsec saref = yes

[lns default]
exclusive = no
; определяет статический адрес сервера в виртуальной сети
local ip = 100.10.10.1
; задает диапазон виртуальных адресов
ip range = 100.10.10.1-100.10.10.254
assign ip = yes
refuse pap = yes
require authentication = yes
; данную опцию можно отключить после успешной настройки сети
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/options.xl2tpd
; указывает адрес сервера в сети
name = centos.vpn.server.ad

آئیے سروس کو دوبارہ شروع کریں:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

پیپلز پارٹی کا سیٹ اپ

pppd کا تازہ ترین ورژن انسٹال کرنے کا مشورہ دیا جاتا ہے۔ ایسا کرنے کے لیے، کمانڈز کی مندرجہ ذیل ترتیب پر عمل کریں:

sudo yum install git make gcc openssl-devel
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

فائل میں لکھیں۔ /etc/ppp/options.xl2tpd درج ذیل (اگر وہاں کوئی قدریں ہیں تو آپ انہیں حذف کر سکتے ہیں):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

ہم روٹ سرٹیفکیٹ اور سرور سرٹیفکیٹ جاری کرتے ہیں:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj "/C=RU/CN=L2TP CA"

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj "/C=RU/CN=centos.vpn.server.ad"
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

اس طرح، ہم بنیادی سرور سیٹ اپ کے ساتھ ہو چکے ہیں۔ باقی سرور کی ترتیب میں نئے کلائنٹس کو شامل کرنا شامل ہے۔

ایک نیا کلائنٹ شامل کرنا

نیٹ ورک میں ایک نیا کلائنٹ شامل کرنے کے لیے، آپ کو اس کا سرٹیفکیٹ اس کلائنٹ کے لیے قابل اعتماد افراد کی فہرست میں شامل کرنا چاہیے۔

اگر کوئی صارف VPN نیٹ ورک کا رکن بننا چاہتا ہے، تو وہ اس کلائنٹ کے لیے ایک کلیدی جوڑا اور ایک سرٹیفکیٹ کی درخواست تیار کرتا ہے۔ اگر صارف پر بھروسہ ہے، تو اس درخواست پر دستخط کیے جا سکتے ہیں، اور نتیجے میں سرٹیفکیٹ سرٹیفکیٹ ڈائرکٹری میں لکھا جا سکتا ہے:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

آئیے کلائنٹ کے نام اور اس کے سرٹیفکیٹ سے ملنے کے لیے /etc/ppp/eaptls-server فائل میں ایک لائن شامل کریں:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

نوٹس
الجھن سے بچنے کے لیے، یہ بہتر ہے کہ: عام نام، سرٹیفکیٹ فائل کا نام اور صارف کا نام منفرد ہو۔

یہ بھی چیک کرنے کے قابل ہے کہ ہم جس صارف کا نام شامل کر رہے ہیں وہ دیگر تصدیقی فائلوں میں کہیں نظر نہیں آتا، بصورت دیگر صارف کی توثیق کرنے کے طریقے میں مسائل پیدا ہوں گے۔

وہی سرٹیفکیٹ صارف کو واپس بھیجنا ضروری ہے۔

کلیدی جوڑا اور سرٹیفکیٹ تیار کرنا

کامیاب تصدیق کے لیے، کلائنٹ کو:

1. ایک کلیدی جوڑی بنائیں؛
2. ایک CA روٹ سرٹیفکیٹ ہے؛
3. اپنے کلیدی جوڑے کے لیے ایک سرٹیفکیٹ رکھیں جس پر روٹ CA کے دستخط ہوں۔

لینکس پر کلائنٹ کے لیے

پہلے، آئیے ٹوکن پر ایک کلیدی جوڑا بنائیں اور سرٹیفکیٹ کے لیے ایک درخواست بنائیں:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

CA کو ظاہر ہونے والی client.req درخواست بھیجیں۔ ایک بار جب آپ کو اپنے کلیدی جوڑے کے لیے سرٹیفکیٹ موصول ہو جائے، تو اسے ایک ٹوکن پر لکھیں جس میں کلید کی شناخت ہے:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

ونڈوز اور لینکس کلائنٹس کے لیے (زیادہ عالمگیر طریقہ)

یہ طریقہ زیادہ عالمگیر ہے، کیونکہ آپ کو ایک کلید اور سرٹیفکیٹ بنانے کی اجازت دیتا ہے جسے ونڈوز اور لینکس کے صارفین کامیابی کے ساتھ پہچان لیں گے، لیکن کلیدی جنریشن کے طریقہ کار کو انجام دینے کے لیے اسے ونڈوز مشین کی ضرورت ہے۔

درخواستیں تیار کرنے اور سرٹیفکیٹ درآمد کرنے سے پہلے، آپ کو VPN نیٹ ورک کے روٹ سرٹیفکیٹ کو بھروسہ مندوں کی فہرست میں شامل کرنا چاہیے۔ ایسا کرنے کے لیے اسے کھولیں اور کھلنے والی ونڈو میں "انسٹال سرٹیفکیٹ" کا آپشن منتخب کریں۔

کھلنے والی ونڈو میں، مقامی صارف کے لیے سرٹیفکیٹ انسٹال کرنا منتخب کریں:

آئیے CA کے قابل اعتماد روٹ سرٹیفکیٹ اسٹور میں سرٹیفکیٹ انسٹال کریں:

ان تمام اقدامات کے بعد ہم مزید تمام نکات سے متفق ہیں۔ سسٹم اب ترتیب دیا گیا ہے۔

آئیے درج ذیل مواد کے ساتھ ایک فائل cert.tmp بنائیں:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

اس کے بعد، ہم ایک کلیدی جوڑا بنائیں گے اور سرٹیفکیٹ کے لیے ایک درخواست بنائیں گے۔ ایسا کرنے کے لیے، پاور شیل کھولیں اور درج ذیل کمانڈ درج کریں:

certreq.exe -new -pin $PIN .cert.tmp .client.req

تخلیق کردہ درخواست client.req کو اپنے CA کو بھیجیں اور client.pem سرٹیفکیٹ موصول ہونے کا انتظار کریں۔ اسے ٹوکن پر لکھا جا سکتا ہے اور درج ذیل کمانڈ کا استعمال کرتے ہوئے ونڈوز سرٹیفکیٹ اسٹور میں شامل کیا جا سکتا ہے۔

certreq.exe -accept .client.pem

یہ بات قابل غور ہے کہ ایم ایم سی پروگرام کے گرافیکل انٹرفیس کا استعمال کرتے ہوئے اسی طرح کی کارروائیوں کو دوبارہ تیار کیا جاسکتا ہے، لیکن یہ طریقہ زیادہ وقت طلب اور کم قابل پروگرام ہے۔

اوبنٹو کلائنٹ کو ترتیب دینا

نوٹس
لینکس پر کلائنٹ ترتیب دینا فی الحال کافی وقت طلب ہے، کیونکہ... ماخذ سے الگ پروگرام بنانے کی ضرورت ہے۔ ہم اس بات کو یقینی بنانے کی کوشش کریں گے کہ مستقبل قریب میں تمام تبدیلیاں سرکاری ذخیروں میں شامل ہوں۔

سرور سے IPSec سطح پر کنکشن کو یقینی بنانے کے لیے، strongswan پیکیج اور xl2tp ڈیمون استعمال کیا جاتا ہے۔ سمارٹ کارڈز کا استعمال کرتے ہوئے نیٹ ورک سے جڑنے کو آسان بنانے کے لیے، ہم l2tp-ipsec-vpn پیکیج استعمال کریں گے، جو آسان کنکشن سیٹ اپ کے لیے گرافیکل شیل فراہم کرتا ہے۔

آئیے مرحلہ وار عناصر کو جمع کرنا شروع کرتے ہیں، لیکن اس سے پہلے ہم VPN کے براہ راست کام کرنے کے لیے تمام ضروری پیکجز انسٹال کریں گے:

sudo apt-get install xl2tpd strongswan libp11-3

ٹوکن کے ساتھ کام کرنے کے لیے سافٹ ویئر انسٹال کرنا

سے تازہ ترین librtpkcs11ecp.so لائبریری انسٹال کریں۔ سائٹ، سمارٹ کارڈ کے ساتھ کام کرنے کے لیے لائبریریاں بھی:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Rutoken کو مربوط کریں اور چیک کریں کہ یہ سسٹم کے ذریعہ پہچانا گیا ہے:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so  -O -l

پیچ شدہ پی پی پی انسٹال کرنا

sudo apt-get -y install git make gcc libssl-dev
git clone "https://github.com/jjkeijser/ppp"
cd ppp
./configure --prefix /usr
make -j4
sudo make install

L2tpIpsecVpn کلائنٹ کو انسٹال کرنا

اس وقت، کلائنٹ کو سورس کوڈ سے بھی مرتب کرنے کی ضرورت ہے۔ یہ مندرجہ ذیل حکموں کی ترتیب کا استعمال کرتے ہوئے کیا جاتا ہے:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone "https://github.com/Sander80/l2tp-ipsec-vpn"
cd l2tp-ipsec-vpn
make -j4
sudo make install

L2tpIpsecVpn کلائنٹ کو ترتیب دینا

انسٹال کردہ کلائنٹ لانچ کریں:

لانچ کے بعد، L2tpIpsecVPN ایپلٹ کھلنا چاہیے۔ اس پر دائیں کلک کریں اور کنکشن کو ترتیب دیں:

ٹوکنز کے ساتھ کام کرنے کے لیے، سب سے پہلے، ہم OpenSSL انجن کے opensc انجن اور PKCS#11 لائبریری کا راستہ بتاتے ہیں۔ ایسا کرنے کے لیے، openssl پیرامیٹرز کو ترتیب دینے کے لیے "ترجیحات" ٹیب کو کھولیں:

.

آئیے OpenSSL سیٹنگز ونڈو کو بند کریں اور نیٹ ورک سیٹ اپ کرنے کے لیے آگے بڑھیں۔ آئیے سیٹنگ پینل میں شامل کریں... بٹن پر کلک کرکے ایک نیا نیٹ ورک شامل کریں اور نیٹ ورک کا نام درج کریں:

اس کے بعد یہ نیٹ ورک سیٹنگ پینل میں دستیاب ہو جائے گا۔ نئے نیٹ ورک کو کنفیگر کرنے کے لیے اس پر ڈبل دائیں کلک کریں۔ پہلے ٹیب پر آپ کو IPsec سیٹنگز بنانے کی ضرورت ہے۔ آئیے سرور کا پتہ اور عوامی کلید ترتیب دیں:

اس کے بعد، پی پی پی سیٹنگز کے ٹیب پر جائیں اور وہاں اس صارف نام کی نشاندہی کریں جس کے تحت ہم نیٹ ورک تک رسائی حاصل کرنا چاہتے ہیں:

اس کے بعد، پراپرٹیز ٹیب کو کھولیں اور کلید، کلائنٹ سرٹیفکیٹ اور CA کا راستہ بتائیں:

آئیے اس ٹیب کو بند کریں اور فائنل سیٹنگز کریں؛ ایسا کرنے کے لیے، "IP سیٹنگز" ٹیب کو کھولیں اور "DNS سرور ایڈریس خود بخود حاصل کریں" آپشن کے ساتھ والے باکس کو چیک کریں:

یہ آپشن کلائنٹ کو سرور سے نیٹ ورک کے اندر ذاتی IP ایڈریس حاصل کرنے کی اجازت دے گا۔

تمام ترتیبات کے بعد، تمام ٹیبز کو بند کریں اور کلائنٹ کو دوبارہ شروع کریں:

نیٹ ورک سے جڑ رہا ہے۔

سیٹنگز کے بعد، آپ نیٹ ورک سے جڑ سکتے ہیں۔ ایسا کرنے کے لیے، ایپلٹ ٹیب کو کھولیں اور اس نیٹ ورک کو منتخب کریں جس سے ہم جڑنا چاہتے ہیں:

کنکشن کے قیام کے عمل کے دوران، کلائنٹ ہم سے Rutoken PIN کوڈ درج کرنے کو کہے گا:

اگر اسٹیٹس بار میں کوئی اطلاع ظاہر ہوتی ہے کہ کنکشن کامیابی سے قائم ہو گیا ہے، تو اس کا مطلب ہے کہ سیٹ اپ کامیاب ہو گیا:

بصورت دیگر، یہ معلوم کرنے کے قابل ہے کہ کنکشن کیوں قائم نہیں ہوا۔ ایسا کرنے کے لیے، آپ کو ایپلٹ میں "کنکشن انفارمیشن" کمانڈ کو منتخب کرکے پروگرام لاگ کو دیکھنا چاہیے۔

ونڈوز کلائنٹ کو ترتیب دینا

ونڈوز پر کلائنٹ کو ترتیب دینا لینکس کے مقابلے میں بہت آسان ہے، کیونکہ... تمام ضروری سافٹ ویئر پہلے ہی سسٹم میں شامل ہیں۔

سسٹم سیٹ اپ

ہم Rutokens کے ساتھ کام کرنے کے لیے تمام ضروری ڈرائیوروں کو ان سے ڈاؤن لوڈ کرکے انسٹال کریں گے۔ کی سائٹ.

تصدیق کے لیے روٹ سرٹیفکیٹ درآمد کرنا

سرور روٹ سرٹیفکیٹ ڈاؤن لوڈ کریں اور اسے سسٹم پر انسٹال کریں۔ ایسا کرنے کے لیے اسے کھولیں اور کھلنے والی ونڈو میں "انسٹال سرٹیفکیٹ" کا آپشن منتخب کریں۔

کھلنے والی ونڈو میں، مقامی صارف کے لیے سرٹیفکیٹ انسٹال کرنا منتخب کریں۔ اگر آپ چاہتے ہیں کہ سرٹیفکیٹ کمپیوٹر پر تمام صارفین کے لیے دستیاب ہو، تو آپ کو مقامی کمپیوٹر پر سرٹیفکیٹ انسٹال کرنے کا انتخاب کرنا چاہیے:

آئیے CA کے قابل اعتماد روٹ سرٹیفکیٹ اسٹور میں سرٹیفکیٹ انسٹال کریں:

ان تمام اقدامات کے بعد ہم مزید تمام نکات سے متفق ہیں۔ سسٹم اب ترتیب دیا گیا ہے۔

وی پی این کنکشن ترتیب دینا

وی پی این کنکشن قائم کرنے کے لیے، کنٹرول پینل پر جائیں اور نیا کنکشن بنانے کا اختیار منتخب کریں۔

پاپ اپ ونڈو میں، اپنے کام کی جگہ سے جڑنے کے لیے کنکشن بنانے کا اختیار منتخب کریں:

اگلی ونڈو میں، ایک VPN کنکشن منتخب کریں:

اور VPN کنکشن کی تفصیلات درج کریں، اور سمارٹ کارڈ استعمال کرنے کا اختیار بھی بیان کریں:

سیٹ اپ ابھی مکمل نہیں ہوا ہے۔ باقی صرف IPsec پروٹوکول کے لیے مشترکہ کلید کی وضاحت کرنا ہے؛ ایسا کرنے کے لیے، "نیٹ ورک کنکشن کی ترتیبات" ٹیب پر جائیں اور پھر "اس کنکشن کے لیے پراپرٹیز" ٹیب پر جائیں:

کھلنے والی ونڈو میں، "سیکیورٹی" ٹیب پر جائیں، نیٹ ورک کی قسم کے طور پر "L2TP/IPsec نیٹ ورک" کی وضاحت کریں اور "ایڈوانسڈ سیٹنگز" کو منتخب کریں:

کھلنے والی ونڈو میں، مشترکہ IPsec کلید کی وضاحت کریں:

Подключение

سیٹ اپ مکمل کرنے کے بعد، آپ نیٹ ورک سے جڑنے کی کوشش کر سکتے ہیں:

کنکشن کے عمل کے دوران، ہمیں ٹوکن پن کوڈ درج کرنے کی ضرورت ہوگی:

ہم نے ایک محفوظ VPN نیٹ ورک قائم کیا ہے اور اس بات کو یقینی بنایا ہے کہ یہ مشکل نہیں ہے۔

اعترافات

میں ایک بار پھر اپنے ساتھیوں واسیلی شوکوف اور الیگزینڈر سمرنوف کا شکریہ ادا کرنا چاہوں گا کہ انہوں نے لینکس کلائنٹس کے لیے وی پی این کنکشنز کی تخلیق کو آسان بنانے کے لیے مل کر کیا ہے۔

ماخذ: www.habr.com