אָרגאַניזאַציע פון ​​ווייַט אַרבעט פון אַ SMB אָרגאַניזאַציע אויף OpenVPN

ויסזאָגונג פון די פּראָבלעם

דער אַרטיקל באשרייבט די אָרגאַניזאַציע פון ​​ווייַט אַקסעס פֿאַר עמפּלוייז אויף אָפֿן מקור פּראָדוקטן און קענען זיין געוויינט ביידע צו בויען אַ גאָר אָטאַנאַמאַס סיסטעם, און וועט זיין נוציק פֿאַר יקספּאַנשאַן ווען עס איז אַ דוחק פון לייסאַנסיז אין די יגזיסטינג געשעפט סיסטעם אָדער די פאָרשטעלונג איז ניט גענוגיק.

דער ציל פון דעם אַרטיקל איז צו ינסטרומענט אַ גאַנץ סיסטעם פֿאַר פּראַוויידינג ווייַט אַקסעס צו אַן אָרגאַניזאַציע, וואָס איז ביסל מער ווי "ינסטאַלירן OpenVPN אין 10 מינוט."

ווי אַ רעזולטאַט, מיר וועלן באַקומען אַ סיסטעם אין וואָס סערטיפיקאַץ און (אָפּטיאָנאַללי) די פֿירמע אַקטיווע Directory וועט זיין גענוצט צו אָטענטאַקייט ניצערס. אַז. מיר וועלן באַקומען אַ סיסטעם מיט צוויי וועראַפאַקיישאַן סיבות - וואָס איך האָבן (באַווייַזן) און וואָס איך וויסן (פּאַראָל).

א צייכן אַז אַ באַניצער איז ערלויבט צו פאַרבינדן איז זייער מיטגלידערשאַפט אין די myVPNUsr גרופּע. די סערטיפיקאַט אויטאָריטעט וועט זיין געוויינט אָפפלינע.

דער פּרייַז פון ימפּלאַמענינג די לייזונג איז בלויז קליין ייַזנוואַרג רעסורסן און 1 שעה פון אַרבעט פון די סיסטעם אַדמיניסטראַטאָר.

מיר וועלן נוצן אַ ווירטואַל מאַשין מיט OpenVPN און Easy-RSA ווערסיע 3 אויף CetntOS 7, וואָס איז אַלאַקייטיד 100 ווקפּוס און 4 גיב באַראַן פּער 4 קאַנעקשאַנז.

אין דעם בייַשפּיל, די נעץ פון אונדזער אָרגאַניזאַציע איז 172.16.0.0/16, אין וואָס די וופּן סערווער מיט די אַדרעס 172.16.19.123 איז ליגן אין די אָפּשניט 172.16.19.0/24, דנס סערווערס 172.16.16.16 און 172.16.17.17, 172.16.20.0. .23/XNUMX איז אַלאַקייטיד פֿאַר וופּן קלייאַנץ.

צו פאַרבינדן פֿון אַרויס, אַ פֿאַרבינדונג דורך פּאָרט 1194/udp איז געניצט, און אַן א-רעקאָרד gw.abc.ru איז באשאפן געווארן אין די דנס פֿאַר אונדזער סערווער.

עס איז שטרענג נישט רעקאַמענדיד צו דיסייבאַל SELinux! OpenVPN אַרבעט אָן דיסייבאַלינג זיכערהייט פּאַלאַסיז.

צופרידן

1. ייַנמאָנטירונג פון אַס און אַפּלאַקיישאַן ווייכווארג
2. באַשטעטיקן קריפּטאָגראַפי
3. באַשטעטיקן OpenVPN
4. AD אָטענטאַקיישאַן
5. סטאַרטאַפּ און דיאַגנאָסטיקס
6. סערטיפיקאַט אַרויסגעבן און רעוואָקאַטיאָן
7. נעץ קאַנפיגיעריישאַן
8. וואָס ס ווייַטער

ייַנמאָנטירונג פון אַס און אַפּלאַקיישאַן ווייכווארג

מיר נוצן די CentOS 7.8.2003 פאַרשפּרייטונג. מיר דאַרפֿן צו ינסטאַלירן די אַס אין אַ מינימאַל קאַנפיגיעריישאַן. עס איז באַקוועם צו טאָן דאָס ניצן קיקקסטאַרט, קלאָונינג אַ פריער אינסטאַלירן אַס בילד און אנדערע מיטל.

נאָך ינסטאַלירונג, אַסיינינג אַן אַדרעס צו די נעץ צובינד (לויט די טערמינען פון אַרבעט 172.16.19.123), מיר דערהייַנטיקן די אַס:

$ sudo yum update -y && reboot

מיר אויך דאַרפֿן צו מאַכן זיכער אַז צייט סינגקראַנאַזיישאַן איז דורכגעקאָכט אויף אונדזער מאַשין.
צו ינסטאַלירן אַפּלאַקיישאַן ווייכווארג, איר דאַרפֿן די Openvpn, openvpn-auth-ldap, easy-rsa און vim פּאַקאַדזשאַז ווי די הויפּט רעדאַקטאָר (איר וועט דאַרפֿן די EPEL ריפּאַזאַטאָרי).

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

עס איז נוציק צו ינסטאַלירן אַ גאַסט אַגענט פֿאַר אַ ווירטואַל מאַשין:

$ sudo yum install open-vm-tools

פֿאַר VMware ESXi מחנות, אָדער פֿאַר oVirt

$ sudo yum install ovirt-guest-agent

באַשטעטיקן קריפּטאָגראַפי

גיין צו די easy-rsa וועגווייַזער:

$ cd /usr/share/easy-rsa/3/

שאַפֿן אַ וועריאַבאַל טעקע:

$ sudo vim vars

די פאלגענדע אינהאַלט:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

די פּאַראַמעטערס פֿאַר די קאַנדישאַנאַל אָרגאַניזאַציע ABC LLC זענען דיסקרייבד דאָ; איר קענען ריכטיק זיי צו די פאַקטיש אָנעס אָדער לאָזן זיי פֿון דעם בייַשפּיל. די מערסט וויכטיק זאַך אין די פּאַראַמעטערס איז די לעצטע שורה, וואָס דיטערמאַנז די גילטיקייַט צייַט פון די באַווייַזן אין טעג. דער ביישפּיל ניצט די ווערט 10 יאר (365 * 10 + 2 שפּרינגען יאָרן). דעם ווערט וועט זיין אַדזשאַסטיד איידער באַניצער סערטיפיקאַץ זענען ארויס.

דערנאָך, מיר קאַנפיגיער אַן אָטאַנאַמאַס סערטאַפאַקיישאַן אויטאָריטעט.

סעטאַפּ כולל עקספּאָרטינג וועריאַבאַלז, יניטיאַליזינג די CA, אַרויסגעבן די CA וואָרצל שליסל און באַווייַזן, Diffie-Hellman שליסל, TLS שליסל, און סערווער שליסל און באַווייַזן. די CA שליסל מוזן זיין קערפאַלי פּראָטעקטעד און געהאלטן סוד! כל אָנפֿרעג פּאַראַמעטערס קענען זיין לינקס ווי פעליקייַט.

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

דאָס קאַמפּליץ די הויפּט טייל פון באַשטעטיקן די קריפּטאָגראַפיק מעקאַניזאַם.

באַשטעטיקן OpenVPN

גיין צו די OpenVPN וועגווייַזער, שאַפֿן דינסט דירעקטעריז און לייגן אַ לינק צו easy-rsa:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

שאַפֿן די הויפּט OpenVPN קאַנפיגיעריישאַן טעקע:

$ sudo vim server.conf

ווייַטערדיק אינהאַלט

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

עטלעכע הערות וועגן די פּאַראַמעטערס:

• אויב אַ אַנדערש נאָמען איז געווען ספּעסיפיעד ווען ישוינג די באַווייַזן, אָנווייַזן עס;
• ספּעציפיצירן די בעקן פון אַדרעסעס צו דיין טאַסקס *;
• עס קענען זיין איינער אָדער מער רוץ און דנס סערווערס;
• די לעצטע 2 שורות זענען דארף צו ינסטרומענט אָטענטאַקיישאַן אין AD**.

* די קייט פון אַדרעסעס אויסגעקליבן אין דעם בייַשפּיל וועט לאָזן אַרויף צו 127 קלייאַנץ צו פאַרבינדן סיימאַלטייניאַסלי ווייַל די / 23 נעץ איז אויסגעקליבן, און OpenVPN קריייץ אַ סובנעט פֿאַר יעדער קליענט ניצן די / 30 מאַסקע.
אויב ספּעציעל נויטיק, די פּאָרט און פּראָטאָקאָל קענען זיין טשיינדזשד, אָבער, עס זאָל זיין געטראגן אויס אַז טשאַנגינג די פּאָרט פּאָרט נומער וועט זיין קאַנפיגיערד SELinux, און די נוצן פון די tcp פּראָטאָקאָל וועט פאַרגרעסערן אָוווערכעד, ווייַל TCP פּאַקאַט עקספּרעס קאָנטראָל איז שוין דורכגעקאָכט אין דער מדרגה פון פּאַקיץ ענקאַפּסאַלייטיד אין דעם טונעל.

** אויב אָטענטאַקיישאַן אין AD איז ניט דארף, באַמערקן זיי, האָפּקען די ווייַטער אָפּטיילונג און אין די מוסטער אַראָפּנעמען די אַוט-באַניצער-פּאַס שורה.

AD אָטענטאַקיישאַן

צו שטיצן די רגע פאַקטאָר, מיר וועלן נוצן חשבון וועראַפאַקיישאַן אין AD.

מיר דאַרפֿן אַ חשבון אין די פעלד מיט די רעכט פון אַ פּראָסט באַניצער און אַ גרופּע, מיטגלידערשאַפט אין וואָס וועט באַשליסן די פיייקייַט צו פאַרבינדן.

שאַפֿן אַ קאַנפיגיעריישאַן טעקע:

/etc/openvpn/ldap.conf

ווייַטערדיק אינהאַלט

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

שליסל פּאַראַמעטערס:

• URL "ldap://ldap.abc.ru" - פעלד קאָנטראָללער אַדרעס;
• BindDN "CN=bindUsr,CN=Users,DC=abc,DC=ru" - קאַנאָניקאַל נאָמען פֿאַר ביינדינג צו LDAP (UZ - bindUsr אין די abc.ru/Users קאַנטיינער);
• שפּריכוואָרט b1ndP@SS — באַניצער פּאַראָל פֿאַר ביינדינג;
• BaseDN "OU = allUsr, DC = abc, DC = ru" - דער דרך פון וואָס צו אָנהייבן זוכן פֿאַר די באַניצער;
• BaseDN "OU = myGrp, DC = abc, DC = ru" - קאַנטיינער פון די אַלאַוינג גרופּע (גרופּע myVPNUsr אין דעם קאַנטיינער abc.rumyGrp);
• SearchFilter "(cn = myVPNUsr)" איז דער נאָמען פון די אַלאַוינג גרופּע.

סטאַרטאַפּ און דיאַגנאָסטיקס

איצט מיר קענען פּרובירן צו געבן און אָנהייבן אונדזער סערווער:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

סטאַרטאַפּ טשעק:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

סערטיפיקאַט אַרויסגעבן און רעוואָקאַטיאָן

ווייַל אין אַדישאַן צו די סערטיפיקאַץ זיך, איר דאַרפֿן שליסלען און אנדערע סעטטינגס; עס איז זייער באַקוועם צו ייַנוויקלען אַלע דעם אין איין פּראָפיל טעקע. דער טעקע איז טראַנספערד צו דער באַניצער און דער פּראָפיל איז ימפּאָרטיד אויף די OpenVPN קליענט. צו טאָן דאָס, מיר וועלן מאַכן אַ סעטטינגס מוסטער און אַ שריפט וואָס דזשענערייץ דעם פּראָפיל.

איר דאַרפֿן צו לייגן די אינהאַלט פון די וואָרצל באַווייַזן (ca.crt) און TLS key (ta.key) טעקעס צו דעם פּראָפיל.

איידער ארויסגעבן באַניצער סערטיפיקאַץ טאָן ניט פאַרגעסן צו שטעלן די פארלאנגט גילטיקייַט צייַט פֿאַר סערטיפיקאַץ אין די פּאַראַמעטערס טעקע. איר זאָל נישט מאַכן עס צו לאַנג; איך רעקאָמענדירן לימיטעד זיך צו אַ מאַקסימום פון 180 טעג.

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

הערות:

• שורות שטעלן דיין ... טוישן צו אינהאַלט זייער סערטיפיקאַץ;
• אין די ווייַט דירעקטיוו, ספּעציפיצירן די נאָמען / אַדרעס פון דיין גייטוויי;
• די אַוט-באַניצער-פּאַס דירעקטיוו איז געניצט פֿאַר נאָך פונדרויסנדיק אָטענטאַקיישאַן.

אין די היים וועגווייַזער (אָדער אנדערע באַקוועם אָרט) מיר מאַכן אַ שריפט פֿאַר ריקוועסטינג אַ באַווייַזן און שאַפֿן אַ פּראָפיל:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

מאַכן די טעקע עקסעקוטאַבלע:

chmod a+x ~/make.profile.sh

און מיר קענען אַרויסגעבן אונדזער ערשטער באַווייַזן.

~/make.profile.sh my-first-user

באַמערקונגען

אין פאַל פון קאָמפּראָמיס פון אַ באַווייַזן (אָנווער, גנייווע), עס איז נייטיק צו אָפּרופן דעם באַווייַזן:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

קוק ארויס און ריוואָוקט סערטיפיקאַץ

צו זען ארויס און ריוואָוקט סערטיפיקאַץ, פשוט קוק די אינדעקס טעקע:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

דערקלערונגען:

• דער ערשטער שורה איז די סערווער באַווייַזן;
• ערשטער כאַראַקטער
  • V (וואַליד) - גילטיק;
  • ר (רעוואָקעד) - ריקאָלד.

נעץ קאַנפיגיעריישאַן

די לעצטע סטעפּס זענען צו קאַנפיגיער די טראַנסמיסיע נעץ - רוטינג און פירעוואַללס.

אַלאַוינג קאַנעקשאַנז אין די היגע פיירוואַל:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

דערנאָך, געבן IP פאַרקער רוטינג:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

אין אַ פֿירמע סוויווע, עס איז מסתּמא צו זיין סובנעטטינג און מיר דאַרפֿן צו זאָגן די ראַוטער (s) ווי צו שיקן פּאַקיץ באַשערט פֿאַר אונדזער וופּן קלייאַנץ. אויף די באַפֿעלן שורה מיר ויספירן דעם באַפֿעל אין דעם שטייגער (דיפּענדינג אויף די עקוויפּמענט געניצט):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

און ראַטעווען די קאַנפיגיעריישאַן.

אין אַדישאַן, אויף די גרענעץ ראַוטער צובינד ווו די פונדרויסנדיק אַדרעס gw.abc.ru איז געדינט, עס איז נייטיק צו לאָזן די דורכפאָר פון ודפּ/1194 פּאַקיץ.

אין פאַל די אָרגאַניזאַציע האט שטרענג זיכערהייט כּללים, אַ פיירוואַל מוזן אויך זיין קאַנפיגיערד אויף אונדזער וופּן סערווער. אין מיין מיינונג, די ביגאַסט בייגיקייַט איז צוגעשטעלט דורך באַשטעטיקן די Iptables FORWARD קייטן, כאָטש עס איז ווייניקער באַקוועם צו שטעלן זיי. א ביסל מער וועגן באַשטעטיקן זיי. צו טאָן דאָס, עס איז מערסט באַקוועם צו נוצן "דירעקט כּללים" - דירעקט כּללים, סטאָרד אין אַ טעקע /etc/firewalld/direct.xml. די קראַנט קאַנפיגיעריישאַן פון די כּללים קענען זיין געפֿונען ווי גייט:

$ sudo firewall-cmd --direct --get-all-rule

איידער טשאַנגינג אַ טעקע, מאַכן אַ באַקאַפּ קאָפּיע פון ​​​​עס:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

די דערנענטערנ אינהאַלט פון די טעקע איז:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

דערקלערונגען

דאָס זענען בייסיקלי רעגולער יפּטאַבלעס כּללים, דיפערענטלי פּאַקידזשד נאָך די אַדווענט פון Firewalld.

די דעסטיניישאַן צובינד מיט פעליקייַט סעטטינגס איז tun0, און די פונדרויסנדיק צובינד פֿאַר דעם טונעל קען זיין אַנדערש, למשל, ens192, דיפּענדינג אויף די געוויינט פּלאַטפאָרמע.

די לעצטע שורה איז פֿאַר לאָגינג דראַפּט פּאַקיץ. פֿאַר לאָגינג צו אַרבעטן, איר דאַרפֿן צו טוישן די דיבאַג מדרגה אין די פיירוואַלד קאַנפיגיעריישאַן:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

אַפּלייינג סעטטינגס איז די געוויינטלעך פיירוואַלד באַפֿעל צו שייַעך-לייענען די סעטטינגס:

$ sudo firewall-cmd --reload

איר קענען זען דראַפּט פּאַקיץ ווי דאָס:

grep forward_fw /var/log/messages

וואָס ס ווייַטער

דאָס קאַמפּליץ די סעטאַפּ!

אַלע וואָס בלייבט איז צו ינסטאַלירן די קליענט ווייכווארג אויף די קליענט זייַט, אַרייַנפיר דעם פּראָפיל און פאַרבינדן. פֿאַר Windows אָפּערייטינג סיסטעמען, די פאַרשפּרייטונג ינווענטאַר איז ליגן אויף דעוועלאָפּער וועבזייַטל.

צום סוף, מיר פאַרבינדן אונדזער נייַ סערווער צו די מאָניטאָרינג און אַרטשיווינג סיסטעמען, און טאָן ניט פאַרגעסן צו קעסיידער ינסטאַלירן דערהייַנטיקונגען.

סטאַביל קשר!

מקור: www.habr.com