Vpn quraşdırma

Contents

Əvvəlki addımda olduğu kimi, parametrlərin əksəriyyəti defolt ola bilər. Nə vaxt Ümumi ad soruşulur, “Server” daxil edin. Digər iki sorğu müsbət cavab tələb edir “dedi sertifikatı imzalayın? [y / n] “və” 1 sertifikat sorğularından 1-dən 1-i təsdiqlənmiş, törətdik? [y / n] “.

2x necə

OpenVPN, sənaye standart SSL / TLS protokolundan istifadə edərək OSI Layer 2 və ya 3 SPR 2 və ya 3 təhlükəsiz şəbəkə uzadılmasını həyata keçirən tam xüsusiyyətli SSL VPNdir, sertifikatlar, ağıllı kartlar və / və ya istifadəçi adı / şifrə etimadnaməsinə əsaslanan çevik müştəri identifikasiyası metodlarını dəstəkləyir və istifadəçiyə imkan verir və ya VPN virtual interfeysinə tətbiq olunan firewall qaydalarından istifadə edərək qrupa məxsus giriş nəzarəti siyasətləri. OpenVPN veb tətbiqi proxy deyil və bir veb brauzeri vasitəsilə işləmir.

Openvpn 2.0 Openvpn 1 imkanlarında genişlənir.X ölçülü bir müştəri / server rejimi təklif edərək, birdən çox müştəri bir tacp və ya UDP portu üzərində bir OpenVPN server prosesinə qoşulmağa imkan verir. Openvpn 2.3 Tam IPv6 dəstəyi və Polarssl dəstəyi də daxil olmaqla çox sayda yaxşılaşdırma daxildir.

Bu sənəd OpenVPN 2-ni konfiqurasiya etmək üçün addım-addım təlimat verir.X müştəri / server VPN, o cümlədən:

  • Openvpn Quickstart.
  • Openvpn quraşdırmaq.
  • Marşrutlu və ya körpüli vpn istifadə edib.
  • Şəxsi altlıqların nömrələməsi.
  • Öz sertifikat səlahiyyətinizi (CA) qurmaq və OpenVPN server və birdən çox müştəri üçün sertifikatlar və açarlar yaratmaq.
  • Server və müştərilər üçün konfiqurasiya faylları yaratmaq.
  • VPN və ilkin əlaqə üçün sınaqdan keçirin.
  • Sistem başlanğıcında avtomatik qaçmaq üçün OpenVPN-ni tənzimləmək.
  • Çalışan OpenVPN prosesini idarə etmək.
  • Müştəri və ya server alt şəbəkəsində əlavə maşınlar daxil etmək üçün VPN-nin əhatə dairəsini genişləndirir.
  • Müştərilərə DHCP seçimlərini itələmək.
  • Müştəri xüsusi qaydalar və giriş siyasətini tənzimləmək.
  • Alternativ identifikasiya metodlarından istifadə etməklə.
  • Müştəri tərəfli smart kartlardan istifadə edərək, OpenVPN konfiqurasiyasına ikiqat amil identifikasiyasını necə əlavə etmək olar.
  • VPN vasitəsilə bütün müştəri trafikini (veb trafik də daxil olmaqla) yönləndirin.
  • Dinamik bir IP ünvanı üzərində OpenVPN serverini idarə etmək.
  • Bir HTTP proxy vasitəsilə OpenVPN serverinə qoşulma.
  • OpenVPN üzərindən bir Samba paylaşımına qoşulur.
  • Yük balanslaşdıran / uğursuzluq konfiqurasiyasını həyata keçirmək.
  • Openvpn təhlükəsizliyini sərtləşdirmək.
  • Sertifikatları ləğv etmək.
  • Əlavə təhlükəsizlik qeydləri.

Səbirsiz nümunə konfiqurasiya sənədlərinə birbaşa tullanmaq istəyə bilər:

Nəzərdə tutulan tamaşaçılar

Bu, oxucuların IP ünvanları, DNS adları, Netmasks, IP marşrutlaşdırma, marşrutlaşdırıcılar, şəbəkə interfeyerləri, şəbəkə interfeysləri, şəbəkə interfeysləri, şəbəkə interfeysləri, lans, şəbəkə və firewall qaydaları kimi əsas şəbəkə anlayışları.

Əlavə sənədlər

Openvpn kitabları

Zəhmət olmasa OpenVPN Kitab səhifəsinə nəzər yetirin.

Openvpn 1.X Howto

Orijinal Openvpn 1.X Howto hələ də mövcuddur və nöqtə-nöqtə və ya statik-əsas konfiqurasiya üçün uyğun olaraq qalır.

OpenVPN məqalələri

Əlavə sənədlər üçün məqalələr səhifəsinə və openvpn wiki-yə baxın.

Openvpn Quickstart

Bu, bir X509 PKI (sertifikatlar və şəxsi düymələrdən istifadə edərək ictimai açar düymələri) istifadə edərək genişlənə bilən bir müştəri / server VPN-ni sizə istiqamətləndirməyinizə baxmayaraq, yalnız öhdəsindən gələ biləcək bir server ilə sadə bir vpn quraşdırma axtarırsınızsa, həddindən artıq çox ola bilər tək bir müştəri.

Minimum konfiqurasiya ilə tez bir zamanda bir vpn almaq istəsəniz, statik açar mini-howto-nu yoxlaya bilərsiniz.

Statik açar üstünlükləri

  • Sadə quraşdırma
  • Qorumaq üçün X509 PKI (ictimai açar infrastrukturu) yoxdur

Statik Açar Dezavantajlar

  • Məhdud miqyaslılıq – bir müştəri, bir server
  • Əskik Mükəmməl irəli gizlilik — Əsas kompromis nəticələr əvvəlki iclasların ümumi açıqlanması ilə nəticələnir
  • Gizli açar hər VPN həmyaşıdlarında düz mətn şəklində olmalıdır
  • Gizli açar əvvəlcədən mövcud olan etibarlı bir kanaldan istifadə etməklə mübadilə edilməlidir

Openvpn quraşdırmaq

OpenVPN mənbə kodu və Windows quraşdırıcıları burada yüklənə bilər. Son buraxılışlar (2).2 və daha sonra) debian və rpm paketləri kimi də mövcuddur; Ətraflı məlumat üçün OpenVPN Wiki-yə baxın.

Təhlükəsizlik üçün yükləndikdən sonra fayl buraxma imzasını yoxlamaq yaxşı bir fikirdir.

OpenVPN icra edilə bilən, həm serverdə, həm də müştəri maşınlarında quraşdırılmalıdır, çünki vahid icra edilə bilən, həm müştəri, həm də server funksiyalarını təmin edir.

Linux qeydləri (RPM paketindən istifadə etməklə)

RPM paketlərini (Suse, Fedora, Redhat və s.) Dəstəkləyən Linux paylamasından istifadə edirsinizsə.), bu mexanizmi istifadə edərək quraşdırmaq yaxşıdır. Ən asan metod, paylanmağınız üçün mövcud ikili rpm faylını tapmaqdır. Ayrıca öz ikili rpm sənədinizi qura bilərsiniz:

rpmbuild -tb openvpn- [versiya].tarlanmaq.gz

Bir dəfə var .RPM faylı, onu adi ilə quraşdıra bilərsiniz

rpm -ivhh openvpn- [təfərrüatlar].rpm

və ya mövcud bir qurğunu təkmilləşdirin

rpm -uvh openvpn- [təfərrüatlar].rpm

İkili RPM paketindən OpenVPN quraşdırmaq bu asılılıqlara malikdir:

Bundan əlavə, öz ikili rpm paketinizi qurursanız, bir neçə əlavə asılılıq var:

  • Openssl-devel
  • lzo-devel
  • pam-devel

OpenVPN-ə baxın.Qırmızı papaq Linux 9 və ya azaldılmış asılılıqları olan bir rpm paketi tikmək üçün əlavə qeydlər üçün xüsusiyyətlər.

Linux Qeydləri (RPM olmadan)

Debian, Gentoo və ya qeyri-rpm əsaslı Linux paylanması istifadə edirsinizsə, bu kimi distro xüsusi qablaşdırma mexanizminizdən istifadə edin alver debianda və ya yaranmaq yayanda.

Universal istifadə edərək Linux-da OpenVPN-i quraşdırmaq da mümkündür ./ Konfiqurasiya üsul. Əvvəlcə genişləndirin .tarlanmaq.GZ faylı:

tar xfz openvpn- [versiya].tarlanmaq.gz

Sonra CD-ni yuxarı səviyyəli qovluğa və növünə:

./ Konfiqurasiya quraşdırmaq

Windows qeydləri

Windows üçün OpenVPN OpenVPN yükləmə səhifəsindəki özünü quraşdıran EXE faylından quraşdırıla bilər. Unutmayın ki, OpenVPN yalnız Windows XP və ya daha sonra işləyəcək. Ayrıca, OpenVPN inzibati imtiyazları olan bir istifadəçi tərəfindən quraşdırılmalı və idarə edilməlidir (bu məhdudiyyət pəncərələr tərəfindən tətbiq olunur, Openvpn deyil). Məhdudiyyət, bir xidmət olaraq arxa planda OpenVPN-i işə salmaqla yandırıla bilər, bu halda hətta idarəetmə istifadəçiləri quraşdırıldıqdan sonra VPN-ə daxil ola biləcəklər. OpenVPN + Windows imtiyazlı problemlər haqqında daha çox müzakirə.

Rəsmi OpenVPN Windows quraşdırıcıları, OpenVPN-GUI daxildir, bu da bir sistem tepsisinde qoşulmalarından openvpn bağlantısını idarə etməyə imkan verir. Digər GUI tətbiqləri də mövcuddur.

Windows Installer’i işə saldıqdan sonra, OpenVPN istifadə üçün hazırdır və özlərini olan faylları ilə əlaqələndirəcəkdir .ovpn uzantı. OpenVPN işlətmək üçün edə bilərsiniz:

  • Bir OpenVPN konfiqurasiya faylına sağ vurun (.Ovpn) və seçin Bu konfiqurasiya faylında OpenVPN-ə başlayın. Bir dəfə çalışır, istifadə edə bilərsiniz F4Çıxmaq üçün açar.
  • OpenVPN-ni bir əmr göstərən bir əmr pəncərəsindən işə salın:

openvpn myconfig.ovpn

Mac OS X qeydləri

Angelo Laub and Dirk Thideisen OS X üçün OpenVPN GUI inkişaf etdirdi.

Digər OSES

Bəzi qeydlər xüsusi OSES üçün quraşdırma faylında mövcuddur. Ümumiyyətlə,

./ Konfiqurasiya quraşdırmaq

Metod istifadə edilə bilər və ya OS / paylanmamıza xas olan OpenVPN portu və ya paketi axtara bilərsiniz.

Marşrutlu və ya körpüli vpn istifadə edib

Marşrutlaşdırma vs bir baxışı üçün FAQ-a baxın. Ethernet körpü. Daha çox qeyd və körpü haqqında detallar üçün Openvpn Ethernet körpü səhifəsinə də baxın.

Ümumilikdə, marşrutlaşdırma, əksər insanlar üçün daha yaxşı bir seçimdir, çünki körpüdən daha çox (openvpn konfiqurasiyasına qədər) qurmaq daha asan və asandır). Marşrutlaşdırma, həmçinin müştəri-konkret əsasda giriş hüquqlarını seçici olaraq idarə etmək üçün daha çox imkan verir.

Kimi körpü tələb edən xüsusi bir xüsusiyyətə ehtiyacınız olmadıqda marşrutlaşdırma istifadə etməyi məsləhət görərdim:

  • VPN, IPx kimi IP olmayan protokolları idarə etmək lazımdır,
  • Şəbəkə verilişlərinə (məsələn, LAN oyunları kimi) etibar edən VPN-də tətbiqetmələr çalışırsınız və ya
  • VPN boyunca Windows fayl səhmlərinin samba qurmadan və ya serverini qazanmadan gəzməsinə icazə vermək istərdiniz.

Şəxsi altlıqların nömrələməsi

Bir VPN qurmaq tez-tez müxtəlif yerlərdən xüsusi alt bölmələri birləşdirir.

Təyin edilmiş Nömrələr Təşkilatı (IANA) IP ünvanı məkanının aşağıdakı üç blokunu özəl İnterneti üçün (RFC 1918-də kodlaşdırılmış) əlavə etdi:

Əqrəb.0.0.0 Əqrəb.255.255.255 (10/8 prefiks)
172.16.0.0 172.31.255.255 (172).16/12 prefiks)
192.168.0.0 192.168.255.255 (192).168/16 prefiks)

Bu netblocks-dən ünvanlar normal olaraq VPN konfiqurasiyasında istifadə edilməlidir, IP ünvanı və ya alt şəbəkə münaqişələrinin ehtimalını minimuma endirən ünvanları seçmək vacibdir. Qarşımdanın qarşısını almaq lazım olan münaqişələrin növləri bunlardır:

  • eyni LAN alt şəbəkəsi nömrəsini istifadə edərək VPN-də müxtəlif saytlardan münaqişələr
  • VPN subnetlərinizlə zidd olan xüsusi alt hissələrdən istifadə edən saytlardan uzaqdan giriş əlaqələri.

Məsələn, populyar 192-dən istifadə etdiyinizi düşünün.168.0.Şəxsi LAN alt şəbəkəniz kimi 0/24 alt şəbəkəsi. İndi VPN-ə WiFi Lan üçün eyni alt şəbəkədən istifadə edən bir internet kafedən qoşulmağa çalışırsınız. Marşrutlaşdırma münaqişəsi olacaq, çünki maşınınız 192-i bilmirsə.168.0.1 yerli WiFi şlüzinə və ya VPN-də eyni ünvana aiddir.

Başqa bir misal olaraq, VPN tərəfindən birdən çox saytları bir araya gətirmək istədiyinizi, ancaq hər bir sayt 192 istifadə edir.168.0.0/24 LAN alt şəbəkəsi kimi. Bu, VPN, çünki bu saytlar özünəməxsus müəyyənləşdirən bir alt şəbəkə istifadə etmədiyi təqdirdə bir çox sayt arasında paketlər arasında paketləri necə yükləməyinizi bilməyəcəyinə görə işləməyəcək.

Ən yaxşı həll 10 istifadə etməkdən çəkinməkdir.0.0.0/24 və ya 192.168.0.Şəxsi LAN şəbəkə ünvanları kimi 0/24. Bunun əvəzinə, uzaqdan qoşulacağını gözlədiyiniz bir WiFi Cafe, Hava limanında və ya oteldə istifadə olunmasının daha aşağı ehtimalı olan bir şey istifadə edin. Ən yaxşı namizədlər, geniş 10-un ortasında subetlərdir.0.0.0/8 netblock (məsələn 10).66.77.0/24).

Və yerüstü IP nömrələmə qarşıdurmalarının qarşısını almaq üçün, həmişə LAN Subnets üçün unikal nömrələrdən istifadə edin.

Öz sertifikat səlahiyyətinizi (CA) qurmaq və OpenVPN server və birdən çox müştəri üçün sertifikatlar və açarlar yaratmaq

Xülasə

OpenVPN 2 qurmağın ilk addımı.X konfiqurasiya bir PKI (ictimai açar infrastruktur) yaratmaqdır. Pki aşağıdakılardan ibarətdir:

  • Ayrı bir sertifikat (ictimai açar kimi də tanınır) və server və hər bir müştəri üçün xüsusi açar və
  • Serverin və müştəri sertifikatlarının hər birini imzalamaq üçün istifadə olunan bir usta sertifikat orqanı (CA) sertifikatı və açarı.

OpenVPN, şəhadətnamələrə əsaslanan iki istiqamətli identifikasiyanı dəstəkləyir, yəni müştəri server sertifikatını identifikasiya etməlidir və server qarşılıqlı etimadın qurulmasından əvvəl müştəri sertifikatını təsdiqləməlidir.

Həm server, həm də müştəri, təqdim olunan sertifikatın əsas sertifikat orqanı (CA) tərəfindən imzalanmışdır, sonra təsdiqlənmiş sertifikat başlığında, məsələn, sertifikat ümumi adı və ya sertifikat növü (müştəri) kimi məlumatı yoxlamaqla təsdiqləyərək və ya server).

Bu təhlükəsizlik modelində VPN perspektivindən bir sıra arzu olunan xüsusiyyətlərə malikdir:

  • Serverin yalnız öz sertifikatı / açarı lazımdır – bu, ona qoşula biləcək hər bir müştərinin fərdi sertifikatlarını bilmək lazım deyil.
  • Server yalnız sertifikatları Master CA sertifikatı ilə imzalayan müştəriləri qəbul edəcəkdir (aşağıda istehsal edəcəyik). Server, bu imza yoxlamasını CA özəl açarın özünə daxil olmağa ehtiyac duymadan, CA açarı (bütün PKI-dəki ən həssas açar), şəbəkə bağlantısı olmadan da tamamilə fərqli bir maşında (ən həssas açar) üçün mümkündür.
  • Şəxsi bir açar güzəştə gedirsə, sertifikatını bir CRL-ə əlavə etməklə deaktiv edilə bilər (sertifikat ləğvi siyahısı). CRL, güzəşt edilmiş sertifikatların bütün PKI-ni yenidən qurulmasını tələb etmədən rədd edilməsini təmin etməyə imkan verir.
  • Server, ümumi ad kimi quraşdırılmış sertifikat sahələrinə əsaslanan müştəri xüsusi giriş hüquqlarını tətbiq edə bilər.

Qeyd edək ki, server və müştəri saatlarında təxminən sinxronizasiya və ya sertifikatlar düzgün işləməyə bilər.

Master Sertifikat Təşkilatı (CA) Sertifikat və KEY yaradın

Bu hissədə bir Master CA sertifikatı / açarı, server sertifikatı / açarı və 3 ayrı müştəri üçün sertifikatlar / açarları yaradacağıq.

PKI rəhbərliyi üçün istifadə edəcəyik Easy-RSA 2, Openvpn 2 ilə birləşdirilmiş bir skript dəsti.2-ci.X və daha əvvəl. Openvpn 2 istifadə edirsinizsə.3-cü.X, asanlıqla-RSA 2-ni burada ayrıca yükləməlisiniz.

PKI rəhbərliyi üçün Asan RSA 2, OpenVPN 2 ilə birləşdirilmiş skriptlər dəsti istifadə edəcəyik.2-ci.X və daha əvvəl. Openvpn 2 istifadə edirsinizsə.3-cü.X, asan-RSA 2-ni asanlıqla RSA-köhnə layihə səhifəsindən ayrıca yükləməyiniz lazım ola bilər. * Nix platformalarında asan-RSA 3 istifadə edərək baxmaq lazımdır; Ətraflı məlumat üçün öz sənədlərinə baxın.

Linux, BSD və ya Unix kimi bir OS istifadə edirsinizsə, bir qabıq və CD-ni açın Asan Rsa alt. Bir rpm və ya deb faylından OpenVPN quraşdırsanız, asanlıqla RSA qovluğu ümumiyyətlə tapıla bilər / usr / Pay / Doc / Paketlər / Openvpn və ya / usr / Pay / Doc / Openvpn(Bu qovluğu başqa bir yerə kopyalamaq yaxşıdır / və s. / Openvpn, Hər hansı bir düzəlişdən əvvəl, beləliklə gələcək OpenVPN paket yeniləmələri dəyişikliklərinizi yazmayacaqdır). A-dan quraşdırsan .tarlanmaq.GZ faylı, asan RSA kataloqu genişləndirilmiş mənbə ağacının ən yüksək səviyyəli qovluğunda olacaqdır.

Pəncərələrdən istifadə edirsinizsə, bir əmr təklifi pəncərəsi və CD-ni açın \ Proqram Faylları \ OpenVPN \ Easy-RSA. Konfiqurasiya sənədlərini yerləşdirmək üçün aşağıdakı toplu faylını işə salın (bu, hər hansı bir əvvəlcədən hazırlanan varsiyanı yerinə yetirəcəkdir).yarasa və openssl.CNF sənədləri):

taxıl konfiqurasiya

İndi redaktə edin var fayl (çağırılır) var.yarasa Windows-da) və key_crountry, key_province, key_city, key_org və key_email parametrlərini təyin edin. Bu parametrlərdən heç birini boş buraxmayın.

Sonra, PKI-ni işə salın. Linux / BSD / UNIX-də:

. ./ vars ./ Təmiz-hamı ./ qurmaq-ca 
VARS Təmiz - Bütün inşaat-CA 

Son əmr (inşa etmək) İnteraktivi çağıraraq sertifikat orqanı (CA) sertifikatı və açarı quracaqdır opensslƏmr:

AI: Asan Rsa # ./ 1024 bit rsa xüsusi açarı yaratmaq / yaratmaq . ++++++ . ++++++ 'CA üçün yeni xüsusi açar yazmaq.Açar '----- Sertifikat sorğusuna daxil ediləcək məlumatların daxil olması istənir. Giriş etmək istədiyiniz şey, fərqlənən bir ad və ya DN adlanan şeydir. Bir neçə sahə var, ancaq bəzi sahələr üçün bir az boş buraxa bilərsiniz, əgər daxil olsanız, standart bir dəyər olacaq '.', sahə boş qalacaq. ----- Ölkə adı (2 hərf kodu) [kq]: Dövlət və ya vilayət adı (tam adı) [NA] (məsələn, bölmə) []: Ümumi ad (məsələn, adınız və ya serverinizin host adı) []: Openvpn-CA e-poçt ünvanı [Me @ myHost.mydomain]:

Qeyd edək ki, yuxarıdakı ardıcıllıqla, ən çox sorğu edilmiş parametrlər müəyyən edilmiş dəyərlərə defoltasiya edildi varvə ya var.yarasa fayl. Açıq şəkildə daxil edilməli olan yeganə parametrdir Ümumi ad. Yuxarıdakı nümunədə “OpenVPN-CA” istifadə etdim.

Server üçün sertifikat və açar yaradın

Sonrakı, server üçün sertifikat və şəxsi açar hazırlayacağıq. Linux / BSD / UNIX-də:

./ Build-KEY-Server Server
Qurmaq-KEY-Server Server

Əvvəlki addımda olduğu kimi, parametrlərin əksəriyyəti defolt ola bilər. Nə vaxt Ümumi ad soruşulur, “Server” daxil edin. Digər iki sorğu müsbət cavab tələb edir “dedi sertifikatı imzalayın? [y / n] “və” 1 sertifikat sorğularından 1-dən 1-i təsdiqlənmiş, törətdik? [y / n] “.

3 müştəri üçün sertifikatlar və açarlar yaradın

Müştəri sertifikatları yaratmaq əvvəlki addımla çox oxşardır. Linux / BSD / UNIX-də:

./ Build-Açar Client1 ./ Build-Açar Client2 ./ Build-Açar Client3
Build-Açar Client1 Build-Açar Client2 Build-Açar Client3

Müştəri düymələrini parollaşdırmaq istəsəniz, əvəz edin qurğu-key-keçid ssenari.

Unutma ki, hər bir müştəri üçün uyğun olandan əmin olun Ümumi ad İstədikdə mən.e. “Client1”, “müştəri2” və ya “müştəri3”. Həmişə hər bir müştəri üçün unikal ümumi bir addan istifadə edin.

Diffie Hellman Parametrləri yaradın

Diffie Hellman Parametrləri OpenVPN Server üçün yaradılmalıdır. Linux / BSD / UNIX-də:

./ qurma-dh
tikmək-dh
AI: Asan Rsa # ./ Build-dh yaradan dh parametrləri, 1024 bit uzunluğundan etibarlı baş, generator 2 Bu uzun müddət davam edəcək . +. . +. +. +. .

Əsas sənədlər

İndi yeni yaradılan açarlarımızı və sertifikatlarımızı tapacağıq düymə alt. Budur müvafiq sənədlərin izahatı:

Fayl adı Ehtiyac duyur Mastika Sirr
ca.crt Server + Bütün Müştərilər Kök ca sertifikatı YOX
ca.key Yalnız açar imza maşını Kök ca açarı Bəli
dh.pem Yalnız server Diffie Hellman Parametrləri YOX
server.crt Yalnız server Server sertifikatı YOX
server.key Yalnız server Server açarı Bəli
müştəri1.crt Client1 yalnız Müştəri1 sertifikatı YOX
müştəri1.key Client1 yalnız Müştəri1 düyməsi Bəli
müştəri2.crt Client2 yalnız Müştəri2 sertifikatı YOX
müştəri2.key Client2 yalnız Müştəri2 açarı Bəli
müştəri3.crt Client3 yalnız Müştəri3 sertifikatı YOX
müştəri3.key Client3 yalnız Müştəri3 açar Bəli

Əsas nəsil prosesindəki son addım, bütün faylları lazım olan maşınlara kopyalamaq, gizli faylları etibarlı bir kanal üzərində kopyalama üçün qayğı göstərməkdir.

İndi gözləyin, deyə bilərsiniz. Əvvəlcədən mövcud etibarlı bir kanal olmadan PKI-ni qurmaq mümkün olmamalıdır?

Cavab, bəli, bəli. Yuxarıdakı nümunədə, kəskinlik naminə bütün xüsusi düymələri eyni yerdə yaratdıq. Bir az daha səylə bunu fərqli edə bilərdik. Məsələn, serverdə müştəri sertifikatı və açarları yaratmaq əvəzinə, müştəri özəl düymələrini özəl açarını yaradır və sonra sertifikat imza sorğusu (CSR) açar imzalanma maşına təqdim edə bilərdik. Öz növbəsində, açar imza edən maşın KSM-i emal edə bilər və imzalı bir sertifikatı müştəriyə qaytardı. Bu, heç bir sirr tələb etmədən edilə bilərdi .key Fayl yaranan maşının sabit diskini tərk edin.

Server və müştərilər üçün konfiqurasiya faylları yaratmaq

Nümunə konfiqurasiya sənədlərini əldə etmək

OpenVPN nümunə konfiqurasiya sənədlərindən öz konfiqurasiyanız üçün başlanğıc nöqtəsi kimi istifadə etmək yaxşıdır. Bu faylları da tapa bilərsiniz

  • bu Nümunə-konfiqurasiya faylları Openvpn mənbə paylamasının kataloqu
  • bu Nümunə-konfiqurasiya faylları qovluq / usr / Pay / Doc / Paketlər / Openvpn və ya / usr / Pay / Doc / Openvpn Bir rpm və ya deb paketindən quraşdırılmışdırsa
  • Başlat Menyu -> Bütün proqramlar -> OpenVPN -> OpenVPN Nümunə Konfiqurasiya Faylları Windows-da

Qeyd edək ki, Linux, BSD və ya Unix kimi OSES, nümunə konfiqurasiya faylları adlandırıldı server.confmüştəri.conf. Windows-da onlar adlanır server.ovpnmüştəri.ovpn.

Server konfiqurasiya faylını redaktə etmək

Nümunə Server Konfiqurasiya Fayl, OpenVPN server konfiqurasiyası üçün ideal bir başlanğıc nöqtəsidir. Virtual istifadə edərək bir VPN yaradacaqdır Tun Şəbəkə interfeysi (yönləndirmə üçün), müştəri əlaqələrini dinləyəcək UDP Port 1194 (OpenVPN-nin rəsmi port nömrəsi) və müştəriləri birləşdirmək üçün virtual ünvanları paylayın Əqrəb.Əqrəb.0.0/24 alt şəbəkə.

Nümunə konfiqurasiya faylını istifadə etməzdən əvvəl əvvəlcə redaktə etməlisiniz ca, sertifikat, key, və dh yuxarıdakı PKI bölməsində yarandığınız sənədlərə işarə etmək üçün parametrlər.

Bu nöqtədə, server konfiqurasiya faylı istifadə edilə bilər, lakin yenə də daha da düzəltmək istəyə bilərsiniz:

  • Ethernet körpüdən istifadə edirsinizsə, istifadə etməlisiniz server körpüdev tap əvəzinə serverdev tun.
  • Openvpn serverinizin UDP portu əvəzinə bir TCP portunu dinləməsini istəyirsinizsə, istifadə edin Proto TCPəvəzinə Proto UDP (Openvpn həm UDP, həm də TCP portunu dinləmək istəsəniz, iki ayrı OpenVPN instansiyasını işlətməlisiniz).
  • Başqa bir virtual IP ünvanı aralığından istifadə etmək istəyirsinizsə Əqrəb.Əqrəb.0.0/24, Dəyişdirməlisiniz serverdirektiv. Unutmayın ki, bu virtual IP ünvanı aralığı hazırda şəbəkənizdə istifadə olunmayan xüsusi bir sıra olmalıdır.
  • Çıxarış müştəri-müştəri Müştəriləri birləşdirmək istəsəniz, vpn üzərində bir-birlərinə çatmağı bacarırsınızsa. Varsayılan olaraq, müştərilər yalnız serverə çata biləcəklər.
  • Linux, BSD və ya UNIX kimi bir OS istifadə edirsinizsə, təhlükəsizliyi ilə təhlükəsizliyi artıra bilərsiniz istifadəçi heç kimqrup heç kim direktiv.

Eyni maşında birdən çox OpenVPN instansiyalarını işlətmək istəyirsinizsə, hər biri fərqli bir konfiqurasiya faylından istifadə edərək, mümkündürsə, mümkündür:

  • Fərqli istifadə edin port Hər bir nümunə üçün nömrə (UDP və TCP protokolları müxtəlif port boşluqlarından istifadə edin ki, UDP-1194 və digəri haqqında bir Daemon-a və digərini tcp-1194-də dinləyə bilərsiniz).
  • Windows istifadə edirsinizsə, hər bir OpenVPN konfiqurasiya Taneeds öz kran pəncərələri adapterinə sahibdir. Gedən əlavə adapterlər əlavə edə bilərsiniz Başlat Menyu -> Bütün proqramlar -> Tap-Windows -> Yeni bir kran-windows virtual ethernet adapter əlavə edin.
  • Eyni qovluğun bir çox OpenVPN nümunələrini işlədirsinizsə, birdən çox nümunənin bir-birinin çıxış sənədlərini yazmaması üçün çıxış sənədlərini yaradan direktivləri redaktə edin. Bu direktivlərə daxildir lax, lax, status, və ifconfig-hovuz davam edir.

Müştəri konfiqurasiya sənədlərini redaktə etmək

Nümunə müştəri konfiqurasiya faylı (müştəri.conf Linux / BSD / UNIX və ya müştəri.ovpn Windows-da) Nümunə Server Konfiqurasiya Faylında Defolt Direktivləri güzgülər.

  • Server konfiqurasiya faylı kimi, əvvəlcə redaktə edin ca, sertifikat, və key yuxarıdakı PKI bölməsində yarandığınız sənədlərə işarə etmək üçün parametrlər. Qeyd edək ki, hər bir müştərinin özü olmalıdır sertifikat/key cütləşdirmək. Yalnız caFayl OpenVPN server və bütün müştərilər arasında universaldır.
  • Sonra, redaktə etmək ucqarOpenvpn serverinin host adı / IP ünvanı və port nömrəsinə işarə etmək üçün göstəriş (OpenVPN serveriniz bir firewall / Nat-Gateway arxasında bir-nik maşında işləyəcəksə, şlüzün ictimai IP ünvanını və limandan istifadə edin Openvpn serverinə yönəltmək üçün şlüzü konfiqurasiya etdiyiniz nömrə).
  • Nəhayət, müştəri konfiqurasiya sənədinin server konfiqurasiyasında istifadə olunan direktivlərə uyğun olmasını təmin edin. Yoxlamaq üçün əsas şey budur dev (Tun və ya Tap) və proto (UDP və ya TCP) direktivləri ardıcıldır. Ayrıca əmin olun comp-lzofraqment, İstifadə olunarsa, həm müştəri, həm də server konfiqurasiya sənədlərində mövcuddur.

VPN və ilkin əlaqə üçün sınaqdan keçirin

Serverə başlamaq

Birincisi, OpenVPN serverinin internetdən əlçatan olacağına əmin olun. Bu o deməkdir:

  • Firewall-da 1194 UDP portu açmaq (və ya konfiqurasiya etdiyiniz hər hansı bir TCP / UDP portu) və ya
  • OpenVPN serverini işləyən maşına Firewall / Gateway-dan UDP portu 1194-cü ildə UDP portunu yönləndirmək üçün bir stendi yönləndirmə qaydası.

Problemlərin aradan qaldırılmasını asanlaşdırmaq üçün əvvəlcə OpenVPN serverini əmr satırından (və ya sağ tıklayın) .ovpn Windows-da fayl), onu demon və ya xidmət kimi başlamaq əvəzinə:

openvpn [server config faylı] 

Normal bir server başlanğıc bu kimi görünməlidir (çıxış platformalarda dəyişəcək):

Sun Fevral 6 20:46:38 2005 OpenVPN 2.0_RC12 I686-Suseux [SSL] [Lzo] [Lzo] [Epoll] [EPoll] Fevralın 5-də qurulmuşdur Parms [l: 1542 d: 138 ef: 0 eb: 0 eb: 0 eb: 0] Sun Fevral 6 20:46:38 2005 Əqrəb.Əqrəb.0.1 pointopoint 10.Əqrəb.0.2 MTU 1500 Sun Fevral 6 20:46:38:38 / SBIN / SBIN / marşrut əlavəsi 10.Əqrəb.0.0 Netmask 255.255.255.0 gw 10.Əqrəb.0.2 Sun Fevral 6 20:46:38 2005 Məlumat kanalları MTU Parms [l: 1542 d: 1450 EF: 42 EB: 0 AF: 0 AF: 3/1] Sun Fevral 6 20:46:38 2005 UDPV4 Link Yerli (Bound): [Ləğv et): 1194 Sun Fevral 6 20:46:38 2005 : 46: 38 2005 IFConfig Hovuz: Baza = 10.Əqrəb.0.4 Ölçü = 62 Sun Fevral 6 20:46:38 2005 IFConfig Hovuz siyahısı Sun Sun Fevral 6 20:46:38

Müştəriyə başlamaq

Server konfiqurasiyasında olduğu kimi, əvvəlcə OpenVPN serverini əmr satırından (və ya pəncərələrdə sağ tıklayaraq) başlamaq üçün ən yaxşısıdır müştəri.ovpn fayl), demon və ya xidmət kimi başlamaq əvəzinə:

OpenVPN [müştəri config faylı] 

Windows-da normal bir müştəri başlanğıcı yuxarıdakı server çıxışına bənzəyəcək və bitməlidir Başlatma ardıcıllığı tamamlandı mesaj.

İndi VPN-dən müştəridən bir ping cəhd edin. Marşrutlaşdırma istifadə edirsinizsə (i.e. dev tun server config faylında), cəhd edin:

ping 10.Əqrəb.0.1

Körpüdən istifadə edirsinizsə (i.e. dev tap server config faylında), serverin Ethernet alt şəbəkəsində bir maşının IP ünvanını ping etməyə çalışın.

Ping müvəffəq olarsa, təbrik edirik! İndi fəaliyyət göstərən vpn var.

Giderme

Ping uğursuz və ya OpenVPN müştəri başlatma başa çatmadısa, burada ümumi simptomların və onların həllərinin siyahısı siyahısı:

  • Səhv mesajı alırsınız: TLS Xətası: TLS açar danışıqları 60 saniyə ərzində baş verə bilmədi (şəbəkə bağlantısınızı yoxlayın). Bu səhv, müştərinin server ilə bir şəbəkə bağlantısı qura bilmədiyini göstərir.Həlli:
    • Müştərinin OpenVPN serverinə çatmasına imkan verən düzgün host adı / IP ünvanı və port nömrəsini istifadə etdiyinə əmin olun.
    • OpenVPN server maşını, qorunan bir Lan içərisində bir nik bir qutu varsa, serverin qapısı firewallında düzgün bir port forvard qaydasından istifadə etdiyinizə əmin olun. Məsələn, OpenVPN qutunuzu 192-ci ildə olduğunu düşünün.168.4-ə.4 Firewallın içərisində, UDP portunda müştəri əlaqələrini dinləmək 1194. 192-ci ildə NAT Gateway-də xidmət edir.168.4-ə.X alt şəbəkəsi, bir port forvard qaydası olmalıdır UDP Port 1194, ictimai IP ünvanından 192-ə qədər.168.4-ə.4-ə.
    • UDP Port-a daxil olan əlaqələrin 1194-ün olmasına icazə vermək üçün serverin firewallını açın (və ya server konfiqurasiya sənədində konfiqurasiya edilmiş TCP / UDP portu).
    TLS: X-dən ilkin paket.x.x.x: x, sid = xxxxxxxx xxxxxxxx

    Əlavə problemlərin aradan qaldırılması haqqında məlumat üçün FAQ-a baxın.

    Sistem başlanğıcında avtomatik qaçmaq üçün OpenVPN-ni tənzimləmək

    Bu sahədə standartların olmaması o deməkdir ki, əksəriyyətin ən çox açılış üçün Autostart üçün Daemons / Xidmətləri konfiqurasiya etmək üçün fərqli bir yol var deməkdir. Defolt olaraq konfiqurasiya edilmiş bu funksionallıqın ən yaxşı yolu, Linux-da RPM vasitəsilə rpm və ya Windows Installer-dən istifadə edərək bir paket kimi quraşdırmaqdır.

    Linux

    Linux-da bir RPM və ya Deb paketi vasitəsilə OpenVPN quraşdırsanız, quraşdırıcı bir quracaq initsiya. Edam edildikdə, initscript üçün taranacaq .conf Konfiqurasiya sənədləri / və s. / Openvpn, Tapılıbsa, hər bir fayl üçün ayrıca bir OpenVPN daemona başlayacaqsınız.

    Pəncərə

    Windows Installer bir xidmət sarğı quracaq, ancaq standart olaraq söndürüləcəkdir. Onu aktivləşdirmək üçün idarəetmə paneli / inzibati alətlər / xidmətlər üçün gedin, OpenVPN xidmətini seçin, xüsusiyyətləri sağ vurun və avtomatik olaraq başlanğıc növünü təyin edin. Bu, növbəti yenidən başladın avtomatik başlanğıc üçün xidməti konfiqurasiya edəcəkdir.

    Başladıqda, OpenVPN xidmət sarğı skan edəcək \ Proqram Faylları \ Openvpn \ Konfiqurasiya üçün qovluq .ovpn Konfiqurasiya sənədləri, hər bir faylda ayrı bir OpenVPN prosesinə başlamaq.

    Çalışan OpenVPN prosesini idarə etmək

    Linux / BSD / UNIX-də çalışır

    OpenVPN bir neçə siqnal qəbul edir:

    • Sigusr1 — Şərti yenidən başladın, kök imtiyazları olmadan yenidən başladın
    • Sighup — Sərt yenidən başladın
    • Sigusr2 — Fayl və ya syslog daxil olmaq üçün əlaqə statistikası
    • Sigterm, Sigint — Çıxmaq

    İstifadə etmək yazılmış Openvpn daemonun pidini bir fayla yazmaq üçün göstəriş, siqnalın harada göndəriləcəyini bildiyiniz üçün (əgər ilə OpenVPN başladığınız təqdirdə) initsiya, Skript artıq keçə bilər –yazılmış Direktivdə openvpn əmr xətti).

    Windows-da bir gui kimi çalışır

    Bir Windows əmrinə uyğun pəncərədə çalışır

    Windows-da, OpenVPN konfiqurasiya faylını sağ tıklayaraq OpenVPN-ə başlaya bilərsiniz (.ovpn fayl) və “Bu konfiqurasiya faylında OpenVPN başlat” seçin.

    Bu moda işlədikdən sonra bir neçə klaviatura əmrləri mövcuddur:

    • F1 — Şərti yenidən başlama (Tap adapterini bağlamır / yenidən açmır)
    • F2 — Bağlantı statistikasını göstərin
    • F3 — Sərt yenidən başladın
    • F4 — Çıxmaq

    Windows xidməti kimi çalışır

    OpenVPN Windows-da bir xidmət olaraq başladıqda, onu idarə etməyin yeganə yolu:

    • START / STOP nəzarətini təmin edən xidmət nəzarət meneceri (İdarəetmə paneli / inzibati alətlər / xidmətlər) vasitəsilə.
    • İdarəetmə interfeysi vasitəsilə (aşağıya baxın).

    Canlı bir server konfiqurasiyasını dəyişdirmək

    Əksər konfiqurasiya dəyişiklikləri serverinizi yenidən başlatmağınızı tələb edərkən, xüsusən də skrazında dinamik olaraq yenilənə bilən və server prosesini yenidən başlamağa ehtiyac duymadan serverə dərhal təsir göstərəcək iki göstəriş var.

    müştəri-konfiqrasiya-dir — Bu Direktiv, OpenVPN serverinin hər daxil olan bir əlaqəni araşdıracağını, müştəri xüsusi konfiqurasiya faylını axtaran bir əlaqə quracağını (daha çox məlumat üçün əl səhifəsinə baxın). Bu qovluqdakı fayllar, serveri yenidən başlamadan uçuşda yenilənə bilər. Qeyd edək ki, bu qovluqdakı dəyişikliklər mövcud bağlantılar deyil, yeni əlaqələr üçün qüvvəyə minəcəkdir. Müştəri xüsusi bir konfiqurasiya faylının dəyişməsi, hazırda əlaqəli bir müştəriyə (və ya ayrılmış, lakin serverin onun instansiya obyektini bitmədiyi yerdə), idarəetmədən istifadə edərək müştəri instansiya obyektini öldürün interfeys (aşağıda təsvir edilmişdir). Bu, müştərinin yenisini yenidən birləşdirməyə və istifadə etməsinə səbəb olacaqdır müştəri-konfiqrasiya-dir fayl.

    crl-doğrulayın — Bu direktiv adları a Sertifikat ləğv siyahısı İstifadəsi Sertifikatlar bölməsində aşağıda təsvir olunan fayl. CRL faylı tez bir zamanda dəyişdirilə bilər və dəyişikliklər dərhal yeni əlaqələr və ya SSL / TLS kanallarını yenidən hazırlayan mövcud əlaqələr və ya mövcud olan əlaqələri (standart olaraq bir dəfə baş verir). Sertifikatı yalnız CRL-ə əlavə edilmiş, idarəetmə interfeysindən istifadə edən bir qoşulmuş müştəri öldürmək istəyirsinizsə (aşağıda təsvir edilmişdir).

    Status faylı

    Standart server.conf faylının bir xətti var

    status openvpn-status.lax

    bu, fayldakı cari müştəri əlaqələrinin siyahısını çıxaracaqdır OpenVPN-Vəziyyət.lax bir dəfə dəqiqədə.

    İdarəetmə interfeysindən istifadə

    OpenVPN idarəetmə interfeysi, işləyən OpenVPN prosesi üzərində çox sayda nəzarət etməyə imkan verir. İdarəetmə interfeysini idarəetmə interfeysi portuna və ya dolayı yolla idarəetmə interfeysinə qoşulan bir Openvpn GUI istifadə edərək, idarəetmə interfeysindən istifadə edə bilərsiniz.

    İdarəetmə interfeysini ya OpenVPN serverində və ya müştəridə aktivləşdirmək üçün bunu konfiqurasiya sənədinə əlavə edin:

    İdarəetmə Yerli 7505

    Bu OpenVPN-ni idarəetmə interfeysi müştəriləri üçün TCP Port 7505-də qulaq asın (Port 7505 ixtiyari bir seçimdir – istənilən pulsuz port istifadə edə bilərsiniz).

    OpenVPN çalışdıqdan sonra a istifadə edərək idarəetmə interfeysinə qoşula bilərsiniz telnet müştəri. Misal üçün:

    AI: ~ # # Telnet LocalHost 7505 çalışır 127.0.0.1. Localhost ilə bağlıdır. Qaçmaq xarakteri '^]'. > Məlumat: OpenVPN idarəetmə interfeysi versiyası 1 - Daha çox məlumat üçün "Kömək" Növü OpenVPN 2 üçün idarəetmə interfeysi.0_RC14 I686-Suseux-Linux [SSL] [Lzo] [Epoll] [Epoll] 15 Fevral 2005-ci il tarixində qurulmuşdur: Echo [On | OFF] [N |. Çıxış | Çıxın: İdarəetmə sessiyasını bağlayın. Kömək: Bu mesajı çap edin. Hold [Off | Off | Buraxılış]: Dəstək / Off bayrağı hazırlamaq və ya cari tutma və tunelə başlamaq. KILL CN: COL ADIM olan MÜŞTƏRİ VƏZİFƏLƏRİ (S) öldürün. Kill IP: Port: IP-dən birləşdirən müştəri nümunəsini öldürün: port. Giriş [On | OFF] [N | Hamısı]. lal [n]: log səssiz səviyyəsini n-ə qoyun və ya n olmadıqda səviyyəni göstərin. NET: (yalnız Windows) Şəbəkə məlumatı və marşrutlaşdırma masası göstərin. Şifrə növü P: Bir sual PLASS PLEAP PLASSION Şifrə üçün daxil olun. Siqnal S: Siqnal S göndərmə, s = sighup | Sigterm | Sigusr1 | Sigusr2. Dövlət [OFF | OFF] [N | hamısı] kimi qeyd edin, ancaq dövlət tarixini göstərin. Status [n]: Format #n istifadə edərək cari Daemon status məlumatlarını göstərin. Test n: test / ayırma üçün n çıxış xətləri istehsal edin. İstifadəçi adı Tip U: Bir sorğu edilmiş OpenVPN istifadəçi adı üçün istifadəçi adını daxil edin. Verb [n]: Giriş Verbosity səviyyəsini n-ə qoyun və ya n olmadıqda göstərin. Versiya: Cari versiya nömrəsini göstərin. Son çıxış bağlantısı Xarici ana tərəfindən bağlandı. AI: ~ #

    Müştəri və ya server alt şəbəkəsində əlavə maşınlar daxil etmək üçün VPN-nin əhatə dairəsini genişləndirir.

    Marşrutlu VPN (Dev Tun) istifadə edərkən server tərəfində birdən çox maşın da daxil olmaqla

    VPN müştəri və server arasındakı nöqtə nöqtəsində bir nöqtədə işləyəndən sonra, müştərilərin yalnız server şəbəkəsində birdən çox maşın əldə edə bilməsi üçün, yalnız server maşınının özündə birdən çox maşın əldə edə bilməsi üçün arzuolunan ola bilər.

    Bu nümunənin məqsədi ilə, server tərəfi lanın alt şəbəkəsi istifadə etdiyini güman edəcəyik Əqrəb.66.0.0/24və VPN IP ünvanı hovuzu istifadə edir Əqrəb.Əqrəb.0.0/24 Daxil olduğu kimi server OpenVPN Server Konfiqurasiya Faylında Direktiv.

    Əvvəlcə etməlisən reklam etmək bu Əqrəb.66.0.0/24 VPN-dən əldə edilə bilən VPN müştərilərinə alt şəbəkə. Bu asanlıqla aşağıdakı server tərəfi konfiqurasiya faylı direktivi ilə edilə bilər:

    "10 nömrəli marşrut".66.0.0 255.255.255.0 "

    Sonrakı, VPN müştəri alt şəbəkəsini marşrutu üçün server tərəfi LAN şlüzində bir marşrut qurmalısınız (Əqrəb.Əqrəb.0.0/24) OpenVPN serverinə (bu yalnız OpenVPN Server və LAN Gateway fərqli maşınlar varsa).

    OpenVPN Server Maşınında IP və Tun / Tap-ı effektiv etdiyinizə əmin olun.

    Bir körpü vpn (dev tap) istifadə edərkən server tərəfində birdən çox maşın da daxil olmaqla

    Ethernet Bridging istifadə etməyin faydalarından biri budur ki, heç bir əlavə konfiqurasiya tələb etmədən bunu pulsuz əldə etməyinizdir.

    Marşrutlu VPN (Dev Tun) istifadə edərkən müştəri tərəfində birdən çox maşın da daxil olmaqla

    Tipik bir yol döyüşçü və ya uzaqdan giriş ssenarisində müştəri maşını VPN-ə tək maşın kimi bağlanır. Ancaq müştəri maşını yerli bir Lan üçün bir qapıdır (məsələn, bir ev ofisi) və müştəri LAN-ın vpn vasitəsilə marşrutlaşdıra biləcək hər bir maşın istərdiniz.

    Bu nümunə üçün, müştəri Lan istifadə etdiyini güman edəcəyik 192.168.4-ə.0/24 alt şəbəkə və VPN müştəri ümumi bir ad ilə sertifikat istifadə edir müştəri2. Məqsədimiz VPN-ni qurmaqdır ki, Müştəri LAN-da hər hansı bir maşın, VPN vasitəsilə server LAN-da hər hansı bir maşın ilə əlaqə qura bilsin.

    Quraşdırmadan əvvəl, izlənilməli olan bəzi əsas şərtlər var:

    • Müştəri Lan alt şəbəkəsi (192).168.4-ə.0/24 bizim nümunəmdə) VPN-ə server və ya eyni alt şəbəkəni istifadə edən digər müştəri saytları tərəfindən ixrac edilməməlidir. Marşrut vasitəsilə VPN-ə qoşulan hər alt şəbəkə unikal olmalıdır.
    • Müştərinin öz sertifikatında (“müştəri2” də bənzərsiz ümumi bir ad olmalıdır) və dublikat-cn OpenVPN Server konfiqurasiya sənədində bayraq istifadə edilməməlidir.

    Birincisi, IP və Tun / Tap ekspediyasının müştəri maşınında aktiv olduğundan əmin olun.

    Sonra, server tərəfindəki zəruri konfiqurasiya dəyişiklikləri ilə məşğul olacağıq. Server konfiqurasiya faylı hazırda bir müştəri konfiqurasiya qovluğuna istinad etmirsə, indi birini əlavə edin:

    müştəri-konfiqurasiya-dir CCD

    Yuxarıdakı direktivdə, ccd OpenVPN server demonunun işlədiyi standart qovluqda əvvəlcədən yaradılan bir qovluğun adı olmalıdır. Linux-da bu olmağa meyllidir / və s. / Openvpn və Windows-da ümumiyyətlə \ Proqram Faylları \ Openvpn \ Konfiqurasiya. Yeni bir müştəri OpenVPN serverinə qoşulduqda, Daemon birləşdirən müştərinin ümumi adına uyğun bir fayl üçün bu qovluğu yoxlayacaqdır. Uyğun bir fayl tapılıbsa, adlı müştəriyə tətbiq ediləcək əlavə konfiqurasiya fayl göstərişləri üçün oxunacaq və işlənəcəkdir.

    Növbəti addım çağırılan bir fayl yaratmaqdır müştəri2 içində ccd qovluq. Bu faylın xətti olmalıdır:

    iRoute 192.168.4-ə.0 255.255.255.0

    Bu, 192-ci ildəki OpenVPN serverinə xəbər verəcəkdir.168.4-ə.0/24 alt şəbəkə yönəldilməlidir müştəri2.

    Sonra, əsas server config faylına aşağıdakı sətri əlavə edin (deyil CCD / CLIENT2 fayl):

    192 nömrəli marşrut.168.4-ə.0 255.255.255.0

    Niyə lazımsızdır marşrutirore ifadələr, soruşa bilərsiniz? Səbəb budur marşrut Kerneldən olan marşrutu Openvpn serverinə (Tun interfeysi vasitəsilə) idarə edir irore OpenVPN serverindən uzaq müştərilərə yönləndirməni idarə edir. Hər ikisi lazımdır.

    Sonra, müştəri2-nin alt şəbəkəsi (192) arasında şəbəkə trafikinə icazə vermək istəsəniz özünüzdən soruşun.168.4-ə.0/24) və Openvpn serverinin digər müştəriləri. Əgər belədirsə, server config faylına aşağıdakıları əlavə edin.

    müştəri-müştəri push "192 nömrəli marşrut.168.4-ə.0 255.255.255.0 "

    Bu OpenVPN serverinə səbəb olacaq reklam etmək Client2-nin digər qoşulma müştərilərinə alt şəbəkəsi.

    Son addım və tez-tez unudulmuş biri, 192-ci ildəki serverin LAN qapısına bir marşrut əlavə etməkdir.168.4-ə.0/24 OpenVPN server qutusuna (OpenVPN server qutusu varsa buna ehtiyacınız yoxdur) var server lan üçün şlüz). Tutaq ki, bu addımı itirdiniz və 192-ci ildən server Lan-da bir maşın (Openvpn serverin özü deyil) ping etməyə çalışdınız.168.4-ə.Əqrəb? Gedən ping, yəqin ki, maşına çatacaq, amma sonra ping cavabı necə yollanmağı bilmir, çünki 192-ci ildə necə çatmaq barədə heç bir təsəvvürü olmayacaqdır.168.4-ə.0/24. İstifadəsi qaydası odur ki, bütün LANS-ı VPN vasitəsilə yönləndirərkən.

    Eynilə, OpenVPN-də işləyən müştəri maşını da müştəri Lan üçün şlüz deyilsə, müştəri Lan üçün qapısı VPN vasitəsilə OpenVPN müştəri maşınına qədər olan bütün alt şəbəkələri istiqamətləndirən bir marşrut olmalıdır.

    Bir körpü vpn (dev tap) istifadə edərkən müştəri tərəfində birdən çox maşın da daxil olmaqla

    Bunun üçün daha mürəkkəb bir quraşdırma tələb olunur (bəlkə də praktikada daha mürəkkəb deyil, lakin ətraflı izah etmək daha mürəkkəbdir):

    • Müştəridə LAN-bağlı NIC ilə müştəri tap interfeysini bağlamalısınız.
    • Müştəridə Tap interfeysinin IP / NetMask-ı əl ilə təyin etməlisiniz.
    • Müştəri yan maşınları, bəlkə də VPN-nin Openvpn server tərəfində bir DHCP serverini soruşmaqla, bir IP / netmask istifadə etmək üçün müştəri yan maşınlarını konfiqurasiya etməlisiniz.

    Müştərilərə DHCP seçimlərini itələmək

    OpenVPN Server DNS kimi DHCP seçimlərini itələyə və müştərilərə server adresləri (xəbərdar olmaq üçün bəzi xəbərdarlıqlar). Windows müştəriləri, Windows olmayan müştərilərin bir müştəri tərəfini istifadə edərək onları qəbul edə biləcəyi halda, PULSUZ DHCP seçimlərini qəbul edə bilərlər yuxarı hansı təhlil edən skript Xarici_option_nƏtraf mühitin dəyişən siyahısı. Windows olmayan adam səhifəsinə baxın Xarici_option_n Sənədləşmə və skript nümunələri.

    Məsələn, müştərilərin daxili DNS serverindən 10-da birləşdirilməsini istəməyinizi düşünün.66.0.4 və ya 10.66.0.5 və 10-da bir server.66.0.Əqrəb. Bunu OpenVPN Server konfiqurasiyasına əlavə edin:

    "DHCP-Seçim DNS 10 düyməsini basın.66.0.4 "Push" DHCP-Seçim DNS 10.66.0.5 "Push" DHCP-Seçim 10 qalib gəlir.66.0.8 "

    Bu xüsusiyyəti Windows-da sınamaq üçün, maşın OpenVPN serverinə qoşulduqdan sonra bir əmr təklifi pəncərəsindən aşağıdakıları işə salın:

    IPConfig / Hamısı

    Tap-Windows Adapter üçün giriş, server tərəfindən itələyən DHCP seçimlərini göstərməlidir.

    Müştəri xüsusi qaydalar və giriş siyasətini tənzimləmək

    Tutaq ki, bir şirkət vpn qururuq və 3 fərqli istifadəçi sinifləri üçün ayrıca giriş siyasətini qurmaq istərdik:

    • Sistem idarəçiləri — Şəbəkədəki bütün maşınlara tam giriş
    • İşçilər — Yalnız Samba / e-poçt serverinə giriş
    • Firmalar — Yalnız xüsusi bir serverə giriş

    Götürəcəyimiz əsas yanaşma (a) hər bir istifadəçi sinfini öz virtual IP ünvanı aralığına bölün və.

    Nümunəmizdə, dəyişən bir sayda işçi, ancaq bir sistem inzibatçısı və iki podratçı var. İP bölgü yanaşmamız bütün işçiləri bir IP ünvanı hovuzuna qoymaq və sonra sistem inzibatçısı və podratçıları üçün sabit IP ünvanlarını ayıracaqdır.

    Qeyd edək ki, bu nümunənin şərtlərindən biri də, xüsusi firewall qaydalarını təyin etmək imkanı verən OpenVPN server maşınında işləyən bir proqram firewallınızın olmasıdır. Nümunə üçün, firewallın Linux olduğunu güman edəcəyik nağıl.

    Birincisi, istifadəçi sinfinə görə bir virtual IP ünvan xəritəsi yaradaq:

    Sinif Virtual IP diapazonu İcazə verilən lan giriş Ümumi adlar
    İşçilər Əqrəb.Əqrəb.0.0/24 Samba / e-poçt serveri 10-da.66.4-ə.4-ə [Dəyişən]
    Sistem idarəçiləri Əqrəb.Əqrəb.1.0/24 Bütün 10.66.4-ə.0/24 alt şəbəkə sysadmin1
    Firmalar Əqrəb.Əqrəb.2-ci.0/24 Podratçı server 10-da.66.4-ə.Əqrəb podratçı1, müqaviləçi2

    Sonra, bu xəritəni OpenVPN Server konfiqurasiyasına tərcümə edək. Əvvəlcə 10-u düzəltmək üçün yuxarıdakı addımları izlədiyinizə əmin olun.66.4-ə.0/24 Bütün müştərilər üçün alt şəbəkə (müştərinin bütün 10-a daxil olmasına icazə vermək üçün marşrutlaşdırma konfiqurasiya edəcəyik).66.4-ə.0/24 alt şəbəkə, daha sonra yuxarıda göstərilən siyasət cədvəlini həyata keçirmək üçün firewall qaydalarından istifadə edərək giriş məhdudiyyətlərini tətbiq edəcəyik).

    Birincisi, bizim üçün statik vahid nömrəsini təyin edin tun İnterfeys, beləliklə, sonra firewall qaydalarımızda ona müraciət edə biləcəyik:

    dev tun0

    Server konfiqurasiya sənədində işçinin IP ünvanı hovuzunu müəyyənləşdirin:

    Server 10.Əqrəb.0.0 255.255.255.0

    Sistem idarəçisi və podratçı IP silsilələri üçün marşrutlar əlavə edin:

    Marşrut 10.Əqrəb.1.0 255.255.255.0 10 nömrəli 10.Əqrəb.2-ci.0 255.255.255.0

    Xüsusi sistem idarəçiləri və podratçıları üçün sabit IP ünvanlarını təyin edəcəyik, müştəri konfiqurasiya qovluğundan istifadə edəcəyik:

    müştəri-konfiqurasiya-dir CCD

    İndi xüsusi konfiqurasiya sənədlərini yerləşdirin ccd Hər bir işçisi VPN müştəri üçün sabit IP ünvanını təyin etmək üçün alt dizayn.

    CCD / sysadmin1

    ifconfig-push 10.Əqrəb.1.1 10.Əqrəb.1.2-ci

    CCD / CODRED1

    ifconfig-push 10.Əqrəb.2-ci.1 10.Əqrəb.2-ci.2-ci

    CCD / PODRED22

    ifconfig-push 10.Əqrəb.2-ci.5 10.Əqrəb.2-ci.Əqrəb

    Hər cüt ifconfig-təkan Ünvanlar virtual müştəri və server ip son nöqtələrini təmsil edir. Windows müştəriləri və kran-windows sürücüsü ilə uyğun olmaq üçün ardıcıl / 30 alt hissədən götürülməlidirlər. Xüsusilə, hər bir endpoint cütlüyünün IP ünvanındakı son OTTET bu dəstdən alınmalıdır:

    [1, 2] [5, 6] [9, 10] [13, 14] [17, 18] [21, 22] [25, 26] [29, 30] [33, 34] [37, 34] [33, 34] [41, 42] [45, 46] [49, 50] [53, 54] [53, 54] [57, 58] [61, 62] [65, 66] [69, 70] [73, 74] [77, 78] [77, 74] [81, 82] [85, 86] [89, 90] [93, 94] [93, 94] [97, 98] [101,102] [105,106] [109,110] [117,118] [121,122] [125,126] [129,126] [129,126] [129,126] [ 133,134] [147,138] [141,146] [149,156] [153,154] [161,162] [165,166] [165,170] [173,178] [181,182] [185,186] [189,190] [189.190] [189.190] [189.190] 94] [197,198] [201202] [205,210] [213,218] [217,218] [221,222] [225,230] [229,234] [237,238] [241,242] [245,246] [249,255] [253,255] [253,255] [253,254]

    Bu OpenVPN konfiqurasiyasını tamamlayır. Son addım, giriş siyasətini yekunlaşdırmaq üçün firewall qaydaları əlavə etməkdir. Bu nümunə üçün Linux-da firewall qaydalarından istifadə edəcəyik nağıl Sintaksis:

    # İşçi qaydaları IPTables-a yönləndirin -İ Tun0 -s 10.Əqrəb.0.0/24 -d 10.66.4-ə.4 -J qəbul etmək # sysadmin qayda iTtables-a yönləndirin -Av Tun0 -s 10.Əqrəb.1.0/24 -d 10.66.4-ə.0/24 -J # Podratçı qaydası ITPTables-a yönləndirin -Av Tun0 -s 10.Əqrəb.2-ci.0/24 -d 10.66.4-ə.12-qəyəm

    Alternativ identifikasiya metodlarından istifadə etməklə

    Openvpn 2.0 və daha sonra OpenVPN serverə birləşdirici müştəridən istifadəçi adı və şifrənizi etibarlı şəkildə əldə etməyə və bu məlumatı müştəri identifikasiya etmək üçün əsas kimi istifadə etməyə imkan verən bir xüsusiyyət daxildir.

    Bu identifikasiya metodundan istifadə etmək üçün əvvəlcə əlavə edin Auth-istifadəçi-keçidi Müştəri konfiqurasiyasına göstəriş. OpenVPN müştərisini istifadəçi adını / şifrə üçün istifadəçiyə sorğu etmək üçün birbaşa TLS kanalının üzərindəki serverə ötürülməsi üçün istifadəçiyə yönəldəcəkdir.

    Sonra, skript, paylaşılan obyekt və ya DLL ola bilən bir identifikasiya plaginindən istifadə etmək üçün serveri konfiqurasiya edin. OpenVPN server hər dəfə bir VPN müştəri qoşulmağa çalışır, onu müştəriyə daxil edən istifadəçi adı / şifrənizi keçməyə çalışır. Doğrulama Plugin, OpenVPN serverinin müştəriyə çatışmazlığı (1) və ya müvəffəqiyyət (0) dəyəri qaytarmaqla əlaqə qurmasına imkan verdiyinə nəzarət edə bilər.

    Skript plaginlərindən istifadə

    Skript pluginləri əlavə etməklə istifadə edilə bilər Auth-İstifadəçi-Pass-Doğrulama Server tərəfi konfiqurasiya faylına göstəriş. Misal üçün:

    Auth-İstifadəçi-Pass-Doğrulama Auth-Pam.pl via-fayl

    istifadə edəcək hamar pam.PL Birləşdirən müştərilərin istifadəçi adı / şifrəsini təsdiqləmək üçün Perl skript. Təsvirinə baxın Auth-İstifadəçi-Pass-Doğrulama Daha çox məlumat üçün əl səhifəsində.

    Bu hamar pam.PL Skript, OpenVPN mənbə sənədinin paylanmasına daxil edilmişdir Nümunə skriptlərialt. Bir Pam Doğrulama Modulu istifadə edərək, kölgə şifrəsi, radius və ya LDAP identifikasiyasını həyata keçirə biləcək bir Pam Doğrulama Modulu istifadə edərək bir Linux serverində istifadəçiləri təsdiq edəcəkdir. hamar pam.PL ilk növbədə nümayiş məqsədləri üçün nəzərdə tutulub. Real dünya pam identifikasiyası üçün istifadə edin openvpn-auth-pamPaylaşılan obyekt plagini aşağıda təsvir etdi.

    Paylaşılan obyekt və ya DLL plaginlərindən istifadə

    Paylaşılan obyekt və ya DLL plaginləri, işləmə vaxtı ilə OpenVPN server tərəfindən yüklənmiş C modullarıdır. Məsələn, Linux-da bir RPM əsaslı OpenVPN paketindən istifadə edirsinizsə, openvpn-auth-pam Plugin artıq qurulmalıdır. Onu istifadə etmək üçün bunu server tərəfi konfiqurasiya sənədinə əlavə edin:

    Plugin / USR / Paylaş / OpenVPN / Plugin / Lib / OpenVPN-Auth-Pam.Buna görə giriş

    Bu, OpenVPN serverinə müştərilərin istifadəçi adını / şifrəsini təsdiqləmək üçün izah edəcək daxil olPam modulu.

    Real dünya istehsalından istifadə üçün istifadə etmək daha yaxşıdır openvpn-auth-pam plugin, çünki bunun üzərində bir neçə üstünlük var hamar pam.PL Skript:

    • Paylaşılan obyekt openvpn-auth-pam Plugin daha yaxşı təhlükəsizlik üçün split-imtiyaz icra modelindən istifadə edir. Bu o deməkdir ki, OpenVPN server direktivlərdən istifadə etməklə azaldılmış imtiyazlarla işləyə bilər istifadəçi heç kim, qrup heç kim, və chroot, və hələ də kök oxunan kölgə parol sənədinə qarşı identifikasiya edə biləcək.
    • OpenVPN, server maşınında yerli təhlükəsizlik üçün daha yaxşı olan bir fayl və ya ətraf mühitdən daha çox istifadəçi adı / şifrənizi virtual yaddaş vasitəsi ilə plugindən keçə bilər.
    • C-tərtib edilmiş plugin modulları ümumiyyətlə skriptlərdən daha sürətli işləyir.

    OpenVPN ilə istifadə üçün öz plaginlərinizi inkişaf etdirmək barədə daha çox məlumat istəsəniz, baxın Readme içərisində olan sənədlər plugin Openvpn mənbəyi paylamasının alt istehsalı.

    Qurmaq openvpn-auth-pam Linux-da plugin, CD Plugin / Auth-Pam Openvpn mənbəyinin paylanmasında qovluq etmək.

    İstifadəçi adı / şifrə identifikasiyasından istifadəçi identifikasiyasının yeganə forması kimi istifadə olunur

    Varsayılan olaraq, istifadə Auth-İstifadəçi-Pass-Doğrulama və ya istifadəçi adı / şifrə yoxlanılması plugin Serverdə ikiqat identifikasiyasını, həm müştəri sertifikatı və istifadəçi adı / şifrə identifikasiyasının müştərinin təsdiqlənməsinə görə müvəffəq olmasını tələb edən ikili identifikasiyaya imkan verəcəkdir.

    Təhlükəsizlik baxımından rədd edilsə də, müştəri sertifikatlarının istifadəsini aradan qaldırmaq və istifadəçi adı / şifrə identifikasiyasını təmin etmək də mümkündür. Serverdə:

    Client-CERT-TƏLƏB OLUNUR

    Bu cür konfiqurasiyalar ümumiyyətlə müəyyənləşdirilməlidir:

    İstifadəçi adı - adi ad

    Serverə bir müştəri sertifikatı ilə təsdiqləyən bir müştərinin ortaq adından istifadə edərkən serverin istifadəçi adını istifadə etməsini izah edəcəkdir.

    Buna görə də Client-CERT-TƏLƏB OLUNUR bir server sertifikatına olan ehtiyacı aşmayacaq, buna görə istifadə edən bir serverə qoşulan bir müştəri Client-CERT-TƏLƏB OLUNUR silmək olar sertifikatkey Müştəri konfiqurasiya sənədindən göstərişlər, lakin deyil ca Direktiv, çünki müştəri üçün server sertifikatını yoxlamaq lazımdır.

    Müştəri tərəfli smart kartlardan istifadə edərək, OpenVPN konfiqurasiyasına ikiqat amil identifikasiyasını necə əlavə etmək olar

    • İkiqat faktorlu identifikasiyası haqqında
    • PKCS # 11 nədir?
    • PKCS # 11 provayder kitabxanası tapmaq.
    • Kriptoqrafik bir tokeni necə konfiqurasiya etmək olar
    • Kriptoqrafik ayələrdən istifadə etmək üçün OpenVPN konfiqurasiyasını necə dəyişdirmək olar
      • Düzgün obyekti müəyyənləşdirin.
      • PKC # 11 ilə OpenVPN istifadə.
      • PKCS # 11 İcra mülahizələri.
      • OpenSC PKCS # 11 Təchizatçı.

      İkiqat faktorlu identifikasiyası haqqında

      İkiqat faktorlu identifikasiyası, iki elementi birləşdirən identifikasiyanın bir üsuludur: əlinizdə olan bir şey və bildiyiniz bir şey.

      Çoxalmayan bir cihaz olmalıdır bir şey; Belə bir cihaz, xüsusi bir gizli açarı olan bir kriptoqrafik bir token ola bilər. Bu xüsusi açar cihazın içərisində yaranır və heç vaxt onu tərk etmir. Bu əlamət sahibi olan bir istifadəçi, uzaq bir şəbəkədə qorunan xidmətlərə daxil olmaq cəhdlərinə, şəbəkə girişini qrant və ya inkar edə bilən icazə prosesi, yüksək dərəcədə əminliklə, istifadəçinin məlum olan, təsdiqlənmiş bir tokenin fiziki mülkiyyətindədir.

      Bildiyiniz bir şey kriptoqrafik cihaza təqdim olunan bir şifrə ola bilər. Düzgün şifrəni təqdim etmədən şəxsi gizli açara daxil ola bilməzsiniz. Kriptoqrafik cihazların başqa bir xüsusiyyəti yanlış parol icazə verilən sayda dəfədən çox təqdim olunduğu təqdirdə şəxsi gizli açarın istifadəsini qadağan etməkdir. Bu davranış bir istifadəçinin cihazını itirsə, başqa bir insanın istifadə etməsi üçün əlverişsiz olmasını təmin edir.

      Kriptoqrafik cihazlar ümumiyyətlə “ağıllı kartlar” və ya “ayələr” adlanır və bir PKI (açıq açar infrastrukturu) ilə birlikdə istifadə olunur. VPN Server bir X-ə baxa bilər.509 Sertifikat və istifadəçinin müvafiq şəxsi gizli açarı tutduğunu yoxlayın. Cihaz çoxaldıla və etibarlı bir şifrə tələb olunmadığı üçün, server istifadəçini yüksək dərəcədə inamla təsdiqləməyə qadirdir.

      İkiqat faktorlu identifikasiyası parol əsaslı identifikasiyadan daha güclüdür, çünki ən pis halda ssenaridə bir anda yalnız bir nəfər kriptoqrafik əlamətdən istifadə edə bilər. Şifrələr təxmin edilə bilər və digər istifadəçilərə məruz qala bilər, buna görə ən pis hallarda sonsuz sayda insan, ehtiyatlar yalnız identifikasiya istifadə edərək ehtiyatların qorunması üçün icazəsiz giriş əldə edə bilər.

      Bir faylda gizli şəxsi açarı saxlasanız, açar ümumiyyətlə parol ilə şifrələnmişdir. Bu yanaşma problemi, şifrəli açarın şifrəni açma hücumlarına məruz qalması və ya müştəri maşınında işləyən casus proqram / zərərli proqramlara məruz qalmasıdır. Bir kriptoqrafik cihazdan istifadə edərkən fərqli olaraq, fayl bir neçə uğursuz deşifrləmə cəhdlərindən sonra avtomatik olaraq özünü silə bilməz.

      PKCS # 11 nədir?

      Bu Standart Kriptoqrafik məlumatı tutan və kriptoqrafik funksiyaları yerinə yetirən cihazlara Cryptoki adlanan bir API-ni göstərir. Cryptoki, “Crypto-Açar” və Kriptoqrafik Token interfeysi, sadə bir obyekt əsaslı bir yanaşma, texnologiya müstəqilliyinin (hər növ cihaz) və resurs paylaşımı (birdən çox cihaz əldə etmək), tətbiqlərə təqdim olunan bir çox işgüzar) Cryptographik bir token adlı cihazın ümumi, məntiqi mənzərəsi.

      Xülasə etmək üçün, PKCS # 11, smart kartlar və digər cihazlar kimi kriptoqrafik əlamətlərə daxil olmaq üçün tətbiq proqramı tərəfindən istifadə edilə bilən bir standartdır. Əksər cihaz satıcıları PKCS # 11 Provayderi interfeysi tətbiq edən bir kitabxana təqdim edir – bu kitabxana bu cihazlara daxil olmaq üçün tətbiqlər tərəfindən istifadə edilə bilər. PKCS # 11 çarpaz platforma, satıcı-müstəqil pulsuz standartdır.

      PKCS # 11 provayder kitabxanası tapmaq

      Etməyiniz lazım olan ilk şey, provayder kitabxanasını tapmaqdır, cihaz sürücüləri ilə quraşdırılmalıdır. Hər bir satıcıda öz kitabxanası var. Məsələn, OPENSC PKCS # 11 Provayderi AT / USR / PKCS11 / OPENSC-PKCS11.Beləliklə, Unix və ya OpenSC-PKCS11-də.Windows-da DLL.

      Kriptoqrafik tokeni necə konfiqurasiya etmək olar

      Bir qeydiyyat proseduruna əməl etməlisiniz:

      • 11 saylı PKC-ləri işə salın.
      • 11 saylı PKC-də RSA açar cütü yaradın.
      • Açar cütlüyünə görə sertifikat sorğusu yaradın, bunu etmək üçün OpenSC və OpenSSL istifadə edə bilərsiniz.
      • Sertifikat sorğusunu sertifikat orqanının göndərin və sertifikat alın.
      • Sertifikatın şəxsiyyət vəsiqəsi və etiket atributlarının şəxsi açarın uyğun olması lazım olduğunu qeyd edərkən şəhadətnaməni işarəni yükləyin.

      Konfiqurasiya edilmiş bir token, həm də eyni şəxsiyyət və etiket atributlarını paylaşdığı xüsusi bir açar obyekti və sertifikat obyekti olan bir əlamətdir.

      Sadə bir qeydiyyat proqramı asan-RSA 2-dir.0 Openvpn 2-nin bir hissəsidir.1 seriya. README faylında göstərilən təlimatları izləyin və sonra qeydiyyatdan keçmək üçün PKITOOL istifadə edin.

      Aşağıdakı əmrdən istifadə edərək bir əlamət başlat:

      Dolama ./ pkitool --pkcs11-yuvalar / usr / lib / pkcs11 / $ ./ PKITOOL --PKS11-IND / USR / LIB / PKCS11 /

      Aşağıdakı əmrdən istifadə edərək bir sertifikat yazın:

      Dolama ./ PKITOOL --PKS11 / USR / LIB / PKCS11 /  

      Kriptoqrafik ayələrdən istifadə etmək üçün OpenVPN konfiqurasiyasını necə dəyişdirmək olar

      Openvpn 2 olmalıdır.1-ci Xüsusiyyətləri PKC-lərdən istifadə etmək üçün 1 və ya yuxarıda.

      Düzgün obyekti müəyyənləşdirin

      Hər PKC # 11 provayderi birdən çox cihaz dəstəkləyə bilər. Mövcud obyekt siyahısına baxmaq üçün aşağıdakı əmrdən istifadə edə bilərsiniz:

      $ OpenVPN - PKCS11-IDS / USR / LIB / PKCS11 / İstifadə üçün aşağıdakı obyektlər mövcuddur. Aşağıda göstərilən hər bir obyektin parametr kimi istifadə edilə bilər --PKCS11-ID seçimini, vahid təklif işarəsindən istifadə etməyi unutmayın. Sertifikat DN: / CN = İstifadəçi siyahısı

      Hər bir sertifikat / Şəxsi açar cütü unikal “Seriallaşdırılmış ID” simlidir. Tələb olunan sertifikatın seriya identifikasiya edilmiş şəxsiyyəti göstərilməlidir PKCS11-ID Tək sitat işarələrindən istifadə etmək üçün seçim.

      PKCS11-ID 'AAAA / BBB / 415455F5349474E4154555524555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555AAA4CB17FAF7A4600 

      PKC # 11 ilə OpenVPN istifadə

      PKCS # 11 üçün OpenVPN seçimlərinin tipik dəsti
      PKCS11-provayderlər / usr / usr / PKCS11 / PKCS11-ID 'AAAA / BBB / 415455F5349474415455524555555245555552452A1A1B23C4AA4CB17FAF7A4600 

      Bu, PKCS11-ID sətirinə uyğun obyekti seçəcəkdir.

      PKCS # 11 üçün İnkişaf etmiş OpenVPN Seçimləri
      PKCS11-provayderlər / USR / LIB / PKCS11 / Provayderlər1.SO / USR / LIB / PKCS11 / Provayder2.Beləliklə PKCS11-ID 'AAAA / BBB / 415445F53494745534555552455555552455555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555500000' PKCS11-Pin-Cache 300 daemon.0.0.1 8888 İdarəetmə-sorğu-parol 

      Bu, iki provayderini OpenVPN-ə yükləyəcək, göstərilən sertifikatdan istifadə edin PKCS11-ID Seçim və parol sorğu üçün idarəetmə interfeysindən istifadə edin. Daemon, token əldə edilə bilmədiyi hadisə ilə əlaqədar vəziyyəti davam etdirəcək. Token 300 saniyədən sonra istifadə ediləcək, bu parol yenidən soruşulacaq, idarəetmə sessiyası ayırarsa sessiya ayıracaq.

      PKCS # 11 İcra mülahizələri

      Bir çox PKC # 11 provayderlər, Linuxthreads (Setuid, Chroot) tətbiqindən yaranan problemlərin qarşısını almaq üçün, PKCS # 11-dən istifadə etmək niyyətində olan Doğma Posix Mövzu Kitabxanasına (NPTL) effektiv glibc-ə yüksəltməyi tövsiyə etmək çox tövsiyə olunur.

      OpenSC PKCS # 11 Təchizatçı

      OpenSC PKCS # 11 Provayderi AT / USR / LIB / PKCS11 / OPENSC-PKCS11.Beləliklə, Unix və ya OpenSC-PKCS11-də.Windows-da DLL.

      PKCS # 11 və Microsoft Kriptoqrafik API arasındakı fərq (Cryptoapi)

      PKCS # 11 pulsuz, çarpaz platforma satıcısı müstəqil standartdır. Cryptoapi, Microsoft Xüsusi APIdir. Ən çox ağıllı kart satıcıları hər iki interfeys üçün dəstək verir. Windows mühitində istifadəçi hansı interfeys istifadə etməlidir.

      MS Cryptoapi istifadə edən OpenVPN-in hazırkı tətbiqi (cryptoapicert seçim) bir xidmət olaraq OpenVPN işləmədiyiniz müddətcə yaxşı işləyir. Bir xidmətdən istifadə edərək bir inzibati mühitdə OpenVPN-i işə salmaq istəyirsinizsə, həyata keçirmə aşağıdakı səbəblərə görə ən çox ağıllı kartlarla işləməyəcəkdir:

      • Ən ağıllı kart təminatçılarının əksəriyyəti yerli maşın mağazasına sertifikatlar yükləmir, buna görə tətbiqetmə istifadəçi sertifikatına daxil ola bilməyəcəkdir.
      • OpenVPN müştəri son istifadəçi ilə birbaşa qarşılıqlı əlaqə olmadan bir xidmət olaraq istifadə edirsə, xidmət istifadəçini ağıllı kart üçün parol təqdim etmək üçün ağıllı kartın şifrə-doğrulama prosesinə səbəb olmadığı üçün istifadəçiyə sual verə bilməz.

      PKCS # 11 interfeysindən istifadə edərək, PKCS # 11 Microsoft mağazalarına daxil olmadığı və son istifadəçi ilə birbaşa qarşılıqlı əlaqə tələb etmir.

      VPN vasitəsilə bütün müştəri trafikini (veb trafik də daxil olmaqla) yönləndirin

      Xülasə

      Varsayılan olaraq, OpenVPN müştəri aktiv olduqda, OpenVPN server saytından yalnız şəbəkə trafiki VPN-dən keçəcək. Məsələn, ümumi veb gəzintisi, VPN-ni keçən birbaşa əlaqələri ilə yerinə yetiriləcəkdir.

      Müəyyən hallarda bu davranış arzuolunmaz ola bilməz – VPN-nin bütün şəbəkə trafikini VPN vasitəsilə, o cümlədən ümumi internet veb gəzintisi də daxil etmək istəyə bilərsiniz. Bu tip VPN konfiqurasiyası müştəri üzərində bir performans cərimə olunarsa da, müştəri eyni zamanda həmin vaxtda həm də VPN-ə eyni anda VPN-in təhlükəsizlik siyasətinə daha çox nəzarət edir.

      İcra

      Server konfiqurasiya sənədinə aşağıdakı təlimatı əlavə edin:

      "Yönləndirmə-Gateway Def1" düyməsini basın

      VPN quraşdırma, bütün müştərilərin və serverin eyni simsiz alt şəbəkədəki olduğu bir simsiz şəbəkə üzərindədirsə, əlavə edin yerli bayraq:

      "Yönləndirmə-şlüzə yerli def1" düyməsini basın

      İtələmək yönləndirmə qapısı Müştərilər üçün seçim, müştəri maşınlarında ən yaxşı IP şəbəkə trafikinə səbəb olacaq, OpenVPN serverindən keçmək üçün. Server bu trafiklə bir şəkildə internetə nating və ya server saytının http proxy vasitəsilə yönləndirərək bu trafiklə məşğul olmaq üçün konfiqurasiya edilməlidir.

      Linux-da, bu, VPN müştəri trafikinə bu kimi bir əmr istifadə edə bilərsiniz:

      iTtables -T Nat -A PostRouting -s 10.Əqrəb.0.0/24 - Eth0 -j Masquerade

      Bu əmr VPN alt şəbəkəsinin olduğunu güman edir Əqrəb.Əqrəb.0.0/24 (götürülmüşdür) server Openvpn server konfiqurasiyasında göstəriş) və yerli Ethernet interfeysi eth0.

      Nə vaxt yönləndirmə qapısı istifadə olunur, OpenVPN müştəriləri VPN vasitəsilə DNS sorğularını marşrutlaşdıracaq və VPN serverləri onları idarə edəcəkdir. Bu, VPN-in aktiv olduğu müddət ərzində normal DNS server parametrlərini əvəz edəcək müştəriləri birləşdirən müştəriləri birləşdirərək bir DNS server adresini itələməklə yerinə yetirilə bilər. Misal üçün:

      "DHCP-Seçim DNS 10 düyməsini basın.Əqrəb.0.1 "

      10 istifadə etmək üçün Windows müştərilərini (və ya Windows olmayan müştəriləri bir sıra əlavə skriptlə konfiqurasiya edəcək).Əqrəb.0.1 DNS serveri kimi. Müştərilərdən əldə olunan hər hansı bir ünvan DNS server ünvanı kimi istifadə edilə bilər.

      Caveats

      VPN vasitəsilə bütün şəbəkə trafikini yönləndirmək tamamilə problemsiz bir təklif deyil. Budur, bəzi tipik gotchas xəbərdar olmaq üçün:

      • İnternetə qoşulan bir çox OpenVPN müştəri maşınları, IP ünvanı icarələrini yeniləmək üçün vaxtaşırı DHCP serveri ilə qarşılıqlı əlaqə quracaqlar. Bu yönləndirmə qapısı Seçim müştərinin yerli DHCP serverinə çatmasına mane ola bilər (çünki DHCP mesajları VPN üzərindən yönləndiriləcək), IP ünvanı icarəsini itirməsinə səbəb olur.
      • DNS ünvanlarını Windows müştərilərinə itələmək ilə bağlı problemlər mövcuddur.
      • Müştəridə veb baxış performansı nəzərəçarpacaq dərəcədə yavaş olacaq.

      Mexanika haqqında daha çox məlumat üçün yönləndirmə qapısı Direktiv, əl səhifəsinə baxın.

      Dinamik bir IP ünvanı üzərində OpenVPN serverini idarə etmək

      OpenVPN müştəriləri heç bir xüsusi konfiqurasiya olmadan dinamik bir IP ünvanı vasitəsilə serverə asanlıqla daxil ola bilsələr də, serverin özü dinamik bir ünvanda olduqda şeylər daha maraqlı olur. OpenVPN dinamik bir serverin vəziyyətini idarə etməkdə çətinlik çəkməyəndə, bəzi əlavə konfiqurasiya tələb olunur.

      İlk addım, serverin IP ünvanı dəyişəndə ​​serveri “izləmək” üçün konfiqurasiya edilə bilən dinamik DNS ünvanı əldə etməkdir. Dyndns kimi bir neçə dinamik DNS xidmət təminatçısı mövcuddur.org.

      Növbəti addım bir mexanizmi qurmaqdır ki, hər dəfə serverin IP ünvanı dəyişdikdə, dinamik DNS adı yeni IP ünvanı ilə tez bir zamanda yeni IP ünvanı olan yeni IP ünvanı ilə tez yenilənəcəkdir. Bunu həyata keçirməyin iki əsas yolu var:

      • Dinamik DNS dəstəyi ilə bir NAT Router cihazından istifadə edin (məsələn, Linksys befsr41). Geniş mövcud olan Ucuz Nat Router cihazlarının əksəriyyəti, hər dəfə yeni bir DHCP icarəsi olan bir dinamik DNS adını yeniləmək qabiliyyətinə malikdir. OpenVPN server qutusu firewall içərisində bir nik maşın olanda bu quraşdırma idealdır.
      • Server IP ünvanı dəyişdikdə dinamik DNS ünvanı yeniləmək üçün DDClient kimi Dynamic DNS müştəri tətbiqindən istifadə edin. Bu quraşdırma, OpenVPN-i işləyən maşın birdən çox NİC-lərə sahib olduqda və sayt miqyasında Firewall / Gateway kimi fəaliyyət göstərəndə idealdır. Bu qurumu həyata keçirmək üçün hər bir IP ünvanı dəyişdikdə DHCP müştəri proqramınız tərəfindən idarə ediləcək bir skript qurmalısınız. Bu skript (a) qaçmalıdır dbclientYeni IP adresinizin dinamik DNS təminatçılığını xəbərdar etmək və (b) OpenVPN server demonunu yenidən başladın.

      Openvpn müştəri, müştəri konfiqurasiyası a istifadə edərsə, serverin IP ünvanı dəyişdikdə, serverin IP ünvanı dəyişdikdə mənada hiss edəcəkdir ucqar Dinamik DNS adını istinad edən təlimat. Adi hadisələr zənciri budur ki ucqar Yeni IP adresində müştəriyə serverə yenidən qoşulmasına imkan verən yenidən həll ediləcək direktiv.

      Daha çox məlumat FAQ-da tapa bilərsiniz.

      Bir HTTP proxy vasitəsilə OpenVPN serverinə qoşulma.

      OpenVPN, aşağıdakı identifikasiya rejimi ilə bir http proxy vasitəsilə əlaqələri dəstəkləyir:

      • Proxy identifikasiyası yoxdur
      • Əsas proxy identifikasiyası
      • Ntlm proxy identifikasiyası

      Əvvəla, HTTP proxy istifadəsi TCP-ni tunel daşıyıcısı protokolu kimi istifadə etməyinizi tələb edir. Beləliklə, həm müştəri, həm də server konfiqurasiyasına aşağıdakıları əlavə edin:

      Proto TCP

      Hər hansı birindən əmin olun Proto UDP Konfiqurasiya sənədlərində xətlər silinir.

      Sonra əlavə edin http-proxy Müştəri konfiqurasiya sənədinə göstəriş (bu direktivin tam təsviri üçün əl səhifəsinə baxın).

      Məsələn, müştəri LAN-da HTTP proxy serveriniz olduğunu düşünün 192.168.4-ə.1, portda əlaqələri dinləyən 1080. Bunu müştəri konfiquruma əlavə edin:

      http-proxy 192.168.4-ə.1 1080

      Tutaq ki, http proxy əsas identifikasiya tələb edir:

      http-proxy 192.168.4-ə.1 1080 stdin əsas

      Tutaq ki, HTTP proxy NTLM identifikasiyası tələb edir:

      http-proxy 192.168.4-ə.1 1080 stdin ntlm

      Yuxarıda göstərilən iki identifikasiya nümunəsi OpenVPN-in standart girişdən istifadəçi adı / şifrəsini istəməyə səbəb olacaqdır. Bunun əvəzinə bu etimadnaməsini bir faylda yerləşdirmək istəsəniz, dəyişdirin stdin Bir fayl adı ilə və istifadəçi adını bu faylın 1-ci sətirində və parolun 2-ci sətirində yerləşdirin.

      OpenVPN üzərindən bir Samba paylaşımına qoşulur

      Bu nümunə, OpenVPN müştərilərin bir samba paylaşmasına necə qoşula biləcəyini nəzərdə tutur dev tun tunel. Ethernet körpüsünüzdürsə (dev tap), yəqin ki, bu təlimatları izləmək lazım deyil, çünki OpenVPN müştəriləri şəbəkə qonşuluqlarında server yan maşınları görməlidirlər.

      Bu nümunə üçün güman edəcəyik:

      • Server tərəfi Lan bir alt şəbəkə istifadə edir Əqrəb.66.0.0/24,
      • VPN IP ünvanı hovuzu istifadə edir Əqrəb.Əqrəb.0.0/24 (içində göstərildiyi kimi) server Openvpn Server konfiqurasiya sənədində göstəriş),
      • Samba serverində bir IP ünvanı var Əqrəb.66.0.4-ə, və
      • Samba Server artıq konfiqurasiya edilmişdir və yerli LAN-dan əldə edilir.

      Samba və OpenVPN serverləri müxtəlif maşınlarda işləyirsə, əlavə maşınlar daxil etmək üçün VPN-in həcmini genişləndirmək bölməsində izlədiyinizə əmin olun.

      Sonra, Samba Konfiqurasiya sənədinizi düzəldin (smb.conf). Əmin olun ev sahibi icazə verir Direktiv OpenVPN müştərilərinə gələn müştərilərə icazə verəcəkdir Əqrəb.Əqrəb.0.0/24 qoşulmaq üçün alt şəbəkə. Misal üçün:

      Hostlar icazə = 10.66.0.0/24 10.Əqrəb.0.0/24 127.0.0.1

      Samba və OpenVPN serverlərini eyni maşında işlədirsinizsə, redaktə etmək istəyə bilərsiniz interfeyslər Direktivdə smb.conf Fayl həm də Tun interfeysi alt şəbəkəsində qulaq asmaq üçün Əqrəb.Əqrəb.0.0/24:

      İnterfeyslər = 10.66.0.0/24 10.Əqrəb.0.0/24

      Eyni maşındakı Samba və OpenVPN serverlərini işə salırsınızsa, OpenVPN müştərisindən qovluq adı istifadə edərək bir Samba Paylaşmasına qoşulun:

      \\ 10.Əqrəb.0.1 \\ Sharename

      Samba və OpenVPN serverləri fərqli maşınlarda olarsa, qovluq adından istifadə edin:

      \\ 10.66.0.4 \ Sharename

      Məsələn, bir əmr təklifi pəncərəsindən:

      Xalis istifadə Z: \\ 10.66.0.4 \ Sharename / İstifadəçi: myUsername

      Yük balanslaşdıran / uğursuzluq konfiqurasiyasını həyata keçirmək

      Müştəri

      OpenVPN müştəri konfiqurasiyası yük balansı və uğursuzluq üçün birdən çox serverə müraciət edə bilər. Misal üçün:

      Uzaqdan Server1.mydomain uzaq server2.mydomain uzaq server3.mimdom

      OpenVPN müştərisini Server1, Server2 və Server3 ilə əlaqə qurmağa cəhd etmək üçün birləşdirəcək. Mövcud bir əlaqə pozulubsa, OpenVPN müştəri ən son qoşulmuş serverə yenidən cəhd edəcək və bu uğursuz olarsa, siyahıdakı növbəti serverə keçəcəkdir. Müştəri yükünün server hovuzu boyunca yayılması üçün server siyahısını yenidən başlanğıcda təsadüfi olaraq göndərə bilərsiniz.

      uzaqdan-təsadüfi

      DNS-nin qətnaməsinin uğursuzluğunu, OpenVPN müştərisinin siyahısındakı növbəti serverə keçməsinə səbəb olmasını istəsəniz, aşağıdakıları əlavə edin:

      READV-REGRY 60

      Bu 60 Parametr OpenVPN müştərisinə hər birini həll etməyə çalışacağını söyləyir ucqar DNS adı siyahıdakı növbəti serverə keçməzdən əvvəl 60 saniyə.

      Server siyahısı, eyni maşında işləyən bir çox Openvpn server Daemon-a, hər biri fərqli bir limanda əlaqələri dinləmək üçün, məsələn:

      Uzaqdan SMP-Server1.mydomain 8000 uzaq smp-server1.mydomain 8001 uzaq smp-server2.mydomain 8000 Uzaqdan SMP-Server2.mydomain 8001

      Serverləriniz çox prosessor maşınlardırsa, hər bir serverdə birdən çox OpenVPN Daemon işləyən bir performans nöqtəsindən faydalı ola bilər.

      OpenVPN də dəstəkləyir ucqar Birdən çox olan bir DNS adına istinad edən təlimat Bir Domen üçün zonanın konfiqurasiyasında qeydlər. Bu vəziyyətdə, OpenVPN müştəri təsadüfi birini seçəcəkdir Bir Domen həll edildiyi hər dəfə qeydlər.

      Server

      Serverdəki yük balanslı / uğursuzluq konfiqurasiyasına ən sadə yanaşma, hər bir server üçün fərqli bir virtual IP ünvanı hovuzundan istifadə etmək istisna olmaqla, çoxluqdakı hər bir serverdə ekvivalent konfiqurasiya sənədlərindən istifadə etməkdir. Misal üçün:

      server1

      Server 10.Əqrəb.0.0 255.255.255.0

      server2

      Server 10.Əqrəb.1.0 255.255.255.0

      server3

      Server 10.Əqrəb.2-ci.0 255.255.255.0

      Openvpn təhlükəsizliyini sərtləşdirmək

      Şəbəkə təhlükəsizliyinin tez-tez təkrarlanan maksimaslarından biri, heç vaxt bu qədər etibarlı bir komponentdə bu qədər inamı heç vaxt bu qədər etibarlı yerləşdirməməsi, uğursuzluğunun bir fəlakətli təhlükəsizlik pozmasına səbəb olmasına səbəb olmamasıdır. OpenVPN belə bir nəticəyə qarşı hedcinq üçün əlavə təhlükəsizlik təbəqələri əlavə etmək üçün bir neçə mexanizm təqdim edir.

      tls-auth

      Bu tls-auth Direktiv, bütövlük yoxlanılması üçün bütün SSL / TLS əl sıxma paketlərinə əlavə bir HMAC imzası əlavə edir. Düzgün HMAC imzası olmayan hər hansı bir UDP paketi sonrakı emal etmədən atıla bilər. Bu tls-auth HMAC İmza, SSL / TLS tərəfindən təqdim olunan və xaricində əlavə bir təhlükəsizlik səviyyəsini təmin edir. Qoruna bilər:

      • Openvpn UDP portunda DOS hücumları və ya liman daşqınları.
      • UDP portlarının hansı server limanlarının dinləmə vəziyyətində olduğunu müəyyən etmək üçün port tarama.
      • Bufer SSL / TLS tətbiqində zəifliklər.
      • SSL / TLS icazəsiz maşınlardan tutma təşəbbüsləri (bu cür əl sıxma halında identifikasiya edilməsə də), tls-auth onları daha əvvəl bir nöqtədə kəsə bilər).

      İstifadə tls-auth Standart RSA Sertifikatı / Açarına əlavə olaraq istifadə olunan bir paylaşılan gizli bir açar yaratmağınız tələb olunur:

      openvpn --gney --secret ta.key

      Bu əmr OpenVPN statik açarı yaradacaq və faylı yazacaq ta.key. Bu açar, serverə və bütün müştəri maşınlarına əvvəlcədən mövcud olan etibarlı bir kanal üzərində kopyalanmalıdır. Bu RSA ilə eyni qovluqda yerləşdirilə bilər .key.crt fayl.

      Server konfiqurasiyasında əlavə edin:

      TLS-AUTH TA.Açar 0

      Müştəri konfiqurasiyasında əlavə edin:

      TLS-AUTH TA.Açar 1

      Proto UDP

      OpenVPN, ya TCP və ya UDP protokolunun VPN daşıyıcısı kimi istifadə edilməsinə imkan verərkən, UDP protokolu, TCP-dən daha çox DOS hücumlarına və port tarama qarşı daha yaxşı qorunmasını təmin edəcəkdir:

      Proto UDP

      İstifadəçi / Qrup (yalnız Windows olmayan)

      OpenVPN, kök imtiyazlarının başlanğıcdan sonra atılmasına icazə vermək üçün çox diqqətlə hazırlanmışdır və bu xüsusiyyət həmişə Linux / BSD / Solarisdə istifadə edilməlidir. Kök imtiyazları olmadan, qaçan OpenVPN Server daemon, təcavüzkar üçün daha az cazibədar hədəf təmin edir.

      istifadəçi heç kim qrupu heç kim

      Təxminən rejim (Linux yalnız)

      Linux OpenVPN-də tamamilə tamamilə başlanıla bilər. Bu konfiqurasiya bir az daha mürəkkəbdir, lakin ən yaxşı təhlükəsizlik təmin edir.

      Bu konfiqurasiya ilə işləmək üçün, OpenVPN iProute interfeysindən istifadə etmək üçün konfiqurasiya edilməlidir, bu, skriptini konfiqurasiya etmək üçün – hazırlaya bilən-iProute2-ni təyin etməklə aparılır. Sudo paketi də sisteminizdə də mövcud olmalıdır.

      Bu konfiqurasiya, bir Tun cihazının icazəsini dəyişdirmək üçün Linux qabiliyyətindən istifadə edir, buna görə də bu açıq istifadəçi daxil ola bilər. İnterfeys xüsusiyyətləri və marşrutlaşdırma cədvəli dəyişdirilə bilməsi üçün iProute’nin icrası üçün sudo da istifadə edir.

        • Aşağıdakı skript yazın və onu yerləşdirin: / usr / yerli / sbin / IPSIP-IP:
        Əqrəb!/ bin / sh sudo / sbin / ip $ * 
          • VisuDo icra edin və istifadəçiyə ‘istifadəçi1’ icazə vermək üçün aşağıdakıları əlavə edin / SBIN / IP
          İstifadəçi1 hamısı = (hamısı) nopasswd: / sbin / ip
              Ayrıca aşağıdakı əmri olan bir qrup istifadəçi aktivləşdirə bilərsiniz:
            İstifadəçilər hamısı = (hamısı) nopasswd: / sbin / ip
              • OpenVPN konfiqurasiyanıza aşağıdakıları əlavə edin:
              Dev Tunx / Tapx Iproute / USR / Yerli / SBIN / IPSIP-IP
                • Diqqət yetirin ki, daimi X seçməlisiniz və hər ikisini də göstərin və ya vurun.
                • Kök davamlı interfeys əlavə etmək və istifadəçi və / və ya qrupun onu idarə etməsinə icazə verdikcə, aşağıdakılar yaradır və istifadəçi1 və qrup istifadəçilərinə daxil olmağa icazə verin.
                openvpn --mktun --dev tunx --type tun --user istifadəçi1 - qrup istifadəçiləri
                • Açıq istifadəçi kontekstində OpenVPN-i işə salın.

                Parametrləri / STREP / SBIN / IPSIP-IP skriptində parametrləri araşdıraraq əlavə təhlükəsizlik məhdudiyyətləri əlavə edilə bilər.

                Chroot (yalnız olmayan pəncərələr)

                Bu chroot Directive, OpenVPN daemonu qondarma halına gətirməyə imkan verir chroot həbsxanası, Daemonun direktivə bir parametr olaraq verilən xüsusi qovluq istisna olmaqla, Daemon Host Sisteminin FileSystem-in istənilən hissəsinə daxil ola bilməyəcəyi yerlərdə. Misal üçün,

                chroot həbsxanası

                Openvpn daemonun CD-yə səbəb olardı qundaq başlatma alt bölmə və sonra kök fayl sistemini bu qovluğa bu qovluğa ləğv edər ki, bundan sonrakı hər hansı bir fayldan bundan sonra daime üçün mümkün olmayacaqdır qundaq və alt çəki ağacı. Bu, bir təhlükəsizlik baxımından vacibdir, çünki bir təcavüzkar bir kod qoyma istismarı ilə serverə güzəştə gedə bilsə də, istismar Serverin fayl sisteminin əksəriyyətində kilidlənəcəkdir.

                Caveats: Çünki chroot FileSystem-i roloristlər (yalnız demonun perspektivindən), OpenVPN-in başlanğıcından sonra lazım ola biləcəyi hər hansı bir fayl yerləşdirmək lazımdır qundaq Kataloq, məsələn:

                • bu crl-doğrulayın fayl, və ya
                • bu müştəri-konfiqrasiya-dir qovluq.

                Daha böyük RSA düymələri

                RSA açar ölçüsü tərəfindən idarə olunur KEY_Size Dəyişən Easy-RSA / VARS Hər hansı bir düymənin yaradılmasından əvvəl təyin edilməli olan fayl. Hal-hazırda 1024-ə təyin olundu, bu dəyər, birazdan bir dəfə bir müştəri başında biraz yavaş-yavaş bir dəfə və daha yavaş birdəfəlik fərqlənən bir az yavaş SSL / TLS Yenidənqorma əl sıxması istisna olmaqla, bu dəyər 2048-ci ilə qədər mənfi təsir göstərə bilər Hellman Parametrlər Nəsil Prosesi istifadə edir Easy-RSA / Build-DH ssenari.

                Daha böyük simmetrik düymələr

                Varsayılan şəkildə OpenVPN istifadə edir Baltalandırmaq, 128 bit simmetrik bir şifrə.

                OpenVPN, OpenSSL kitabxanası tərəfindən dəstəklənən hər hansı bir şifrəni avtomatik olaraq dəstəkləyir və bu qədər böyük açar ölçülərdən istifadə edən şifrələrə dəstək ola bilər. Məsələn, AES-in 256 bitli versiyası (Advanced Encryption Standard), həm server, həm də müştəri konfiqurasiya sənədlərinə əlavə etməklə istifadə edilə bilər:

                CIPHER AES-256-CBC

                Kök açarını saxla (ca.key) Şəbəkə bağlantısı olmadan bağımsız bir maşında

                Bir X509 PKI-ni (Openvpn kimi) istifadə etməyin təhlükəsizlik faydalarından biri kök ca açarıdır (ca.key) Openvpn server maşınında mövcud olmamalıdır. Yüksək təhlükəsizlik mühitində, əsas imza məqsədləri üçün bir maşın təyin etmək, maşın saxlamaq fiziki olaraq qorunan və bütün şəbəkələrdən ayırın. Disket diskləri zəruri hallarda arxa və irəli əsas faylları geri və irəli hərəkət etmək üçün istifadə edilə bilər. Bu cür tədbirlər təcavüzkarın kök açarını oğurlaması, əsas imza dəzgahının fiziki oğurluğu qarşısını almaq üçün çox çətinləşdirir.

                Sertifikatları ləğv etmək

                Sertifikatını ləğv etmək əvvəllər imzalanmış bir sertifikatı etibarsız etmək deməkdir ki, artıq identifikasiya məqsədləri üçün istifadə edilə bilməz.

                Sertifikatı ləğv etmək istəməyin tipik səbəbləri bunlardır:

                • Sertifikatla əlaqəli xüsusi açar pozulmuş və ya oğurlanmışdır.
                • Şifrəli bir şəxsi açarın istifadəçisi açardakı şifrəni unutdurur.
                • Bir VPN istifadəçisinin girişini ləğv etmək istəyirsiniz.

                Misal

                Nümunə olaraq, yenidən çevriləcəyik müştəri2 Howto’nun “Əsas nəsil” bölməsində yuxarıda yaratdığımız sertifikat.

                Əvvəlcə bir qabıq və ya əmr təklifi pəncərəsi və CD Asan Rsa Yuxarıdakı “Əsas nəsil” bölməsində olduğu kimi kataloq. Linux / BSD / UNIX-də:

                . ./ vars ./ ləğv-tam müştəri2 
                Vars Insole-Full Client22 

                Buna bənzər çıxışı görməlisiniz:

                Konfiqurasiya / Kök / OpenVPN / 20 / OpenVPN / TMP / Asan RSA / Openssl.CNF Debug [load_index]: Uniquar_subject = "bəli" ləğv sertifikatı 04. Məlumat bazası / Kök / OpenVPN / 20 / OpenVPN / TMP / Asan RSA / Openssl-dən konfiqurasiya istifadə edərək yeniləndi.CNF Debug [Load_index]: Uniquar_Subject = "Bəli" müştəri2.CRT: / C = KG / ST = NA / O = OpenVPN-Test / Cn = CLIENT2 / EMMANDDRESS = ME @ myHost.Mydomain Error 23-də 0 Dərinlik Axtarışı: Sertifikat ləğv edildi

                Son sətirdə “Xəta 23” ni qeyd edin. Görmək istədiyiniz budur, çünki ləğv edilmiş sertifikatın sertifikatının yoxlanılmasının uğursuz olduğunu göstərir.

                Bu ləğv etmək Skript adlı bir CRL (sertifikat ləğvi siyahısı) faylı yaradacaqdır cır.pem içində düyməalt. Fayl OpenVPN serverin ona daxil ola biləcəyi bir qovluğa kopyalanmalı, sonra CRL yoxlaması server konfiqurasiyasında aktiv olmalıdır:

                Crl-Verify Crl.pem

                İndi bütün birləşdirən müştərilər müştəri sertifikatlarını CRL-ə qarşı təsdiqləyəcək və hər hansı bir müsbət matçın bağlanması ilə nəticələnəcək.

                CRL qeydləri

                • Nə vaxt crl-doğrulayın Seçim OpenVPN-də istifadə olunur, CRL faylı yeni bir müştəri qoşulur və ya mövcud bir müştəri bağlanır və ya SSL / TLS bağlantısı (saatı bir dəfə standart olaraq). Bu o deməkdir ki, OpenVPN server demonu işləyərkən CRL faylını yeniləyə bilərsiniz və yeni birləşdirən müştərilər üçün yeni CRL-in dərhal qüvvəyə minməsi. Sertifikatınızın ləğv olunduğu müştəri artıq qoşulsa, bir siqnal (Sigusr1 və ya Sighup) və ya bütün müştəriləri çırpınır və ya idarəetmə interfavean, Narahat olmadan Serverdə konkret müştəri instansiya obyektini açıq şəkildə öldürə bilərsiniz Digər müştərilər.
                • İsə crl-doğrulayın Direktiv həm OpenVPN serverində, həm də müştərilərdə istifadə edilə bilər, bir server sertifikatı ləğv edilməyincə, CRL faylını müştərilərə paylamaq ümumiyyətlə lazımsızdır. Müştərilərin ləğv edilmiş digər müştəri sertifikatları haqqında bilməməli olduqları üçün müştərilər digər müştərilərin digər müştərilərindən birbaşa əlaqələri qəbul etməməlidirlər.
                • CRL faylı sirr deyil və openvpn daemonun kök imtiyazları atıldıqdan sonra oxuya bilməsi üçün dünyaya oxunması üçün edilməlidir.
                • Istifadə edirsinizsə chrootDirektiv, CRL faylının bir nüsxəsini Chrout qovluğunda qoyduğundan əmin olun, openvpn Openvpn-in əksər digər sənədlərindən fərqli olaraq, CRL faylı əvvəllər deyil, əvvəl deyil, CRL faylı icra edildikdən sonra oxunacaqdır.
                • Sertifikatların ləğv edilməsi lazım olan ümumi bir səbəb, istifadəçi özəl açarlarını şifrə ilə şifrələməsi, sonra şifrəni unutmasıdır. Orijinal sertifikatı ləğv etməklə istifadəçinin orijinal adi adı ilə yeni bir sertifikat / açar cütlük yaratmaq mümkündür.

                Müştərilərə qoşulduqları server sertifikatını yoxlamasa, mümkün “man-in-orta” hücumu barədə vacib qeyd.

                Sertifikatlı bir müştəri, serveri təqlid edərək başqa bir müştəriyə qoşulduğu orta hücumun qarşısını almaq üçün müştərilər tərəfindən müəyyən bir server sertifikatını təsdiqləməyinizə əmin olun. Hazırda bu, üstünlük qaydasında sadalanan beş fərqli yol var:

                  [Openvpn 2.1 və yuxarı]Server sertifikatlarınızı xüsusi açar istifadəsi və genişləndirilmiş açar istifadəsi ilə qurun. RFC3280, TLS bağlantıları üçün aşağıdakı xüsusiyyətlərin təmin edilməli olduğunu müəyyənləşdirir:

                  Rejissor Açar istifadə Genişləndirilmiş Açar İstifadə
                  Müştəri rəqəmsal TLS veb müştəri identifikasiyası
                  keygeriya
                  DigiTalsignature, Düyününkü
                  Server Digitalalsignature, Keyenciperment TLS veb server identifikasiyası
                  DigiTalsignature, Düyününkü

                  Server sertifikatlarınızı qura bilərsiniz Quraşdırma-KEY-Server skript (daha çox məlumat üçün asan rsadokultasiyaya baxın). Bu, sertifikatı düzgün atributları təyin etməklə yalnız bir sertifikat kimi təyin edəcəkdir. İndi müştəri konfiqurasiyasına aşağıdakı sətri əlavə edin:

                Remote-CERT-TLS Server
                NS-CERT-TYPER SERVERİ

                Setupvpn

                Hökumətiniz, məktəb və ya şirkətin yalnız bir kliklə bloklandığı hər hansı bir veb saytı bypass. Setupvpn sınırsız bant genişliyi ilə gəlir və hər kəs üçün tamamilə pulsuzdur!

                İctimai WiFi Hotspots, Şirkət şəbəkəsi və ya məktəb şəbəkəsindən istifadə edərkən brauzerinizi hərbi dərəcəli şifrələmə ilə təmin edin. Setupvpn yüksək dərəcəli Wi-Fi Təhlükəsizlik və Onlayn Məxfilik təklif edir.

                Dünyanın hər yerində 100-dən çox server ilə SetupVPN, ölkənizdə və ya məktəbinizdə olmayan hər hansı bir məzmuna daxil olmağa imkan verir. Sadəcə yerinizi dəyişdirin, əlaqənizi şifrələyin və IP ünvanınızı dəyişdirin.

                Texniki bilik tələb olunmur. Sadəcə uzantı yükləyin, bir hesab yaradın və edin! Onlayn izləyicilərə qarşı yerinizi dəyişdirin. Şəxsi məlumatlarınızı toplamaqdan veb saytların qarşısını al.

                Bir vpn server qurmağın ən asan yolu setupvpn!

                Setupvpn ilə gəlir:
                – Limitsiz və 100% pulsuz VPN Server
                – Heç bir bant genişliyi və ya sürət məhdudiyyəti yoxdur
                – 4096 bit hərbi sinif şifrələməsi

                Yenilənib
                № 18, 2023

                Məlumat təhlükəsizliyi

                arrow_forward

                Təhlükəsizlik, İnkişaf etdiricilərin məlumatlarınızı necə toplayıb paylaşdığını anlamaqdan başlayır. Məlumatların məxfiliyi və təhlükəsizlik təcrübələri istifadəniz, bölgəniz və yaşınıza görə dəyişə bilər. Geliştirici bu məlumatı təmin etdi və zamanla yeniləyə bilər.

                2023-cü ildə bir iPhone-da bir vpn qurmaq olar

                FacebookLinkedinTwitterE-poçt

                FacebookLinkedinTwitterE-poçt

                Virtual Şəxsi Şəbəkə (VPN) geolokasiyanızı gizlədən və onlayn olduğunuz zaman məxfiliyinizi qoruyan bir vasitədir. Bu, ev şəbəkənizdən VPN Provayderi serverinə şifrəli bir tunel yaratmaqla edir.

                İnternet planı satın aldığınız zaman İnternet Xidməti Provayderi (ISP) avadanlıqlarınıza (Router və Modem kimi) İnternet protokolu (IP) ünvanı verir. IP adresiniz, məlumatların haradan gəldiyini və haradan göndəriləcəyini bildiyiniz bir veb saytına icazə verməklə daha geniş internetlə ünsiyyət qurmağa kömək edir.

                Başqa sözlə, IP ünvanı onlayn şirkətləriniz harada olduğunuzu bilməyə imkan verir. Əksər onlayn müəssisələrin əksəriyyəti, məlumatların təhlili üçün IP ünvanlarını saxlayır, lakin kibercriminals, fəaliyyətinizi onlayn izləmək, şəxsi məlumatlarınızı oğurlamaq və aldatmacalar üçün hədəf almaq üçün IP-dən istifadə edə bilər.

                Bir VPN, özünüzdən fərqli bir IP ilə bir server ünvanı vasitəsilə internetinizi yenidən nəzərdən keçirir. Bu yolla, heç kim İnternet fəaliyyətinizi sizə geri idarə edə bilməz. Şəxsi məlumatlarınızı qorumaq üçün bir VPN də internet məlumatlarınızı şifrləyir.

                Vpns yalnız masaüstü kompüterlər üçün deyil, baxmayaraq ki. Hər cür cihaz – iPad-dən ağıllı televizorlara qədər – VPN bağlantısından faydalana bilər . Əgər maliyyənizi idarə edən və ya bir mobil cihazdan istifadə edərək onlayn işləyən bir insanın növüdürsə, özünüzü qorumaq üçün bir vpn almaq ağıllıdır.

                Bu məqalə, iPhone’unuzda bir vpn seçib qurmağı sizə göstərəcəkdir .

                Niyə bir vpn istifadə edin?

                McAfee Safe Connect VPN kimi bir VPN olan bir VPN əldə edə biləcək əsas yollardan bir neçəsi:

                • Bir VPN, iş intranetinizə uzaqdan daxil olmağa kömək edə bilər. İntranet, daha böyük internetə qoşulmayan internetin kiçik bir alt hissəsidir. Müəssisələr İntranets istifadə edirlər – şirkətlər mühüm daxili sənədləri saxlaya bilər – işçilərinə şirkət iş alətlərinə sürətli çıxışı və ünsiyyəti yaxşılaşdırmaq.
                • Bir VPN, şəxsi məlumatlarınızı və hərəkətlərinizi kiber cinayətlərdən və hərəkətlərinizi gizlətmək üçün bank qiymət şifrələməsindən istifadə edir vəReklamçılar. Bu, alış-veriş etmək imkanı verir və digər hər şeyi onlayn olaraq, bir ictimai Wi-Fi şəbəkəsi istifadə etsəniz də, məlumatınızı oğurlamağınızdan narahat olmayaraq .
                • Bir VPN gəzintinizi gizli saxlaya bilər. Bu, IP adresinizi gizlətməklə bunu edir, buna görə də fiziki yeriniz, bank məlumatlarınız və kredit kartı məlumatlarınızı onlayn sörf edərkən qorunur.

                A seçmək necə Vpn provaydalı

                Sizin üçün ən yaxşı VPN vəziyyətinizdən və onlayn etmək üçün nə planlaşdırdığınızdan asılıdır.

                Bütün cihazlarınıza uyğun bir VPN lazımdır. Bir çox VPN, Windows, Android, Macos, Linux və iOS ilə işləyir . Ancaq bütün VPNS hər əməliyyat sisteminə uyğun deyil. Məsələn, bir iPhone varsa, ancaq evinizdə başqası bir Android var, Apple App Store və Google Play Store-da bir tətbiqə bir provayder seçmək vacibdir.

                Hansı xüsusiyyətlərə ehtiyacınız olduğunu düşünün:

                • Səyahət edəcəksən? Əgər belədirsə, getdiyiniz server məkanları olan bir VPN alın.
                • Bir çox cihazı olan böyük bir ailəniz varmı?? Sonra, bir marşrutlaşdırıcı – VPN yaxşı bir seçim ola bilər.
                • Film filmləri kimi şeylər üçün VPN-dən istifadə edəcəksinizNetflixvə oyun? Çox sürət və bant genişliyi olan bir VPN istəyəcəksiniz.

                VPN xidməti seçərkən diqqətli olun. Bəzi pulsuz VPN xidmətləri yenə də reklam agentliklərinə məlumat verməklə keçəcəkdir. Əgər onlayn məxfilik sizin əsas məqsədinizdirsə, İnternet fəaliyyətinizin qeydlərini saxlamayan və ya məlumatlarınız boyunca ötürüləməyən bir VPN-i tapmaq istəyəcəksiniz.

                VPN protokolları da vacibdir və onlar sürət və təhlükəsizlik baxımından fərqlənir. Məsələn, nöqtə-nöqtə tunelləri protokolu (pptp) sürətli bir protokoldur, ancaq Openvpn və ya Wireguard kimi digər protokollar kimi etibarlı deyil. Bəzi VPN təminatçıları sizə birdən çox protokol istifadə etməyə imkan verəcəkdir.

                Nəhayət, istifadə etmək asan olan bir VPN axtarın. Bəzi VPNS, onlardan daha asan istifadə edən virtual quraşdırma və intuitiv interfeys kimi rahat xüsusiyyətlərə malikdir. Bəzi provayderlər hətta sizə vermədən əvvəl VPN-ni sınamaq üçün pulsuz sınaq verəcəkdir. VPN şəbəkənizin də probleminiz varsa sizə kömək etmək üçün etibarlı bir dəstək qrupunuz olduğundan əmin olun.

                Bir VPN-ni necə qurmaq olar iPhone

                Növbəti bir neçə hissədə iPhone’unuzda VPN quraşdırma necə tamamlanacağını göstərəcəyik.

                Quraşdırmaq ios APP APP Vpn provaydalı

                IPhone-da Apple App Store-a gedin və seçdiyiniz VPN provayderi üçün bir tətbiq tapın. Tətbiqi telefonunuzda quraşdırmağı və ya “Quraşdırın” və ya “quraşdırın” və ya iki dəfə yoxlayın.

                Üzərində bir hesab yaradın Vpn tətbiqi

                VPN tətbiqini açın . VPN təminatçısı ilə bir hesab yaradın . Xidmət üçün qeydiyyatdan keçin.

                Açıq-saçıq iPhone Parametrlər və VPN-ə qoşulun

                Hesabınızı telefonunuzun VPN parametrlərində dəyişdirmək və VPN-ə aktivləşdirmək üçün hesabınızı yaratdıqdan sonra parolunuzu daxil etməlisiniz.

                Bir iş və ya məktəbdə özəl bir şəbəkəyə daxil olmaq lazımdırsa VPN-ni əl ilə konfiqurasiya etməlisiniz. Bir VPN-in iPhone-da işləməsini əl ilə necə aktivləşdirmək olar:

                1. IPhone’unuzun ana ekranında “Parametrlər” tətbiqinə vurun .
                2. Seçim “general.”
                3. “VPN” düyməsini basın.”
                4. “VPN konfiqurasiyasını əlavə edin .”
                5. “Növ” düyməsini basın və istifadə etdiyiniz VPN protokolunun növünü seçin. Bu ikev2, ipsec və ya l2tp ola bilər .
                6. Təsvir, uzaq id və vpn üçün bir server daxil edin.
                7. İstifadəçi adınızı və şifrənizi yazın.
                8. Proxy serverinizi aktivləşdirmək üçün “Manual” və ya “Auto” düyməsini basın (bir istifadə edirsinizsə).
                9. Mətbuat “Bitti.”

                VPN-dən istifadə edin iPhone

                VPN-ni iPhone Parametrlərinizdə aktivləşdirdikdən sonra, istifadə etmək istədiyiniz zaman aktivləşdirməlisiniz. VPN-ni aktiv edə biləcəyiniz budur:

                1. Telefonunuzdakı “Parametrlər” tətbiqinə gedin.
                2. General-a gedin.”
                3. Seçin “VPN.”
                4. Onu yandırmaq üçün VPN-də VT status açarına vurun.

                Batareyanızı istifadə etmədiyi üçün istifadə etmədiyiniz zaman VPN-ni söndürməyinizə əmin olun. VPN-ni provayderinizdən məhdud bir planda olsanız, VPN-ni söndürmək xüsusilə vacibdir.

                Cihazınızı mobil üçün mcafee təhlükəsizliyi ilə təhlükəsiz saxlayın

                A VPN, İnternet bağlantınızı gizli saxlamaq üçün əla bir vasitədir. IPhone-da bir VPN quraşdırdığınız zaman, şəxsi məlumatlarınızın reklam verənlər və hakerlərdən əlavə qorunma qatının olduğunu bilmədən internetdən ləzzət ala bilərsiniz .

                Bir Android və ya bir iOS cihazından istifadə etsəniz, mcafee təhlükəsizliyinizə kömək edə bilər. Mobil üçün McAfee təhlükəsizliyi ilə, VPN və təhlükəsiz gəzinti kimi keyfiyyətli təhlükəsizlik vasitələrinə daxil ola bilərsiniz.

                Mükafat qazanan tətbiqetməmiz, istənməyən qonaqları rəqəmsal məkanınıza daxil olmağa davam edərkən rəqəmsal dünyaya etibarlı və problemsiz qoşulmağa imkan verir. Ən yaxşı həyatınızı onlayn yaşayarkən ən əhatəli təhlükəsizlik texnologiyalarından birindən həzz alın.