tun (для туннелей уровня IP) и tap (для туннелей уровня Ethernet) интерфейса поддерживаются. На практике tun используется чаще, за исключением необходимости интеграции VPN клиентов в локальную сеть сервера через Ethernet мост.
openssl.
$make-cadir pki-falcot$cd pki-falcot
vars, особенно те, что имеют в качестве приставки к словам KEY_; эти переменные затем интегрируются в в окружающую среду:
$vim vars$grep KEY_ varsexport KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA` export KEY_DIR="$EASY_RSA/keys" echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR export KEY_SIZE=2048 export KEY_EXPIRE=3650 export KEY_COUNTRY="FR" export KEY_PROVINCE="Loire" export KEY_CITY="Saint-Étienne" export KEY_ORG="Falcot Corp" export KEY_EMAIL="admin@falcot.com" export KEY_OU="Certificate authority" export KEY_NAME="Certificate authority for Falcot Corp" # If you'd like to sign all keys with the same Common Name, uncomment the KEY_CN export below # export KEY_CN="CommonName" $. ./varsЗАМЕТКА: Если вы запустите ./clean-all, я сделаю удаление rm -rf здесь - /home/roland/pki-falcot/keys $./clean-all
keys/ca.crt и keys/ca.key):
$./build-caGenerating a 2048 bit RSA private key ....................................................................+++ ...+++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Loire]: Locality Name (eg, city) [Saint-Étienne]: Organization Name (eg, company) [Falcot Corp]: Organizational Unit Name (eg, section) [Certificate authority]: Common Name (eg, your name or your server's hostname) [Falcot Corp CA]: Name [Certificate authority for Falcot Corp]: Email Address [admin@falcot.com]:
vpn.falcot.com; это имя будет использоваться в дальнейшем для создания файлов ключей (keys/vpn.falcot.com.crt - для публичного сертификата - первой половинки ключа, keys/vpn.falcot.com.key - для закрытого ключа - второй половинки):
$./build-key-server vpn.falcot.comGenerating a 2048 bit RSA private key .....................................................................................................................+++ ...........+++ writing new private key to 'vpn.falcot.com.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Loire]: Locality Name (eg, city) [Saint-Étienne]: Organization Name (eg, company) [Falcot Corp]: Organizational Unit Name (eg, section) [Certificate authority]: Common Name (eg, your name or your server's hostname) [vpn.falcot.com]: Name [Certificate authority for Falcot Corp]: Email Address [admin@falcot.com]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /home/roland/pki-falcot/openssl-1.0.0.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'FR' stateOrProvinceName :PRINTABLE:'Loire' localityName :T61STRING:'Saint-\0xFFFFFFC3\0xFFFFFF89tienne' organizationName :PRINTABLE:'Falcot Corp' organizationalUnitName:PRINTABLE:'Certificate authority' commonName :PRINTABLE:'vpn.falcot.com' name :PRINTABLE:'Certificate authority for Falcot Corp' emailAddress :IA5STRING:'admin@falcot.com' Certificate is to be certified until Mar 6 14:54:56 2025 GMT (3650 days) Sign the certificate? [y/n]:y1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entries Data Base Updated $./build-dhGenerating DH parameters, 2048 bit long safe prime, generator 2 This is going to take a long time […]
$./build-key JoeSmithGenerating a 2048 bit RSA private key ................................+++ ..............................................+++ writing new private key to 'JoeSmith.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Loire]: Locality Name (eg, city) [Saint-Étienne]: Organization Name (eg, company) [Falcot Corp]: Organizational Unit Name (eg, section) [Certificate authority]:Development unitCommon Name (eg, your name or your server's hostname) [JoeSmith]:Joe Smith[…]
keys/ca.crt) надо разместить на всех машинах (на обеих сторонах: на сервере и на клиентах) как /etc/ssl/certs/Falcot_CA.crt. Сертификат сервера устанавливают только на сервере: (keys/vpn.falcot.com.crt копируется в /etc/ssl/vpn.falcot.com.crt, и keys/vpn.falcot.com.key копируется в /etc/ssl/private/vpn.falcot.com.key с установлением ограничений, что только администратор может их читать), с соответствующими параметрами Диффи-Хелмана (keys/dh2048.pem) устанавливается в /etc/openvpn/dh2048.pem. Сертификат клиента устанавливается соответственно на клиента VPN аналогичным способом.
/etc/openvpn/*.conf. Поэтому важно, настраивая VPN сервер, располагать соответствующие файлы конфигурации в этом каталоге. Хорошей отправной точкой может быть /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz, в котором приведён довольно стандартный сервер. Конечно, некоторые опции нуждаются в уточнении: ca, cert, key и dh нужны для описания выбранного местоположения (соответственно, /etc/ssl/certs/Falcot_CA.crt, /etc/ssl/vpn.falcot.com.crt, /etc/ssl/private/vpn.falcot.com.key и /etc/openvpn/dh2048.pem). Директива server 10.8.0.0 255.255.255.0 определяет подсеть, которая будет использоваться для VPN; сервер использует первый IP адрес в этом диапазоне (10.8.0.1), а остальные адреса распределяются клиентам.
tun0. Однако, брандмауэры часто настраиваются в одно время с настройкой реальных сетевых интерфейсов, и это обычно происходит ранее, до старта OpenVPN. Поэтому, уже имеющийся хороший опыт использования связки OpenVPN+брандмауэр рекомендует создать постоянный виртуальный сетевой интерфейс, и настроить OpenVPN использовать этот интерфейс. Тогда в будущем, можно будет подобрать имя для этого интерфейса. С этой целью, openvpn --mktun --dev vpn --dev-type tun создаст виртуальный сетевой интерфейс, назвав его vpn с типом tun. Эта команда может быть быстро включена в сценарий настройки брэндмауэра, или в директиву up файла /etc/network/interfaces. Конфигурационный файл OpenVPN должен быть также обновлён соответствующим образом, с директивами dev vpn и dev-type tun.
10.8.0.1. Для предоставления клиентам доступа в локальную сеть (192.168.0.0/24), необходимо добавить директиву push route 192.168.0.0 255.255.255.0 в конфигурацию OpenVPN, тогда клиенты VPN автоматически получат уведомление о том, что сетевая маршрутизация к этой сети осуществляется через VPN. Кроме того, машины в локальной сети также должны быть информированы о том, что маршрутизация пакетов VPN должна осуществляться через сервер VPN (в случае установки сервера VPN на шлюз это происходит автоматически). И как альтернатива, сервер VPN можно настроить с возможностью использования IP masquerading (трансляция - замена одних IP на другие) таким образом, что соединения, приходящие от клиентов VPN будут появляться так, как будто они пришли с сервера VPN взамен (смотри вкладку Раздел 10.1, «Шлюз»).
/etc/openvpn/. Стандартная конфигурация, которую можно принять за основу, расположена в примерах по адресу /usr/share/doc/openvpn/examples/sample-config-files/client.conf. Директива remote vpn.falcot.com 1194 описывает адрес и порт сервера OpenVPN; ca, cert и key также нуждаются в редактировании описаний с уточнением месторасположения файлов ключей.
AUTOSTART опцию none в файле /etc/default/openvpn. Запуск и остановка данного соединения VPN всегда можно выполнить вручную командами service openvpn@name start и service openvpn@name stop (где название соединения name подходит к одному из определённых в файле /etc/openvpn/name.conf).
tun*) на обеих сторонах соединения SSH, и эти виртуальные интерфейсы можно настраивать так, как будто они являются физическими интерфейсами. Первоначально необходимо разрешить создание тунельной системы путём установки для PermitTunnel опции “yes” в конфигурационном файле сервера SSH(/etc/ssh/sshd_config). При устанавлении соединения SSH, необходимо ясно выразить желание создать тунель с опцией -w any:any (any может быть заменено на уже имеющееся в системе устройство с номером tun). Такое решение требует наличия на обеих сторонах соединения SSH у пользователя прав администратора, так как необходимо создавать сетевые устройства (другими словами, соединение должно устанавливаться администратором).
/etc/ipsec-tools.conf, содержит параметры для IPsec tunnels (или Security Associations, в терминалогии IPsec), которые касаются непосредственно его. Сценарий /etc/init.d/setkey поддерживает способ запуска или остановки процесса формирования туннеля (каждый туннель является секретной ссылкой на другой host, подсоединённый в виртуальной частной сети). Этот файл может быть написан вручную руководствуясь необходимой информацией, представленной на странице руководства setkey(8). Однако, ручное составление подробных описаний параметров для всех host-ов, с характерными только для них установками конкретным машинам, быстро становится трудной задачей, поскольку количество туннелей сильно увеличивается. Установка демона IKE (для IPsec Key Exchange), такого как racoon или strongswan, сделает процесс намного проще, поскольку всё управление будет сведено в одно место, то есть централизованно, и периодическая смена ключей будет происходить более безопасно.
/etc/ppp/options.pptp, /etc/ppp/peers/falcot, /etc/ppp/ip-up.d/falcot, и /etc/ppp/ip-down.d/falcot.
Пример 10.2. Файл /etc/ppp/options.pptp
# Параметры PPP, используемые для PPTP соединения lock noauth nobsdcomp nodeflate
Пример 10.3. Файл /etc/ppp/peers/falcot
# vpn.falcot.com -это сам сервер pty "pptp vpn.falcot.com --nolaunchpppd" # соединение идентифицирует пользователя "vpn" user vpn remotename pptp # применение шифрования необходимо require-mppe-128 file /etc/ppp/options.pptp ipparam falcot
pptpd. Её главный файл настройки /etc/pptpd.conf нуждается совсем в небольших изменениях: localip (локальный IP адрес) и remoteip (удалённый IP адрес). В нижеприведённом примере, сервер PPTP всегда использует адрес 192.168.0.199, а клиент PPTP получает адрес динамически из диапазона адресов от 192.168.0.200 до 192.168.0.250.
Пример 10.6. Файл /etc/pptpd.conf
# TAG: speed # # Specifies the speed for the PPP daemon to talk at. # speed 115200 # TAG: option # # Specifies the location of the PPP options file. # By default PPP looks in '/etc/ppp/options' # option /etc/ppp/pptpd-options # TAG: debug # # Turns on (more) debugging to syslog # # debug # TAG: localip # TAG: remoteip # # Specifies the local and remote IP address ranges. # # You can specify single IP addresses separated by commas or you can # specify ranges, or both. For example: # # 192.168.0.234,192.168.0.245-249,192.168.0.254 # # IMPORTANT RESTRICTIONS: # # 1. No spaces are permitted between commas or within addresses. # # 2. If you give more IP addresses than MAX_CONNECTIONS, it will # start at the beginning of the list and go until it gets # MAX_CONNECTIONS IPs. Others will be ignored. # # 3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238, # you must type 234-238 if you mean this. # # 4. If you give a single localIP, that's ok - all local IPs will # be set to the given one. You MUST still give at least one remote # IP for each simultaneous client. # #localip 192.168.0.234-238,192.168.0.245 #remoteip 192.168.1.234-238,192.168.1.245 #localip 10.0.1.1 #remoteip 10.0.1.2-100 localip 192.168.0.199 remoteip 192.168.0.200-250
/etc/ppp/pptpd-options. Важными параметрами являются: имя сервера (pptp), доменное имя (falcot.com), и IP адрес для DNS и WINS серверов.
Пример 10.7. Файл /etc/ppp/pptpd-options
## turn pppd syslog debugging on #debug ## change 'servername' to whatever you specify as your server name in chap-secrets name pptp ## change the domainname to your local domain domain falcot.com ## these are reasonable defaults for WinXXXX clients ## for the security related settings # The Debian pppd package now supports both MSCHAP and MPPE, so enable them # here. Please note that the kernel support for MPPE must also be present! auth require-chap require-mschap require-mschap-v2 require-mppe-128 ## Fill in your addresses ms-dns 192.168.0.1 ms-wins 192.168.0.1 ## Fill in your netmask netmask 255.255.255.0 ## some defaults nodefaultroute proxyarp lock
vpn (и соответствующий ему пароль) в файле /etc/ppp/chap-secrets. В отличие от других случаев применения символа звёздочка (*) в текстовых файлах настроек, в данном конкретном случае, в этом файле, необходимо ввести напрямую имя сервера. Кроме того, имя клиентов Windows PPTP определяется в следующем виде DOMAIN\\USER, в противовес обычному простому указанию только имя пользователя. Это объясняет почему файл также упоминает пользователей FALCOT\\vpn. Можно также определить здесь индивидуальные IP адреса для пользователей; а применение звездочки в этом поле говорит о том, что будет использоваться динамическая адресация.