تنظيم العمل عن بعد SMB على OpenVPN

صياغة المشكلة

المحتوى

1. نظام التشغيل وتثبيت برنامج التطبيق
2. إعداد التشفير
3. تكوين OpenVPN
4. المصادقة في م
5. التشغيل والتشخيص
6. إصدار وإلغاء الشهادة
7. تكوين شبكة
8. ماذا بعد

نظام التشغيل وتثبيت برنامج التطبيق

$ sudo yum update -y && reboot

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

$ sudo yum install open-vm-tools

$ sudo yum install ovirt-guest-agent

إعداد التشفير

$ cd /usr/share/easy-rsa/3/

$ sudo vim vars

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="admin@abc.ru"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

تكوين OpenVPN

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

$ sudo vim server.conf

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

• إذا تمت الإشارة إلى اسم مختلف عند إصدار الشهادة ، فقم بتحديدها ؛
• تحديد تجمع العناوين لمهامك * ؛
• يمكن أن تكون المسارات وخوادم DNS واحدة أو أكثر ؛
• آخر سطرين مطلوبان لتنفيذ المصادقة في AD **.

AD

/etc/openvpn/ldap.conf

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

• URL "ldap: //ldap.abc.ru" - عنوان وحدة تحكم المجال ؛
• BindDN “CN = bindUsr، CN = Users، DC = abc، DC = ru” - الاسم الأساسي للربط بـ LDAP (UZ - bindUsr في الحاوية abc.ru/Users) ؛
• كلمة المرور b1ndP @ SS - كلمة مرور المستخدم للربط ؛
• BaseDN "OU = allUsr، DC = abc، DC = ru" - المسار الذي يبدأ منه بحث المستخدم ؛
• BaseDN “OU = myGrp، DC = abc، DC = ru” - حاوية المجموعة المسموح بها (المجموعة myVPNUsr في الحاوية abc.ru \ myGrp) ؛
• SearchFilter "(cn = myVPNUsr)" هو اسم المجموعة التي تم حلها.

التشغيل والتشخيص

$ sudo systemctl enable openvpn@server.service
$ sudo systemctl start openvpn@server.service

systemctl status openvpn@server.service
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

إصدار وإلغاء الشهادة

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

• ضع ... وسلاسل تغيرت إلى محتويات من الشهادات.
• في جهاز التحكم عن بعد التوجيه حدد اسم / عنوان البوابة الخاصة بك ؛
• يتم استخدام التوجيه auth-user-pass للمصادقة الخارجية الإضافية.

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "\n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "\n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

chmod a+x ~/make.profile.sh

~/make.profile.sh my-first-user

ردود الفعل

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

عرض الشهادات الصادرة والمبطلة

cd /usr/share/easy-rsa/3/
cat pki/index.txt

• السطر الأول هو شهادة الخادم ؛
• الحرف الأول
  
  • V (صالح) - صالح ؛
  • R (مبطلة) - مستدعى.

تكوين شبكة

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

$ sudo firewall-cmd --direct --get-all-rule

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

تفسيرات

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

$ sudo firewall-cmd --reload

grep forward_fw /var/log/messages

ماذا بعد