Formulierung des Problems
Der Artikel beschreibt die Organisation des Remotezugriffs für Mitarbeiter auf Open Source-Produkte und kann sowohl zum Aufbau eines vollständig autonomen Systems als auch zur Erweiterung verwendet werden, wenn in einem vorhandenen kommerziellen System Lizenzen fehlen oder die Leistung unzureichend ist.Der Zweck des Artikels besteht darin, ein komplettes System für die Bereitstellung des Remotezugriffs auf eine Organisation vorzustellen, das etwas mehr ist als "Installation von OpenVPN in 10 Minuten".Als Ergebnis erhalten wir ein System, in dem Zertifikate und (optional) das Active Directory-Unternehmensverzeichnis für die Benutzerauthentifizierung verwendet werden. ZU. Wir erhalten ein System mit zwei Überprüfungsfaktoren - was ich habe (Zertifikat) und was ich weiß (Passwort).Ein Zeichen dafür, dass der Benutzer eine Verbindung herstellen darf, ist seine Mitgliedschaft in der myVPNUsr-Gruppe. Die Zertifizierungsstelle wird eigenständig verwendet.Die Kosten für die Implementierung der Lösung betragen nur geringe Hardwareressourcen und 1 Stunde Arbeit des Systemadministrators.Wir werden eine virtuelle Maschine mit OpenVPN und Easy-RSA 3. Version unter CetntOS 7 verwenden, die auf 100 Verbindungen basiert, die 4 vCPU, 4 GiB RAM ausgeben.In diesem Beispiel ist das Netzwerk unserer Organisation 172.16.0.0/16, in dem sich der VPN-Server mit der Adresse 172.16.19.123 im Segment 172.16.19.0/24 befindet, die DNS-Server 172.16.16.16 und 172.16.17.17 und das Subnetz 172.16.20.0/23 für VPN-Clients zugewiesen ist .Um eine Verbindung von außen herzustellen, wird eine Verbindung an Port 1194 / udp verwendet, und in DNS für unseren Server wird ein A-Eintrag gw.abc.ru erstellt.Es wird dringend empfohlen, SELinux nicht zu deaktivieren! OpenVPN funktioniert ohne Deaktivierung der Sicherheitsrichtlinien.Inhalt
- Installation von Betriebssystem und Anwendungssoftware
- Kryptographieeinstellung
- Konfigurieren Sie OpenVPN
- Authentifizierung in AD
- Start und Diagnose
- Ausstellung und Widerruf des Zertifikats
- Netzwerkkonfiguration
- Was weiter
Installation von Betriebssystem und Anwendungssoftware
Wir verwenden das Distributionskit CentOS 7.8.2003. Wir müssen das Betriebssystem in einer minimalen Konfiguration installieren. Es ist praktisch, dies mit Kickstart , Klonen eines zuvor installierten Betriebssystem-Images und anderen Mitteln zu tun .Nach der Installation aktualisieren wir das Betriebssystem, indem wir der Netzwerkschnittstelle eine Adresse zuweisen (gemäß den Bedingungen von Task 172.16.19.123):$ sudo yum update -y && reboot
Es muss auch sichergestellt werden, dass die Zeitsynchronisation auf unserer Maschine durchgeführt wird.Um die Anwendungssoftware zu installieren, benötigen Sie die Pakete openvpn, openvpn-auth-ldap, easy-rsa und vim als Haupteditor (Sie benötigen das EPEL-Repository).$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim
Für eine virtuelle Maschine ist es hilfreich, einen Gastagenten zu installieren:$ sudo yum install open-vm-tools
für VMware ESXi-Hosts oder für oVirt$ sudo yum install ovirt-guest-agent
Kryptographieeinstellung
Gehen Sie zum easy-rsa-Verzeichnis:$ cd /usr/share/easy-rsa/3/
Erstellen Sie eine variable Datei:$ sudo vim vars
den folgenden Inhalt:export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="admin@abc.ru"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652
Die Parameter für die bedingte Organisation von ABC LLC werden hier beschrieben. Sie können sie real korrigieren oder als Beispiel belassen. Das Wichtigste in den Parametern ist die letzte Zeile, die die Gültigkeitsdauer des Zertifikats in Tagen bestimmt. Im Beispiel wird der Wert 10 Jahre verwendet (365 * 10 + 2 Schaltjahre). Dieser Wert muss angepasst werden, bevor Benutzerzertifikate ausgestellt werden.Richten Sie als Nächstes eine eigenständige Zertifizierungsstelle ein.Die Konfiguration umfasst das Exportieren von Variablen, das Initialisieren der Zertifizierungsstelle, das Ausstellen des Stammschlüssels und des Zertifizierungsstellenzertifikats, des Diffie-Hellman-Schlüssels, des TLS-Schlüssels sowie des Serverschlüssels und des Zertifikats. Der Schlüssel der Zertifizierungsstelle muss sorgfältig gehütet und geheim gehalten werden! Alle Parameter bei Anforderungen können standardmäßig belassen werden.cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key
Damit ist der Hauptteil der Einrichtung des kryptografischen Mechanismus abgeschlossen.Konfigurieren Sie OpenVPN
Wechseln Sie in das OpenVPN-Verzeichnis, erstellen Sie Dienstverzeichnisse und fügen Sie einen Link zu easy-rsa hinzu:cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/
Erstellen Sie die OpenVPN-Hauptkonfigurationsdatei:$ sudo vim server.conf
den folgenden Inhaltport 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf
Einige Hinweise zu den Parametern:- Wenn bei der Ausstellung des Zertifikats ein anderer Name angegeben wurde, geben Sie diesen an.
- Geben Sie den Adresspool für Ihre Aufgaben an *;
- Routen und DNS-Server können eine oder mehrere sein.
- Die letzten beiden Zeilen werden benötigt, um die Authentifizierung in AD ** zu implementieren.
* 127 , .. /23, OpenVPN /30.
, , SELinux, tcp , .. tcp- .
** AD , , — , auth-user-pass.AD
Um den zweiten Faktor zu unterstützen, verwenden wir die Kontobestätigung in AD.Wir benötigen ein Konto in der Domäne mit den Rechten eines normalen Benutzers und einer Gruppe, deren Mitgliedschaft die Fähigkeit zur Verbindung bestimmt.Erstellen Sie eine Konfigurationsdatei:/etc/openvpn/ldap.conf
den folgenden Inhalt<LDAP>
URL "ldap://ldap.abc.ru"
BindDN "CN=bindUsr,CN=Users,DC=abc,DC=ru"
Password b1ndP@SS
Timeout 15
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "OU=allUsr,DC=abc,DC=ru"
SearchFilter "(sAMAccountName=%u)"
RequireGroup true
<Group>
BaseDN "OU=myGrp,DC=abc,DC=ru"
SearchFilter "(cn=myVPNUsr)"
MemberAttribute "member"
</Group>
</Authorization>
Hauptparameter:- URL "ldap: //ldap.abc.ru" - die Adresse des Domänencontrollers;
- BindDN "CN = bindUsr, CN = Benutzer, DC = abc, DC = ru" - der kanonische Name für die Bindung an LDAP (UZ - bindUsr im Container abc.ru/Users);
- Passwort b1ndP @ SS - Benutzerkennwort zum Binden;
- BaseDN "OU = allUsr, DC = abc, DC = ru" - der Pfad, von dem aus die Benutzersuche gestartet werden soll;
- BaseDN "OU = myGrp, DC = abc, DC = ru" - der Container der zulässigen Gruppe (die Gruppe myVPNUsr im Container abc.ru \ myGrp);
- SearchFilter "(cn = myVPNUsr)" ist der Name der auflösenden Gruppe.
Start und Diagnose
Jetzt können wir versuchen, unseren Server einzuschalten und zu starten:$ sudo systemctl enable openvpn@server.service
$ sudo systemctl start openvpn@server.service
Launch Check:systemctl status openvpn@server.service
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log
Ausstellung und Widerruf des Zertifikats
weil Zusätzlich zu den Zertifikaten selbst benötigen Sie Schlüssel und andere Einstellungen. Es ist sehr praktisch, all dies in eine Profildatei zu packen. Diese Datei wird dann an den Benutzer übertragen und das Profil ist bereits auf dem OpenVPN-Client importiert. Erstellen Sie dazu eine Konfigurationsvorlage und ein Skript, das das Profil bildet.Im Profil müssen Sie den Inhalt der Stammzertifikatsdateien (ca.crt) und den TLS-Schlüssel (ta.key) hinzufügen.Stellen Sie vor der Ausstellung von Benutzerzertifikaten sicher, dass die erforderliche Gültigkeitsdauer des Zertifikats in der Parameterdatei festgelegt ist. Sie sollten es nicht zu groß machen, ich empfehle es auf maximal 180 Tage zu beschränken.vim /usr/share/easy-rsa/3/vars
...
export EASYRSA_CERT_EXPIRE=180
vim /usr/share/easy-rsa/3/client/template.ovpn
client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>
Anmerkungen:- PUT YOUR ... Strings werden in den Inhalt ihrer Zertifikate geändert .
- Geben Sie in der Direktive remote den Namen / die Adresse Ihres Gateways an.
- Die Anweisung auth-user-pass wird für die zusätzliche externe Authentifizierung verwendet.
Im Home-Verzeichnis (oder an einem anderen geeigneten Ort) erstellen wir ein Skript zum Anfordern eines Zertifikats und zum Erstellen eines Profils:vim ~/make.profile.sh
#!/bin/bash
if [ -z "$1" ] ; then
echo Missing mandatory client name. Usage: $0 vpn-username
exit 1
fi
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client
cd $basepath
if [ -f client/$client* ]; then
echo "*** ERROR! ***"
echo "Certificate $client already issued!"
echo "*** ERROR! ***"
exit 1
fi
. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client
cp $clntpath/template.ovpn $profile
echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile
echo -e "\n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt
echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "\n" >> $profile
rm -f $basepath/$1.crt
echo Complete. See $profile file.
cd ~
Wir machen die Datei ausführbar:chmod a+x ~/make.profile.sh
Und Sie können unser erstes Zertifikat ausstellen.~/make.profile.sh my-first-user
Feedback
Wenn das Zertifikat kompromittiert ist (Verlust, Diebstahl), muss dieses Zertifikat widerrufen werden:cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl
Ausgestellte und widerrufene Zertifikate anzeigen
Um die ausgestellten und widerrufenen Zertifikate anzuzeigen, zeigen Sie einfach die Indexdatei an:cd /usr/share/easy-rsa/3/
cat pki/index.txt
Erklärungen:- Die erste Zeile ist das Serverzertifikat.
- erstes Zeichen
- V (gültig) - gültig;
- R (widerrufen) - zurückgerufen.
Netzwerkkonfiguration
Die letzten Schritte sind das Einrichten eines Übertragungsnetzwerks - Routing und Firewalls.Berechtigung für Verbindungen in der lokalen Firewall:$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent
Aktivieren Sie als Nächstes das IP-Verkehrsrouting:$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf
In einer Unternehmensumgebung gibt es wahrscheinlich eine Unterteilung in Subnetze, und wir müssen den Routern mitteilen, wie sie an unsere VPN-Clients adressierte Pakete senden sollen. Führen Sie den Befehl in der Befehlszeile folgendermaßen aus (abhängig von der verwendeten Ausrüstung):
und speichern Sie die Konfiguration.Darüber hinaus ist es an der Schnittstelle des Grenzrouters, an der die externe Adresse gw.abc.ru bereitgestellt wird, erforderlich, den Durchgang von udp / 1194-Paketen zuzulassen.Wenn Ihre Organisation strenge Sicherheitsregeln hat, müssen Sie auch eine Firewall auf unserem VPN-Server konfigurieren. Meiner Meinung nach bietet das Einrichten von iptables FORWARD-Ketten die größte Flexibilität, obwohl das Einrichten weniger bequem ist. Ein bisschen mehr über das Einrichten. Zu diesem Zweck ist es am bequemsten, "direkte Regeln" zu verwenden - direkte Regeln, die in der Datei /etc/firewalld/direct.xml gespeichert sind . Die aktuelle Regelkonfiguration kann wie folgt ermittelt werden:$ sudo firewall-cmd --direct --get-all-rule
Erstellen Sie vor dem Ändern der Datei eine Sicherungskopie davon:cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak
Der ungefähre Inhalt der Datei lautet wie folgt:<?xml version="1.0" encoding="utf-8"?>
<direct>
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>
Erklärungen
Im Wesentlichen sind dies die üblichen iptables-Regeln, die ansonsten nach dem Erscheinen von firewalld gepackt werden.Die Zielschnittstelle in den Standardeinstellungen ist tun0, und die externe Schnittstelle für den Tunnel kann je nach verwendeter Plattform unterschiedlich sein, z. B. ens192.Die letzte Zeile dient zum Protokollieren verworfener Pakete. Damit die Protokollierung funktioniert, müssen Sie die Debugging-Ebene in der Firewall-Konfiguration ändern:vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2
Einstellungen anwenden - der übliche Befehl firewalld zum erneuten Lesen der Einstellungen:$ sudo firewall-cmd --reload
Verworfene Pakete können wie folgt angezeigt werden:grep forward_fw /var/log/messages
Was weiter
Das Setup ist fertig!Es bleibt auf der Clientseite, die Client-Software zu installieren, das Profil zu importieren und eine Verbindung herzustellen. Für ein Betriebssystem wie Windows ist die Distribution auf der Entwicklerseite verfügbar .Abschließend verbinden wir unseren neuen Server mit Überwachungs- und Archivierungssystemen und vergessen nicht, regelmäßig Updates zu installieren.Stabile Verbindung!