🤦 ♻️ 🍫 घुटने पर 50+ शाखाओं पर वीपीएन 🤟🏻 👪 👧

एक आउटसोर्सिंग कंपनी के लिए वीपीएन बनाने की आवश्यकता थी - क्लाइंट कंपनियों के नेटवर्क के साथ इस तरह से संबंध बनाने के लिए कि ग्राहक और उनके स्वयं के नेटवर्क ने एनएटी के पीछे प्रत्येक क्लाइंट होस्ट को देखा और इसके विपरीत संभव नहीं था। हार्डवेयर समाधान, सिद्धांत रूप में, लागत के कारण नहीं माना जाता था, और सभी मालिकाना सॉफ्टवेयर समाधानों को उसी कारण से समाप्त कर दिया गया था। केवल मुफ्त सॉफ्टवेयर बचा है। नि: शुल्क समाधान का लाभ पर्याप्त से अधिक है

जब से मैंने FreeBSD के साथ नि: शुल्क सिस्टम के साथ अपने परिचित को शुरू किया, चुनाव उस पर गिर गया। तुरंत मैं हेब्राल्ड्स को बीएसडी बनाम लिनक्स के विषय पर एक होलीवर न बनाने के लिए कहता हूं - चुनने का मुख्य कारण इस प्रणाली का गहरा ज्ञान था (मैं अभी भी लिनक्स को मास्टर नहीं कर सकता हूं ताकि इसके साथ अपने काम के परिणामों के बारे में सुनिश्चित हो सके)। दरअसल, ओपन वीपीएन के आधार पर वीपीएन को व्यवस्थित करने का निर्णय लिया गया था - फिर से, मुझे इससे पहले निपटना था, और मुझे कोई खामी नहीं मिली। और फिर, मैं पीपीटीपी के विषय पर एक होलीवर के बिना पूछता हूं - अगर इस तरह के समाधान के अनुयायी हैं - तो अपने लेख को बेहतर ढंग से लिखें।

ग्राहक ने प्रबंधन में आसानी की आवश्यकता को भी आवाज दी। ताकि ग्राहक के कर्मचारी विशिष्ट जरूरतों के लिए कागज के एक टुकड़े पर विन्यास को सही कर सकें।
खैर, AD में प्राधिकरण के माध्यम से नेटवर्क और एक्सेस के बीच गुजरने वाले ट्रैफिक की पूरी निगरानी की आवश्यकता थी (ग्राहक के पास मुख्य गेटवे पर Kerio Winroute Firewall है)
इसलिए, आवश्यकताओं के तहत एक रेखा खींचना, हमें निम्नलिखित मिला:
- उपकरणों की न्यूनतम लागत
- प्रबंधन में आसानी
- तैनाती की गति
- अभिगम नियंत्रण
समाधान का विवरण - कटौती के तहत
आसान प्रबंधन का कार्य, निश्चित रूप से, एक सुविधाजनक वेब इंटरफेस के साथ एक वितरण किट चुनने के लिए आया था। चुनाव pfSense पर गिर गया:

1. न्यूनतम हार्डवेयर आवश्यकताएं - PII / 128RAM पर काम करती हैं;
2. स्थिर, छोटी गाड़ी वेब-थूथन - यहां तक कि एक enikeysch जो नेटवर्क प्रौद्योगिकियों के साथ सतही रूप से परिचित है;
3. 10 मिनट में स्थापना - एक एक्सएमएल-फाइल में सभी सेटिंग्स को सहेजना;
4. इसके अलावा, बोनस के रूप में, बड़ी संख्या में सॉफ़्टवेयर जो वेब इंटरफ़ेस और फ्रीबीएसडी के लिए सॉफ्टवेयर के पूरे सेट से भी नियंत्रित होते हैं, अगर कुछ विशेष की आवश्यकता होती है।

हमने वास्तव में चरणों में क्या किया:
1. वर्चुअल मशीन (एक्सईएन पर) शुद्ध फ्रीबीएसडी 8.2 पर वितरित किया गया, जिसने एक कोर और 256 मेमोरी दी
2. स्थापित OpenVPN (सिर्फ #pkg_add -r openvpn20)
3. OpenVPN कॉन्फ़िगरेशन निम्नानुसार बना है:

पोर्ट 1194 # जो ग्राहकों को दस्तक देने के लिए पोर्ट
प्रोटो यूडीपी # यूडीपी की हमारी पसंद
देव टैप # को कारणों को संबोधित करने के लिए चुना गया था - मैं सुरंगों का एक गुच्छा नहीं देखना चाहता

#keys
ca /usr/local/etc/openvpn/keys/ca.crt
प्रमाणपत्र /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem

# सर्वर का आईपी
सर्वर 10.17.0.0 255.255.0.0 # वास्तव में, सर्वर आईपी
हमारे वीपीएन के लिए "रूट 10.17.0.0 255.255.0.0" ग्राहकों को रूट करें
धक्का "मार्ग-प्रवेश द्वार 10.17.0.1" किसी कारण से, इसके बिना काम नहीं किया, हालांकि यह होना चाहिए
क्लाइंट-कॉन्फिगर-डीआईआर सीसीडी # निर्देशिका जहां क्लाइंट कॉन्फिगर स्थित हैं
क्लाइंट-टू-क्लाइंट # ग्राहकों को एक-दूसरे को देखने की अनुमति देता है
मार्ग 10.17.0.0 255.255.0.0 # हमारे वीपीएन के लिए मार्ग
#authentification
tls-server # TLS बनाते हैं
tls- कुंजी कुंजियाँ / ta.key 0
tls-timeout 120
एमडी 5 एमडी # बल एमडी 5
सिफर BF-CBC # बल एन्क्रिप्शन
रखवाली १० १२०
comp-lzo # ट्रैफिक कंप्रेस करें
अधिकतम क्लाइंट 4000 # छत से लिया गया
व्यामोह और तंत्र दर्शन के लिए उपयोगकर्ता कोई भी # नहीं है
समूह कोई नहीं
जारी रहती है कुंजी

#logging
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
क्रिया ३

मुझे नहीं लगता कि यह पूर्ण कॉन्फ़िगरेशन लिखने के लायक है - पर्याप्त विशिष्ट लेख हैं।

4. दरअसल, मैंने यह सब स्टार्टअप में जोड़ा:

सर्वर # अधिक /etc/rc.conf

चूककर्ता = "192.168.0.247"
Gateway_enable = "YES"
होस्टनाम = "server.nerv.local"
ifconfig_re0 = "inet 192.168.0.244 नेटमास्क 255.255.255.0"
कीमैप = "en.koi8-r"
sshd_enable = "YES"
openvpn_enable = "YES"
openvpn_if = "टैप"
openvpn_configfile = "/ usr / स्थानीय / आदि / Openvpn / सर्वर"
openvpn_dir = "/ usr / स्थानीय / आदि / Openvpn"
Startroute_enable = "YES"

IP क्लाइंट का वितरण ccd डायरेक्टरी फ़ाइलों से किया जाता है - यह इस पूरे सर्वर सेटअप पर कॉन्फिग से देखा जा सकता है - पूरा होने पर मैं मुख्य पीढ़ी का वर्णन नहीं करूँगा - यह सब बहुत सही ढंग से और विस्तृत वर्णन किया गया है, उदाहरण के लिए, www.lissyara.su/articles/freebsd/ सुरक्षा / Openvpn

केवल एक लाइन क्लाइंट फ़ाइल में ccd डायरेक्टरी में लिखी गई है:
ifconfig-push 10.17.0.131 255.255.0.0 # क्लाइंट को मास्क के साथ एक विशिष्ट पता देता है
कुंजियों के निर्माण की गिनती नहीं करते हुए, ग्राहक के हार्डवेयर पर युद्ध सर्वर को बढ़ाने के लिए सभी कार्यों में 20 मिनट लगते हैं।

ग्राहकों को स्थापित करने के लिए कुछ शर्मिंदगी हुई - लेकिन सांत्वना को छूने के लिए enikeyshchik को मजबूर नहीं करना पड़ा। लेख में, मैं ग्राहक को जारी की गई कार्रवाई के लिए निर्देश दूंगा:

========== pfSense ====== पर OpenVPN क्लाइंट कॉन्फ़िगर करें
1. सिस्टम मेनू> प्रमाणपत्र प्रबंधक> सीए टैब
नया CA जोड़ें
1. क्षेत्र में वर्णनात्मक नाम एक मनमाना पहचानकर्ता दर्ज करता है;
2. विधि सूची में, "एक मौजूदा प्रमाणपत्र ऑटोरिटी आयात करें" चुनें
3. सर्टिफिकेट डेटा फील्ड में, सर्टिफिकेट ca.crt की सामग्री डालें
रिज़र्व
2. सिस्टम मेनू> प्रमाणपत्र प्रबंधक> प्रमाणपत्र टैब
एक नया ग्राहक प्रमाणपत्र जोड़ें
1. विधि सूची में, "एक मौजूदा प्रमाणपत्र आयात करें" चुनें
2. क्षेत्र में वर्णनात्मक नाम एक मनमाना पहचानकर्ता दर्ज करें;
3. सर्टिफिकेट डेटा फील्ड में, सर्टिफिकेट name_client.crt की सामग्री डालें
4. फ़ील्ड में निजी कुंजी डेटा, फ़ाइल का नाम name_client.key दर्ज करें
रिज़र्व
3. वीपीएन मेनू> ओपनवीपीएन> क्लाइंट टैब
एक नया कनेक्शन जोड़ें
1. सर्वर मोड सूची में, पीयर टू पीयर (एसएसएल / टीएलएस) का चयन करें
2. यूडीपी प्रोटोकॉल
3. डिवाइस मोड - टैप
4. इंटरफ़ेस - वान
5. स्थानीय बंदरगाह - खाली छोड़ दें
6. सर्वर होस्ट या एड्रेस सर्वर आईपी-एड्रेस दर्ज करते हैं
7. सर्वर पोर्ट 1194
8. प्रॉक्सी न भरें
9. TLS प्रमाणीकरण अनुभाग में, अनचेक करें (स्वचालित रूप से एक साझा TLS प्रमाणीकरण कुंजी उत्पन्न करें)
10. खुलने वाले क्षेत्र में, ta.key की सामग्री दर्ज करें
11. पीयर सर्टिफिकेट अथॉरिटी चुनें कि अनुच्छेद 1.1 में क्या पेश किया गया था
12. क्लाइंट प्रमाणपत्र सूची में, वह चुनें जो धारा 2.2 में दर्ज किया गया था
13. एन्क्रिप्शन एल्गोरिथ्म सूची में, BF-CBC (128 बिट) का चयन करें
14. संपीडन क्षेत्र की जाँच करें (LZO एल्गोरिथ्म का उपयोग करके सुरंग पैकेटों को संपीड़ित करें)
क्षेत्र में 15 उन्नत दर्ज करें
एमडी एमडी 5
ns-cert-type सर्वर
जारी रहती है कुंजी
क्रिया ३
आरक्षित। यदि सब कुछ सही ढंग से किया जाता है, तो 15-45 सेकंड के बाद कनेक्शन सक्रिय हो जाएगा
4. मेनू आइटम का चयन करें इंटरफेस -> (असाइन करें)
1. "+" बटन के साथ एक नया इंटरफ़ेस जोड़ें
2. ड्रॉप-डाउन सूची में ovpnc1 इंटरफ़ेस का चयन करें, "सहेजें" बटन पर क्लिक करें
3. मेनू आइटम चुनें इंटरफेस -> OPT1, "इंटरफ़ेस सक्षम करें" चेकबॉक्स की जांच करें, "सहेजें" पर क्लिक करें, "एप्लिकेशन बदलें" बटन पर क्लिक करें
4. विवरण पंक्ति में वीपीएन दर्ज करें, टाइप सूची में "स्टेटिक आईपी कॉन्फ़िगरेशन" फ़ील्ड में "स्टेटिक" चुनें, जो वीपीएन क्लाइंट पता दर्ज करें और मास्क 16 चुनें (प्रवेश द्वार की आवश्यकता नहीं है !!!)
5. यदि निजी नेटवर्क अनुभाग में चेकमार्क हैं - उन्हें हटा दें और "सहेजें" बटन पर क्लिक करें
5. मेनू आइटम का चयन करें फ़ायरवॉल -> NAT
1. आउटबाउंड टैब चुनें
2. मोड स्विच को मैन्युअल मोड (सही स्थिति) पर सेट करें और सहेजें पर क्लिक करें
3. NAT सूची में, "+" बटन पर क्लिक करके एक नया विकल्प जोड़ें
4. इंटरफ़ेस क्षेत्र में, OpenVPN का चयन करें (वीपीएन नहीं !!!)
5. स्रोत फ़ील्ड में, स्थानीय नेटवर्क पता दर्ज करें (यह आमतौर पर 192.168.x.0 / 24) है और मास्क का चयन करें
6. गंतव्य क्षेत्र में, नेटवर्क 10.17.0.0 दर्ज करें और 16 मुखौटा करें
7. अनुवाद क्षेत्र में, स्टेटिक पोर्ट बॉक्स की जाँच करें।
8. सेव बटन दबाएं
======================================

स्वाभाविक रूप से, pfSense को ग्राहक के ग्राहक पक्ष पर मुख्य गेटवे के रूप में कॉन्फ़िगर किया जाना चाहिए।

और, अंत में, ग्राहक के नेटवर्क से ग्राहक के नेटवर्क तक पहुंच को कॉन्फ़िगर करने के लिए अंतिम चरण है: OpenVPN क्लाइंट (OpenVPN-GUI का उपयोग) ग्राहक के प्रवेश द्वार पर उठाया गया था और नेटवर्क के स्थिर मार्गों को नेटवर्क के आईपी पते के माध्यम से पंजीकृत किया गया था 10.17.0.0/16

बस इतना ही चाहिए था। इस योजना के विन्यास में आसानी के लिए एकमात्र आवश्यकता यह है कि सभी ग्राहकों के नेटवर्क अलग-अलग हों। ग्राहक के लिए, यह स्थिति सरल हो गई - जहां नेटवर्क का संयोग हुआ, सब कुछ समस्याओं के बिना पुन: कॉन्फ़िगर किया गया और उसी वीपीएन नेटवर्क के माध्यम से पूरी तरह से दूरस्थ रूप से।

घुटने पर 50+ शाखाओं पर वीपीएन

More articles: