लोकल एरिया नेटवर्क

हमारी कंपनी के पास विभिन्न डेटा केंद्रों और यहां तक ​​कि शहरों में स्थित सर्वरों के समूह हैं। फिलहाल हम 6 डेटा सेंटर का उपयोग करते हैं। अधिकांश सर्वरों के बीच एक गहन ट्रैफ़िक एक्सचेंज है, और डेटा एक्सचेंज प्रोटोकॉल हमेशा सुरक्षा के आवश्यक स्तर प्रदान नहीं करते हैं। इसलिए, हमने सभी उपलब्ध सर्वरों के बीच एक सामान्य स्थानीय क्षेत्र नेटवर्क बनाने का निर्णय लिया। हमने ऐसे नेटवर्क के अत्यधिक बोझिल वास्तुकला के कारण रूटिंग का उपयोग करके ओपन वीपीएन का उपयोग कर एक नेटवर्क बनाने से इनकार कर दिया। हमारी राय में, सबसे सरल और सबसे सुविधाजनक विकल्प एक सहकर्मी से सहकर्मी नेटवर्क है। आगे, हम पीयर-टू-पीयर नेटवर्क बनाने और कॉन्फ़िगर करने के तरीके के बारे में अधिक विस्तार से बात करेंगे।

इसे बनाने के लिए, हम OpenVPN और Bridge-utils का उपयोग करते हैं।
OpenVPN मानक में OpenVPN और उनके साथ जुड़ने वाले क्लाइंट के साथ एक या अधिक सर्वर होते हैं। OpenVPN टीसीपी और यूडीपी कनेक्शन का समर्थन करता है। चूंकि हमारे समर्पित सर्वर में कोई नियंत्रित ट्रैफ़िक फ़िल्टरिंग नहीं है, इसलिए यूडीपी प्रोटोकॉल चुनना बेहतर है, इसके अलावा, यूडीपी एक तेज़ प्रोटोकॉल है।

पहला सर्वर

पहला सर्वर (वास्तव में, यह हमारा ट्रैफ़िक एक्सचेंज बिंदु है) मानक योजना के अनुसार कॉन्फ़िगर किया गया है। चूंकि डेबियन अधिकांश सर्वरों पर स्थापित है, इसलिए इस ओएस की विशेषताओं को ध्यान में रखते हुए आगे के निर्देश दिए जाएंगे।

एप्टीट्यूड ओपनवपन ओपनवीपीएन-ब्लैकलिस्ट स्थापित करता है
cd / etc / openvpn /
cp -R /usr/share/openvpn/easy-rsa/2.0 / etc / openvpn / easy-rsa
mkdir / etc / openvpn / keys
chmod 750 / etc / openvpn / चाबियाँ

संपादित करें / आदि / openvpn / easy-rsa / var इस प्रकार है:

निर्यात EASY_RSA = "/ etc / openvpn / easy-rsa"
निर्यात KEY_DIR = "/ etc / openvpn / keys"
निर्यात KEY_SIZE = 2048
निर्यात KEY_COUNTRY = "RU"
निर्यात KEY_PROVINCE = "MSK"
निर्यात KEY_CITY = "समारा"
निर्यात KEY_ORG = "रिजीम लिमिटेड"
निर्यात KEY_EMAIL = "support@regtime.net"

आगे, उसी योजना के अनुसार, हम कुंजी तैयार करते हैं:

cd / etc / openvpn / easy-rsa
। ./vars
./clean-all
./build-ca
./build-key-server servername
./build-dh

हम / etc / openvpn / udp-server में सर्वर के लिए न्यूनतम विन्यास बनाते हैं। आप बहुत अधिक पैरामीटर निर्दिष्ट कर सकते हैं: अनुकूलन संभावनाएं बहुत व्यापक हैं।

देव टैप ०
प्रोटो udp
बंदरगाह 1194
ca कीज़ / ca.crt
प्रमाणित कुंजियाँ / servername.crt
मुख्य कुंजी / servername.key
dh कीज़ / dh2048.pem
उपयोगकर्ता कोई नहीं
समूह का समूह
सर्वर 172.18.5.208 255.255.255.240
जारी रहती है कुंजी
जारी रहती है-tun
status / dev / shm / openvpn-status-udp
क्रिया ३
ग्राहक-टू-क्लाइंट
क्लाइंट-कॉन्फिग-डीआईआर ccd-udp
log-append /var/log/openvpn-udp.log
कंप्यूटर अनुप्रयोग-lzo
लिपि-सुरक्षा २
ऊपर "/etc/init.d/lan0 प्रारंभ"
नीचे "/etc/init.d/lan0 रोक"

हम इसे कनेक्ट करते हैं और सर्वर शुरू करते हैं:

ln -s udp-server udp-server.conf
/etc/init.d/openvpn प्रारंभ

कॉन्फ़िगरेशन की अंतिम तीन पंक्तियों पर ध्यान दें। वे सहकर्मी से सहकर्मी नेटवर्क में इस सर्वर का उपयोग करना संभव बनाते हैं। यह ध्यान देने योग्य है कि यह केवल एक यूडीपी सर्वर के लिए किया जा सकता है। स्क्रिप्ट स्वयं इस तरह दिखती है - /etc/init.d/lan0 :

#! / बिन / बैश

### BEGIN INIT जानकारी
# प्रदान करता है: lan0
# आवश्यक-प्रारंभ: $ नेटवर्क $ Remote_fs $ syslog openvpn
# आवश्यक-स्टॉप: $ नेटवर्क $ Remote_fs $ syslog openvpn
# शुरू करना चाहिए:
# रुकना चाहिए:
# एक्स-स्टार्ट-बिफोर: $ एक्स-डिस्प्ले-मैनेजर gdm kdm xdm wdm ldm sdm nodm
# एक्स-इंटरेक्टिव: सच
# डिफ़ॉल्ट-प्रारंभ: 2 3 4 5
# डिफ़ॉल्ट-स्टॉप: 0 1 6
# लघु-विवरण: lan0 सेवा
### END INIT जानकारी

। / lib / lsb / init-functions

पथ = / बिन: / sbin: / usr / bin: / usr / sbin

br = "lan0"
नल = "टैप0"
eth = "eth1"
eth_ip = "172.18.5.2"
eth_netmask = "255.255.255.0"
eth_broadcast = "172.18.5.255"

मामले में "$ 1"
शुरुआत)
brctl addbr $ br
brctl addif $ br $ एथ

$ टैप में टी के लिए; करना
brctl addif $ br $ t
किया

$ टैप में टी के लिए; करना
ifconfig $ t 0.0.0.0 प्रोमिस अप
किया

ifconfig $ eth 0.0.0.0 प्रोमिस अप

ifconfig $ br $ eth_ip netmask $ eth_netmask ने $ eth_broadcast प्रसारित किया
;;

बंद)
ifconfig $ br नीचे
brctl delbr $ ब्र

ifconfig $ eth $ eth_ip netmask $ eth_netmask ने $ eth_broadcast प्रसारित किया
;;
*)
गूंज "उपयोग lan0 {शुरू | स्टॉप}"

बाहर निकलें 1
;;
esac
बाहर निकलें 0

उसी स्क्रिप्ट का उपयोग rdd के लिए किया जा सकता है।

अद्यतन- rc.d lan0 चूक

मैनुअल स्टार्ट के लिए अनुक्रम निम्नानुसार है:

/etc/init.d/openvpn प्रारंभ
/etc/init.d/lan0 प्रारंभ
जब मैन्युअल रूप से रोकना:
/etc/init.d/lan0 रोकें
/etc/init.d/openvpn रोकें

कृपया ध्यान दें कि OpenVPN lan0 को फिर से शुरू करने पर। कुछ मामलों में, यह मैन्युअल रूप से किया जाना चाहिए। उदाहरण के लिए, क्रोन के माध्यम से कार्य इस तरह दिखता है:

[-n "` / sbin / ifconfig tap0` "] && [-z" `/ usr / sbin / brctl शो | grep tap0`"] && /etc/init.d/lan

सर्वर तैयार है! अब आपको ग्राहकों के लिए कुंजी और प्रमाण पत्र बनाने की आवश्यकता है।

ग्राहकों

सर्वर पर, हम ग्राहकों के लिए प्रमाण पत्र बनाते हैं जो बाहरी रूप से जुड़ेंगे:

cd / etc / openvpn / easy-rsa
। ./vars
./build-key क्लाइंट

बेशक, प्रत्येक ग्राहक (यहाँ ग्राहक) का नाम अद्वितीय होना चाहिए।
प्रमाण पत्र के लिए डेटा दर्ज करने और पुष्टि करने के बाद, निम्नलिखित फाइलें दिखाई देंगी:

client.crt
client.csr
client.key

क्लाइंट की तरफ, हमें सर्वर पर / etc / openvpn / keys डायरेक्टरी से निम्नलिखित फाइलें चाहिए:

ca.crt
client.key
client.crt

क्लाइंट साइड पर भी OpenVPN स्थापित करें:

एप्टीट्यूड ओपनवपन ओपनवीपीएन-ब्लैकलिस्ट स्थापित करता है
mkdir / etc / openvpn / keys
chmod 750 / etc / openvpn / चाबियाँ

कुंजी और प्रमाणपत्रों को / etc / openvpn / कुंजियों पर कॉपी करें :
हम सबसे सरल /etc/openvpn/client.conf कॉन्फिगरेशन बनाते हैं:

देव टैप ०
प्रोटो udp
ग्राहक
दूरस्थ सर्वर 1194
resolv-retry अनंत
nobind
जारी रहती है कुंजी
जारी रहती है-tun
ca कीज़ / ca.crt
प्रमाणित कुंजियाँ / client.crt
मुख्य कुंजी / ग्राहक
कंप्यूटर अनुप्रयोग-lzo
क्रिया ३
स्टेटस / देव / shm / क्लाइंट-स्टेटस-udp
log /var/log/openvpn-client.log
पिंग १०
पिंग-पुनरारंभ 1800
लिपि-सुरक्षा २
ऊपर "/etc/init.d/lan0 प्रारंभ"
नीचे "/etc/init.d/lan0 रोक"

सर्वर पर समान पीयर-टू-पीयर नेटवर्क से कनेक्ट करने के लिए, उसी lan0 स्क्रिप्ट का उपयोग किया जाता है (eth_ip सुधार के साथ सही एक)।

कई सर्वर

एक नेटवर्क में कई ट्रैफ़िक विनिमय बिंदु हो सकते हैं। इस मामले में, यह आवश्यक है कि ग्राहक उनमें से किसी से जुड़ सके और एक ही नेटवर्क में आ सके। इसके बारे में कुछ भी जटिल नहीं है। आप ऊपर वर्णित के अनुसार किसी भी सर्वर को कॉन्फ़िगर कर सकते हैं। लेकिन दो बारीकियां हैं।
1. प्रत्येक सर्वर को अलग-अलग विशिष्ट IP पते जारी करने होंगे।
यह विन्यास में एक पंक्ति को प्रतिस्थापित करके प्राप्त किया जाता है:

सर्वर 172.18.5.208 255.255.255.240

2. आपको OpenVPN सर्वर के बीच प्रमाणपत्र को सिंक्रनाइज़ करने की आवश्यकता है।
सबसे सरल उपाय है, बस ssh पर / etc / openvpn / keys डायरेक्टरी को कॉपी करना। लेकिन एक बेहतर तरीका है - rsync।
दो-तरफ़ा विनिमय के लिए, हमें दो स्क्रिप्ट की आवश्यकता है - अपडेट डाउनलोड करना और उन्हें डाउनलोड करना।
डाउनलोड - धक्का

#! / बिन / बैश

निर्यात RSYNC_RSH = "ssh -c arcfour -o संपीड़न = no -x-root"

rsync --delete-after \
-ज़ू --मोडिफ़ाइ-विंडो = 10 -HHAX --numeric-ids --sparse \
/ etc / openvpn / keys Remotehost: / etc / openvpn / keys

अद्यतन - पॉप

#! / बिन / बैश

निर्यात RSYNC_RSH = "ssh -c arcfour -o संपीड़न = no -x-root"

rsync --delete-after \
-ज़ू --मोडिफ़ाइ-विंडो = 10 -HHAX --numeric-ids --sparse \
Remotehost: / etc / openvpn / keys / etc / openvpn / चाबियाँ

नोट - स्विच के बाद स्विच करें। यह उन फ़ाइलों को हटाने के लिए उपयोग किया जाता है जो सिंक्रनाइज़ेशन के बाद गंतव्य की तरफ नहीं हैं। यानी पॉप स्थानीय रूप से वह सबकुछ हटा देगा जो रिमोटहोस्ट पर नहीं है।

प्रमुख अद्यतन आदेश भी महत्वपूर्ण है। सामान्य परिस्थितियों में, पहली (मुख्य) ओपनवीपीएन सर्वर पर नई कुंजी और प्रमाण पत्र बनाने की आवश्यकता होती है, और बाकी सभी को पॉप के माध्यम से अपडेट प्राप्त करना चाहिए। इस प्रकार, हमें बिल्कुल भी पुश की आवश्यकता नहीं है। लेकिन यदि आवश्यक हो, तो आप किसी भी सर्वर पर नए उपयोगकर्ता जोड़ सकते हैं, और फिर आपको पहले डाउनलोड करने के लिए पुश करने की आवश्यकता है, और फिर अन्य सभी OpenVPN सर्वर पर पॉप करें।

चूँकि इंटरैक्शन ssh से होकर जाता है, तो सभी सर्वर को रूट के लिए ssh कीज़ को एक्सचेंज करना होगा। कमांड का उपयोग करके कुंजी उत्पन्न की जा सकती है

ssh-keygen -t rsa -b 2048

और कॉपी का उपयोग कर

ssh-copy-id रिमोट होस्ट

ध्यान दें कि इन सभी सर्वरों पर रूट की अनुमति दी जानी चाहिए। सुरक्षा के लिए, आप पासवर्ड प्रमाणीकरण को अक्षम कर सकते हैं। / etc / ssh / sshd_config

PermitRootLogin हाँ
PasswordAuthentication सं

अब, एक नया क्लाइंट जोड़ने के बाद, आपको उस सर्वर पर जोर देना होगा जहां कुंजी जोड़ी गई थी, और अन्य सभी OpenVPN सर्वर पर पॉप।

लोग

कभी-कभी कर्मचारियों को कार्यालय से काम नहीं करना पड़ता है, लेकिन उन्हें स्थानीय नेटवर्क तक पहुंच की आवश्यकता होती है। यह भी lan0 के भीतर लागू करने के लिए आसान है। लेकिन चूंकि ऑपरेटिंग सिस्टम और ट्रैफ़िक फ़िल्टरिंग के मामलों में कोई अस्पष्टता नहीं है, इसलिए ओपन वीपीएन पर धीमी, लेकिन सरल टीसीपी प्रोटोकॉल का उपयोग करना बेहतर है।

विन्यास / आदि / ओपेनवोन / टीसीपी-सर्वर:

देव तुन ०
प्रोटो टी.सी.पी.
बंदरगाह 1194
ca कीज़ / ca.crt
प्रमाणित कुंजी / server.crt
कुंजी कुंजी / server.key
dh कीज़ / dh2048.pem
उपयोगकर्ता कोई नहीं
समूह का समूह
सर्वर 172.18.5.248 255.255.255.240
जारी रहती है कुंजी
जारी रहती है-tun
स्थिति / देव / शम / खुलेपन-स्थिति-टीसीपी
क्रिया ३
ग्राहक-टू-क्लाइंट
क्लाइंट-कॉन्फिग-डीआईआर ccd-tcp
धक्का "मार्ग 172.18.5.0 255.255.255.0"
log-append /var/log/openvpn-tcp.log
कंप्यूटर अनुप्रयोग-lzo

कुंजी और प्रमाणपत्र यूडीपी के लिए उसी तरह तैयार किए जाते हैं। इस तरह के एक कनेक्शन के लिए विन्यास थोड़ा सरल भी होगा - client.ovpn :

ग्राहक
प्रोटो टी.सी.पी.
दूरस्थ सर्वर 1194
resolv-retry अनंत
nobind
जारी रहती है कुंजी
जारी रहती है-tun
ca। ca
ग्राहक को प्रमाणित करें
प्रमुख ग्राहक
कंप्यूटर अनुप्रयोग-lzo

आधिकारिक साइट से डाउनलोड करने के लिए विभिन्न ओएस के ग्राहक बेहतर हैं: openvpn.net