एक सर्वर के रूप में OpenVZ कंटेनर का उपयोग करके l2tp + ipsec का उपयोग करके वीपीएन कनेक्शन को कॉन्फ़िगर करें

स्वागत

इतना समय पहले नहीं, OpenVZ टीम ने कंटेनर के अंदर ipsec समर्थन के साथ एक नया कर्नेल जारी किया। मैं लंबे समय से एक स्थानीय विंडोज मशीन पर तीसरे पक्ष के सॉफ़्टवेयर को छोड़ना चाहता था और सिस्टम का उपयोग करके एक सुरक्षित वीपीएन चैनल को कॉन्फ़िगर करने की क्षमता का उपयोग करता हूं। हम OpenVZ पर सर्वर के रूप में डेबियन 7 कंटेनर का उपयोग करेंगे। एक क्लाइंट के रूप में - एक मानक विंडोज वीपीएन क्लाइंट। प्राधिकरण के रूप में, PSK द्वारा प्राधिकरण (कुंजी द्वारा)।


सबसे पहले, हम कंटेनर के लिए net_admin सुविधा को सक्रिय करते हैं और डेवलपर्स से संकेत के रूप में काम करने के लिए ppp कंटेनर को उपकरण देते हैं:

vzctl set CTID --capability net_admin:on --save vzctl set CTID --devices c:108:0:rw --save vzctl restart CTID 

कंटेनर के अंदर, एक ppp डिवाइस बनाएं और उस तक सही पहुंच अधिकार सेट करें:

 mknod /dev/ppp c 108 0 chmod 600 /dev/ppp 

modprobe के माध्यम से HN पर आवश्यक मॉड्यूल लोड करें:

 modprobe ppp_async modprobe pppol2tp modprobe xfrm4_mode_transport modprobe xfrm4_mode_tunnel modprobe xfrm_ipcomp modprobe esp4 

कंटेनर के अंदर, हम ओप्सवन डेमॉन के रूप में ओस्वान का उपयोग करेंगे, और रिपॉजिटरी से मानक xl2tpd को l2tp सर्वर के रूप में:

 apt-get install openswan xl2tpd 

अगला, नैट और वीपीएन के साथ सही ढंग से काम करने के लिए फॉरवर्डिंग और बाकी नेटवर्क सबसिस्टम को कॉन्फ़िगर करें:

 echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source <main IP of server> iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu for each in /proc/sys/net/ipv4/conf/*; do echo 0 > $each/accept_redirects; echo 0 > $each/send_redirects; done 

चलो ipsec डेमॉन सेट करें।

आइए फॉर्म में /etc/ipsec.conf कॉन्फिगर करें:

 config setup protostack=netkey nat_traversal=yes # Enables NAT traversal virtual_private=%v4:192.168.1.0/8 # with this option you can add your local IP in NAT conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret # Auth with PSK ( preshared key ) pfs=no auto=add keyingtries=3 rekey=no ikelifetime=8h salifetime=10m type=tunnel # type of l2tp connection ( tunnel / transport ) left=11.11.11.11 # left - is internet IP of l2tp server leftprotoport=17/1701 right=%any # right - is IP of client ( if client NATed , that IP of client is IP in NAT ) rightprotoport=17/1701 

कॉन्फ़िगर के सबसे महत्वपूर्ण बिंदुओं पर टिप्पणी की जाती है। इसके अलावा, कॉन्फ़िगरेशन को ठीक उसी तरह से लिखना न भूलें, जैसा कि ऊपर बताया गया है, अर्थात, उन टीमों के लिए लाइन की शुरुआत में रिक्त स्थान रखना, जिनके लिए उन्हें संकेत दिया गया है, क्योंकि डेमन द्वारा कमांड का इंडेंट लगातार "कॉन" द्वारा परिभाषित ब्लॉक से बंधा हुआ है।

अब हम ipsec के साथ काम के लिए प्राधिकरण निर्धारित करेंगे। प्रमाणीकरण के दो तरीके हैं - प्रमाणपत्र द्वारा और कुंजी (PSK)। इस उदाहरण में, हम /etc/ipsec.secrets फ़ाइल में मुख्य प्राधिकरण कॉन्फ़िगर करेंगे:

 11.11.11.11 %any: PSK "mykey" 

11.11.11.11 हमारे सर्वर का बाहरी आईपी पता है
% कोई भी एक अंतर्निहित वैरिएबल है जो किसी भी आईपी पते का प्रतिनिधित्व करता है
PSK - प्राधिकरण विधि (शायद RSA)
"Mykey" - प्राधिकरण के लिए एक गुप्त कुंजी, जिसे क्लाइंट को स्थानांतरित करना होगा।

अब l2tp सर्वर सेट करने का समय आ गया है। यह ppp प्रोटोकॉल के माध्यम से काम करेगा।

हम फॉर्म में /etc/xl2tpd/xl2tpd.conf लाते हैं:

 [global] port = 1701 auth file = /etc/xl2tpd/l2tp-secrets # auth file with pars login/password for l2tp auth [lns default] ip range = 10.0.0.2-10.0.0.200 # range of IP's , that give to clients when auth is good local ip = 10.0.0.1 refuse chap = yes refuse pap = yes require authentication = yes ppp debug = no # debug mode pppoptfile = /etc/ppp/options.xl2tpd # this is ppp options config file length bit = yes exclusive = no assign ip = yes name = VPN-Server 

इस कॉन्फ़िगरेशन में, फिर से, सभी महत्वपूर्ण स्थानों पर टिप्पणी की जाती है, और बाकी सहज हैं। सर्वर को कॉन्फ़िगर करते समय, विन्यास से टिप्पणियों को हटाया जाना चाहिए।

हम l2tp प्राधिकरण फ़ाइल - / etc / xl2tpd / l2tp-secret को कॉन्फ़िगर करते हैं। फ़ाइल में, हम सभी से कनेक्ट करते हैं, क्योंकि l2tp यहाँ ppp के माध्यम से काम करता है, तो हम ppp प्रमाणीकरण का उपयोग करेंगे।

 # Secrets for authenticating l2tp tunnels # us them secret # * marko blah2 # zeus marko blah # * * interop * * * # let all , because we use auth with ppp 

अगला, हमारे l2tp डेमॉन (/etc/ppp/options.xl2tpd) द्वारा अनुरोधित ppp कॉन्फिगर कॉन्फ़िगर करें:

 refuse-mschap-v2 refuse-mschap ms-dns 8.8.8.8 ms-dns 8.8.4.4 asyncmap 0 auth crtscts idle 1800 mtu 1200 mru 1200 lock hide-password local #debug name l2tpd proxyarp lcp-echo-interval 30 lcp-echo-failure 4 

L2tp डिबगिंग के लिए संचार या कनेक्शन समस्याओं के मामले में, हम बस "#debug" को अनसुना करते हैं और त्रुटियों के लिए सिस्टम लॉग / var / log / syslog में देखते हैं।

Ppp (/ etc / ppp / chap-secret) में प्राधिकरण कॉन्फ़िगर करें:

 # Secrets for authentication using CHAP # client server secret IP addresses test2 l2tpd test * 

लॉगिन - test2
सर्वर जिसके लिए यह जोड़ी प्राधिकरण के लिए मान्य है - l2tpd
पासवर्ड - परीक्षण
सभी आईपी पते वाले ग्राहक इस पासवर्ड से जुड़ सकते हैं - *

हम दोनों सेवाओं को फिर से शुरू करते हैं:

 /etc/init.d/ipsec restart /etc/init.d/xl2tpd restart 

अब कंटेनर के अंदर ही ipsec के मॉड्यूल के सही संचालन की जाँच करें:

 ipsec verify 

एक स्वस्थ ipsec उत्पादन कुछ इस तरह होगा:

 root@XXX:~# ipsec verify Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan U2.6.37-g955aaafb-dirty/K2.6.32-042stab084.10 (netkey) Checking for IPsec support in kernel [OK] SAref kernel support [N/A] NETKEY: Testing XFRM related proc values [OK] [OK] [OK] Checking that pluto is running [OK] Pluto listening for IKE on udp 500 [OK] Pluto listening for NAT-T on udp 4500 [OK] Checking for 'ip' command [OK] Checking /bin/sh is not /bin/dash [WARNING] Checking for 'iptables' command [OK] Opportunistic Encryption Support 

अब हम अपने वीपीएन l2tp को ipsec पर एन्क्रिप्शन के साथ कनेक्ट करने के लिए विंडोज 7 में एक क्लाइंट को कॉन्फ़िगर करेंगे।

सबसे पहले, एक नया वीपीएन कनेक्शन बनाएं।

इसके बाद, l2tp सर्वर का IP पता या FQDN नाम निर्दिष्ट करें

L2tp से उपयोगकर्ता नाम और पासवर्ड दर्ज करें

हम कनेक्शन सेटिंग्स को कनेक्ट और बंद नहीं करते हैं

हम अपने नए कनेक्शन के गुणों में जाते हैं और एक बार फिर से सर्वर एड्रेस (जनरल टैब) दर्ज करने की शुद्धता की जांच करते हैं

"सुरक्षा" टैब में, हमारे कनेक्शन का सही प्रकार (ipsec पर l2tp) सेट करें और CHAP प्रोटोकॉल का उपयोग करके प्राधिकरण को सक्षम करें। अतिरिक्त l2tp सेटिंग्स में, कुंजी द्वारा प्राधिकरण का चयन करें और IPsec से हमारे PSK दर्ज करें


सेटअप खत्म हो गया है। अब आप नए वीपीएन कनेक्शन का उपयोग कर सकते हैं।

आपका ध्यान देने के लिए धन्यवाद।

वागनोव निकोले, वरिष्ठ सिस्टम प्रशासक फास्टवीपीएस एलएलसी

UPD फिलहाल, लेख में निर्दिष्ट कर्नेल अस्थिर है और हमारे नोड्स पर स्थापित नहीं है। मुझे लगता है कि कुछ हफ़्ते के भीतर कर्नेल डेवलपर्स इसे एक स्थिर शाखा में शामिल करेंगे।