管理者メモ：OpenVPN + pfSense + Dreamkas =リテールオートメーション

この記事では、DreamkasベンダーのキャッシュデスクとpfSenseルーターがOpenVPNを介して1Cサーバーと連携し、公開チャンネルを介して（TLS / SSLを使用して）暗号化される設定例を検討します。

タスク：多くの店舗に多くのキャッシュデスクがあり、オフィスに1Cサーバーがあります。 相互作用を構成する必要があります。 1Cのセットアップは行いませんが、pfSenseルーターのOpenVPNとネットワークの構築に重点を置いています。 私の記事にはレジの詳細な説明はありません。

項目1.ソフトウェアを現在のバージョンに更新する

pfSenseバージョンはメインページで表示でき、同じ場所で文字通り3クリック+ 1回の再起動で更新されます。

キャッシャーのバージョンは、キャッシャー自体の「設定」メニューから自動的に更新できます。 多数のアップグレードオプションもあり、それらは製造元のWebサイトにリストされています。

OpenVPNの問題を最小限に抑えるには、主にソフトウェアの更新が必要です。 pfSenseの異なるバージョンでopenVPNを操作するための「ニュアンス」がありました。 不要な問題から身を守ります。 OpenVPNは比較的最近、興行収入にも登場しました。

ポイント2. CA証明書を書き出す

System-> Cert.Manager-> Caに移動し、Addボタンをクリックしてフィールドに入力します。



私はフィールドに注目します：

-証​​明書をまだ準備していない場合は、[ 内部を作成]を選択します
- ライフタイム（日） -CA証明書のライフタイム
- 共通名 -これは、設定でさらに表示される方法です。
意図的にデータを入力すると、変更することはできません。

ポイント3.サーバー証明書を書き出す

[システム]→[証明書マネージャー]→[証明書]に移動し、[追加]をクリックしてフィールドに入力します。



次の点に注意を引きます。

-証​​明書の準備ができていない場合は内部を作成します
- 認証局 -ポイント1で作成されたCA証明書を選択します
- 証明書タイプ選択サーバー
- 寿命（日） -サーバー証明書の寿命
- 共通名 -これは、設定でさらに表示される方法です。

ポイント4.クライアント証明書を書き出す

重要！ クライアントごとに-個別の証明書！ [システム]→[証明書マネージャー]→[証明書]に移動し、[追加]をクリックしてフィールドに入力します。 クライアントを選択する証明書タイプを除き、すべてが項目3と同様です。

次の点に注意を引きます。

- 認証局 -ポイント1で作成されたCA証明書を選択します
- 証明書タイプは クライアントを選択します
- 寿命（日） -サーバー証明書の寿命
- 共通名 -これは、設定でさらに表示される方法です。
-[ 代替名]フィールドを使用できますが、それが何であるかわからない場合は必要ありません（空白のままにします）。 一般に、このフィールドでは、openVPNクライアントの追加の設定とバインディングを指定できます。
-
私の経験を共有します-mag.address.kassanomerの形式で、 一般名で情報に基づいた名前を付けます -これにより、証明書が互いに視覚的に区別されます。

ポイント5. OpenVPNを構成する

ここではすべてが簡単です。 pfSenseのすべては、ユーザーフレンドリーなインターフェイスを介してマウスで構成されます。 開発者とすべてのコミュニティメンバーに感謝します。

VPN→OpenVPN→サーバーに移動し、サーバーを追加します。



コメントをします。

-私はタップトンネルで作業します。私にとってはより便利で、L2レベルを模倣しています。 あらゆる種類のマルチキャスト、ブロードキャストなど。
-UDPはTCPよりも高速であり、同じ条件下でのチャネル幅は大きくなります。 これは古代のOpenVPNの問題です。
- サーバーモード セクションでRemoteAccess モードを選択します。
-リストから[ ピア認証局]セクションでCA証明書を選択します。
-[サーバー証明書]セクションでサーバー証明書を選択します。
-DHパラメータの長さ（ビット）セクションで目的の長さを選択します。
-[ 証明書の深さ]セクションで[1（クライアント+サーバー）]モードを選択します。これは、仲介者を認証しないスキームです。
-[ IPv4トンネルネットワーク]セクションで、トンネルネットワーク、たとえば192.168.202.0/24を規定します。
-IPv4ローカルネットワーク（s）セクションでは、チケットオフィスが受け取るべきルーティング、リソースを規定しています。 私にとってこれは、たとえば192.168.100.2/32、192.168.1.0/24です。
-残りは触れずに残すことも、自分の判断で記入することもできます。 OpenVPNサーバーがハングするファイアウォールポートを開くことを忘れないでください。

重要！
チケットオフィスはサーバーにしがみつき、 IPv4トンネルネットワーク範囲からアドレスを受け取ります。アドレスは接続順に発行されます。 ただし、1Cサーバーは、「そのようなチェックアウト」が「そのような特定のアドレス」にあることを常に知っている必要があります。 したがって、さらに構成します。

VPN→OpenVPN→クライアント固有の上書き、追加ボタンに移動します。 特定のクライアントの設定を作成する必要があります。 各クライアントのIPアドレスをバインドします



アルゴリズムは次のとおりです。

- サーバーリストでサーバーを選択します
- 共通名は、第4項からのクライアント証明書の名前を登録します
-[ 詳細設定]セクションで、IPアドレス割り当てコマンドを記述します

ifconfig-push 192.168.202.12 255.255.255.0

ポイント6. pfSense証明書でアップロードする

次のファイルをアンロードする必要があります。

1）CA証明書
2）クライアント証明書+キー
3）SSL / TLSがある場合は、キーを保存します
4）dhパラメーター

アイテム1）および2）は、Webインターフェースを介してエクスポートされます。



3）のファイルは、OpenVPNサーバーの設定からエクスポートされます。 すでに作成している場合は、キーを登録してください。 コピーし、ファイルに貼り付けて、たとえばclient.tls-authファイルに保存します。

DHパラメータは次のコマンドで保存されます。

/usr/bin/openssl dhparam 1024 > /etc/dh1024.pem /usr/bin/openssl dhparam 2048 > /etc/dh2048.pem /usr/bin/openssl dhparam 4096 > /etc/dh4096.pem 

[診断]-> [ファイルの編集]メニューで、必要なファイル（たとえばdh1024.pem ）を開きます。DH設定はOpenVPNサーバー設定で指定されます。

項目7.一般的な開発用

TLS / SSLをセットアップしたとき、クライアントの設定に何を書けばよいのかほとんどわかりませんでした。OpenVPNについての知識はほとんどありませんでした。 ソリューションを真正面から試しました-クライアント接続を別のpfSenseモードで構成し、クライアント証明書をアップロードし、その動作を確認しました。 ルーターはWebインターフェースを介して設定され、接続は難しくありませんでした。

pfsense管理コンソールのおかげで、OpenVPNの設定が/ var / etc / openvpnフォルダーにあることがわかりました 。 ファイルの編集を使用すると、Webインターフェースのチェックマークとパラメーターのオン/オフがファイルにどのように書き込まれるかを確認できます。 同時に、キーをのぞくことができます。

同じことを行う場合は、OpenVPNクライアントと証明書をテストサーバーから削除することを忘れないでください。

アイテム8.キャッシュデスクのセットアップ

キャッシュデスクでは、デフォルトで、\\ ipaddress \ exchangeという名前のsmbフォルダーが開いており、書き込みアクセス権があります。 アイテム6から4つのファイルすべてをアップロードします。

SSH経由でチェックアウト、標準のデフォルトルートアカウント/ 324012に接続し 、ファイルを/ opt / networksに転送します。 はい、いくつかのLinuxが搭載されています。

サーバーに接続するには、 client.ovpnファイルが必要です。 ステップ 7で確認し、ニーズに合わせて編集できます。 同じ場所に置く-/ opt / networks。 私はこのようなものを得ました：

 client dev tap proto udp remote server_ip server_port keepalive 10 60 ping-timer-rem persist-tun persist-key cipher AES-128-CBC auth SHA1 resolv-retry infinite nobind persist-key persist-tun ca "//opt//networks//CAforOpenVPN.crt" cert "//opt//networks//mag.magaddress.kassa1.crt" key "//opt//networks//mag.magaddress.kassa1.key" dh "//opt//networks//dh1024.pem" tls-client tls-auth "//opt//networks//client.tls-auth" 1 ns-cert-type server verb 3 

ファイルが保存されます。 チェックアウトをリブートすると、たとえばrebootによってすべてが機能します。 サブネットのpfSenseでopenVPNインターフェイスにルールを設定することを忘れないでください！

チケットオフィスが機能していることを視覚的に確認する方法（接続）

オプション1-pfSenseメインページにOpenVPNウィジェットを配置する
オプション2-メニューステータス-> OpenVPNから
オプション3-キャッシャーを通じて。 sshを介して接続し、次に標準セット-ifconfig、pingなどを接続します...

アイテム9. 1Cの使用方法

smb-folderのキャッシュデスクには、作業材料が保管されています。 サーバー1Cはそれらを読み取り、書き込みます。 店舗ネットワークを設計するときは、情報セキュリティのこの穴に留意してください。

結果として

この記事では、無料のpfSenseルーターと多くのLinuxベースのキャッシュレジスタを使用して、数回クリックするだけで設定されるリモート1Cサーバーへの適切な暗号化トンネルを作成する方法の例を説明します。

説明した構成オプションでは、各リモートデバイスの個人証明書を備えたキャッシュデスクの非常にスケーラブルな接続スキームを取得します。

チェックアウト時にOpenVPNを直接使用すると、データ転送に関連する情報セキュリティリスクが無関係になります。

小さなアウトレットがある場合は、おそらくネットワークを構築する必要はありません。 3Gをサポートするルーターを購入し、インターネットを開始します-チケットオフィスはケーブルまたはWi-Fi経由でそれを受信し、サーバー自体をノックします。 私の規模では、これはネットワークインフラストラクチャの大幅な節約になります。

便利なリンク

pfSenseについて
OpenVPN PKI：サイト間ディスカッションガイド
製造元からの指示、TLS / SSLおよび暗号化なし

どうもありがとう。