Šifriranje OpenVPN. Izbira metode šifriranja za OpenVPN Uporaba žetonov na odjemalcu
Šifriranje OpenVPN
OpenVPN je odprtokodna programska rešitev, namenjena izvajanju virtualnih zasebnih omrežij - varnih šifriranih tunelov za prenos informacij prek "nevarnega" omrežja - interneta.
OpenVPN za šifriranje podatkov uporablja knjižnico OpenSSL. To je nabor že pripravljenih kriptografskih rešitev z možnostjo ustvarjanja šifrirnih ključev in dela s certifikati. Knjižnica ima odprto vir in je združljiv s številnimi operacijskimi sistemi.
Pri vzpostavljanju varnih povezav lahko uporabite dve metodi šifriranja OpenVPN – simetrično in asimetrično. Razlika med njima je ustvarjanje in uporaba ključev za šifriranje in dešifriranje.
- Simetrično šifriranje vključuje uporabo istega ključa za šifriranje in dešifriranje. Ključ mora ustvariti oddajno vozlišče in ga posredovati vsem ostalim po še nezavarovanem kanalu. Ostaja tveganje prestrezanja ključa in posledično uhajanja podatkov.
- pri asimetrično šifriranjeŠifriranje uporablja en ključ, dešifriranje pa je možno samo z drugim, drugačnim ključem. Vzpostavitev povezave z odprto omrežje Prenese se samo šifrirni ključ, ki ga ustvari prejemnik. Prestrezanje tega ključa onemogoči napadalcu dešifriranje podatkov, ključ za dešifriranje pa sploh ne pride v omrežje.
OpenVPN je združljiv s številnimi operacijskimi sistemi. Strojne požarne zidove, ki temeljijo na OpenVPN, odlikuje visoka toleranca napak. Če se omrežna povezava prekine, strežnik samodejno obnovi varno povezavo, ko je komunikacijski kanal ponovno vzpostavljen. Zahvaljujoč knjižnici OpenSSL je varnost povezave visoka. OpenVPN je brezplačen in odprtokoden, kar razvijalcem omogoča upravljanje in izboljšanje lastne funkcionalnosti.
> > Ni izpeljanka, ampak naključni ključ, ki se ustvari tik med
> > sejo. Asimetrično šifriranje po nepotrebnem zahteva veliko virov, zato podatki
> > seje niso šifrirane z njim. Šifrira le fazo izmenjave seje
> > simetrični šifrirni ključ. Nadaljnje šifriranje seje
> > poteka brez sodelovanja asimetričnih šifrirnih ključev.
>
> Kolikor razumem, ko se odjemalec poveže z openvpn z uporabo x.509
> se zgodi:
>
> 1. "Uporabite" "tls-auth ta.key" za "preprečevanje napadov DoS in
> Preplavljanje vrat UDP", ki je shranjen tako na strežniku kot na odjemalcu. (kot
> rabljeno? Algoritem še ni jasen.)
> 2. Avtorizacija z uporabo x.509 (ključi x.509 se na noben način ne uporabljajo za šifriranje
> promet). Odjemalec preveri, ali sta njegovo potrdilo in odjemalčevo potrdilo podpisana
> en CA in dejstvo, da potrdilo odjemalca ni na seznamu preklicev (če
> --crl-verify možnosti).
> 3. Pošiljanje stranki izpeljanke zaprtega dh dh2048.pem (ki,
> za razliko od ta.key je shranjen le na strežniku) javni ključ, ki
> uporablja se za asimetrično(!) šifriranje, za pošiljanje podatkov o seji
> ključ.
> 4. Generiranje poljubnega simetričnega ključa seje s strani strežnika
> (očitno s strani strežnika, ker odjemalcu ni treba imeti knjižnice openssl?)
Mora.
> in ga posreduje stranki.
>
> Je to pravilno razumevanje?
Natančneje, Vitus bo rekel, tam je plezal. Ampak kolikor razumem, splošno načelo -
sta odjemalec in strežnik vzajemno pooblaščena med postopkom vzpostavljanja povezave TLS in
že po vzpostavljenem šifriranem kanalu se dogovorijo o dejanskem delu
ključ, kot tudi parametre predora (naslovi, usmerjanje itd.).
Nadalje. Ne bom takoj rekel, kako točno OpenVPN uporablja DH, vendar je
Načeloma se ne uporablja za šifriranje. ne morem Uporablja se za
generiranje skupnega ključa s strani obeh strani brez dejanskega pošiljanja ključa.
Načeloma se lahko ta javni ključ nato uporabi za posredovanje »delavca«
ključ (to se zgodi v S/MIME, če uporabljate algoritme GOST - je kot
krat podobno shemo), ali pa je možno - za ločeno generiranje delovnih ključev na
obe strani (to se zgodi v TLS). Kolikor si lahko predstavljam, možnost
s pošiljanjem delujočega ključa z "poštenim" DH se ne uporablja nikjer. V S/MIME z
GOST se uporablja iz razlogov, ker nimamo neposrednega analoga RSA, ampak
obstoječe aplikacije preprosto ne znajo narediti drugače. Zato je potrebno
težavno z efemernim ključem in šifriranjem delujočega ključa na seznanjenem.
> > OpenVPN uporablja knjižnico OpenSSL. Mislim, da dokumentacija
> > tam moraš kopati.
>
> Ali lahko kdo priporoči kratek, a globok dokument (rus/eng) iz
> serija “kako deluje” (in ne “kaj je treba storiti, da deluje”)?
Najprej morate vzeti opis protokola OpenVPN. To je nestandardno sranje
zato morate pogledati v njegovo dok. Kam bo poslal v TLS - vzemite RFC
na TLS :-) No, naprej po okusu, do “Applied Cryptography”.
--
Artem Čuprina
RFC2822:
“ODOBRENO SEIU.00022-01 31 01 - LU Sub. in datum ORODJE ZA ZAŠČITO KRIPTOGRAFSKIH PODATKOV MagPro OpenVPN-GOST ver. 1.0 Vzajemno Inventarna št...."
ODOBRENA
SEIU.00022-01 31 01 - LU
podp. in datum
ORODJE ZA ZAŠČITO KRIPTOGRAFSKIH INFORMACIJ
MagPro OpenVPN-GOST ver. 1.0
V zameno. št. inv. št. dvojnik
Priročnik za sistemskega skrbnika
SEIU.00022-01 31 01
Listi 138
Inv. št. sub. podp. in datum
opomba
Ta dokument vsebuje vodnik za skrbnika sistema za delo s CIPF
"MagPro OpenVPN-GOST".
"MagPro" je registrirana blagovna znamka Cryptocom LLC.
SEIU.00022-01 31 01 3 Vsebina 1 UVOD 7 2 NAMESTITEV MagPro OpenVPN-GOST 8
2.1 Opombe za Linux (uporaba RPM-ja)................................. 8
2.2 Opombe o Linuxu (brez RPM)................................. 8
2.3 Opombe FreeBSD................................. 8
2.4 Opombe o sistemu Windows 8 2.4.1 Namestitev MagPro OpenVPN-GOST pod Windows za zagon s strani uporabnikov, ki nimajo skrbniških pravic ...... 9 2.4.2 Nadzor nad storitvijo MagPro OpenVPN-GOST iz grafičnega vmesnika MagPro OpenVPN-GOST.... ..... ............. 9 2.4.3 Windows »Zaženi kot«....................... .......... .... 10 2.4.4 Ustvarjanje ikone Zaženi kot v sistemu Windows 2000 .................. 10 2.4.5 Ustvarjanje Ikona Zaženi kot v operacijskem sistemu Windows XP....... 10 2.4.6 Zagon programa MagPro OpenVPN-GOST v operacijskem sistemu Windows.................. .. 10
3 IZBIRA MED USMERJENIM IN PREMOSTENIM VPN 12
4 NEMOŽNOST MagPro OpenVPN-GOST PREKO PROTOKOLA UDP 14 5 ŠTEVILENJE ZASEBNIH PODOMREŽIJ 156 NAMESTITEV LASTNEGA CERTIFIKACIJSKEGA CENTRA
(CA) IN IZDELAVA CERTIFIKATOV IN KLJUČEV ZA STREŽNIK MagPro
OpenVPN-GOST IN VEČ KOT EN ODJEMALEC 166.1 Uvod............................................. 16
6.2 Ustvarjanje samopodpisanega potrdila in ključa overitelja potrdil 17
– – –
13 KONFIGURIRANJE PRAVIL IN POLITIK, POSEBNIH ZA ODJEMALCA
DOSTOP 3614 UPORABA ALTERNATIVNIH METOD PREVERJANJA PRISTNOSTI 38
14.1 Uporaba skriptnih vtičnikov ................................. 38
14.2 Uporaba predmetov javni dostop ali DLL kot vtičniki..... 38
14.3 Uporaba avtentikacije z uporabniškim imenom in geslom kot edine oblike avtentikacije odjemalca....................................... ............... 39
– – –
1 UVOD MagPro OpenVPN-GOST je popoln VPN, ki temelji na SSL, ki izvaja razširitev omrežne varnosti ravni OSI 2 ali 3 z uporabo industrijskega standardnega protokola SSL/TLS, podpira prilagodljive metode avtentikacije na podlagi potrdil in/ali prijave/gesla, in omogoča uporabo po meri oz pravilnike skupine nadzor dostopa z uporabo pravil požarnega zidu, ki veljajo za virtualni vmesnik VPN. MagPro OpenVPN-GOST ni omrežni proxy strežnik in ne deluje prek spletnega brskalnika.
MagPro OpenVPN-GOST ponuja razširljiv način odjemalec/strežnik, ki omogoča, da se več odjemalcev poveže z istim strežniškim procesom MagPro OpenVPN-GOST prek enih vrat TCP.
Ta dokument vsebuje navodila po korakih za konfiguracijo MagPro OpenVPN-GOST.
– – –
2 NAMESTITEV MagPro OpenVPN-GOST Izvršljive datoteke MagPro OpenVPN-GOST je treba namestiti na odjemalske in strežniške stroje, ker iste izvršljive datoteke zagotavljajo tako odjemalske kot strežniške funkcije.
2.1 Opombe za Linux (uporaba RPM) Če uporabljate Distribucija Linuxa ki podpira pakete RPM (SuSE, Fedora, Redhat itd.), bi morali namestiti OpenVPN MagPro s tem mehanizmom. Če želite to narediti, morate uporabiti obstoječo dvojiško datoteko RPM datoteko za vašo distribucijo. Ko imate datoteko .rpm, jo lahko namestite z običajnim ukazom rpm -ivh openvpn-2.1_i386.rpm ali rpm -ivh openvpn-2.1_x86_64.rpm ali posodobite obstoječo namestitev z uporabo rpm -Uvh openvpn-2.1_i386.rpm .rpm ali rpm -Uvh openvpn-2.1_x86_64.rpm
Namestitev MagPro OpenVPN-GOST iz binarnega paketa RPM ima tri odvisnosti:
2.2 Opombe o Linuxu (brez RPM) Če uporabljate Debian ali distribucijo Linuxa, ki ne temelji na RPM, uporabite mehanizem paketov, značilen za vašo distribucijo, kot je apt-get za Debian.
2.3 Opombe o FreeBSD Namestitev MagPro OpenVPN-GOST na ta tip sistem izvedemo z namestitvijo binarnih paketov.
2.4 Opombe za Windows Ne pozabite, da bo MagPro OpenVPN-GOST deloval samo v sistemu Windows 2000 ali novejšem.
Upoštevajte tudi, da mora MagPro OpenVPN-GOST namestiti in zagnati uporabnik s skrbniškimi pravicami (to omejitev določa Windows, ne MagPro OpenVPN-GOST). To omejitev je mogoče zaobiti z zagonom programa MagPro OpenVPNGOST ozadje kot storitev, bodo v tem primeru tudi uporabniki, ki niso skrbniki, lahko dostopali do VPN-ja, ko bo nameščen.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe SEIU.00022-01 31 01 9 2.4.1 Namestitev MagPro OpenVPN-GOST pod Windows za zagon s strani uporabnikov, ki nimajo skrbniških pravic B namestitveni paket MagPro OpenVPN-GOST vključuje majhno storitveno lupino. Ta storitev preprosto zažene vse konfiguracijske datoteke, ki jih najde v imeniku OpenVPN\config. Če želite, da vaš tunel MagPro OpenVPN-GOST vedno deluje, ne glede na to, ali ste prijavljeni ali ne, lahko preprosto konfigurirate storitev MagPro OpenVPN-GOST, da se samodejno zažene, ko Zagon sistema Windows. Vendar je morda bolj priročno zagnati in zaustaviti tunel po želji, kar lahko storite tako, da zaženete in zaustavite storitev.
Glavna pomanjkljivost te metode je, da ni možnosti, da bi storitvi MagPro OpenVPN-GOST zagotovili geslo, ki je bilo uporabljeno za šifriranje vašega zasebnega ključa. To pomeni, da morate uporabiti nešifriran zasebni ključ. Da se izognete shranjevanju nezaščitenega zasebnega ključa na trdi disk, ga uvozite v shrambo potrdil MS in uporabite možnost cryptoapicert, da ga naložite. Ne pozabite, da storitev deluje kot lokalni sistem(privzeto), zato morate ključ in potrdilo uvoziti v sistemski račun, ne v svoj uporabniški račun.
Običajno zagon in zaustavitev storitve zahteva skrbniške pravice, vendar lahko standardnemu uporabniku podelite pravico do nadzora posamezne storitve. To storite s pripomočkom subinacl.exe, vključenim v Windows Resource Kit.
Da uporabniku John podeli pravico do zagona in onemogočanja storitve MagPro
OpenVPN-GOST, prijavite se kot skrbnik in zaženite naslednji ukaz:
subinacl /SERVICE "OpenVPNService" /GRANT=john=TO 2.4.2 Nadzor nad storitvijo MagPro OpenVPN-GOST iz grafičnega vmesnika MagPro OpenVPN-GOST Privzeta namestitev grafičnega vmesnika MagPro OpenVPN-GOST vam ne daje možnosti nadzora storitev MagPro OpenVPN-GOST. To lahko storite na dva načina. Če delate kot skrbnik in želite samo priročen način za nadzor storitve MagPro OpenVPN-GOST, lahko to storite prek skritega menija.
Če želite to narediti, morate naslednjo vrednost registra nastaviti na 1:
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\allow_service obstaja poseben način»Samo storitev«, primerno za uporabnike, ki delajo brez skrbniških pravic. Ta način spremeni vedenje dejanj Connect in Disconnect, tako da zaženejo in ustavijo storitev MagPro OpenVPN-GOST namesto neposrednega zagona openvpn.exe, kot običajno. Prav tako skrije meni z nastavitvami proxyja, ker ne vpliva na storitev.
Če želite omogočiti ta način, nastavite naslednjo vrednost registra na 1:
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\service_only Ne pozabite tudi, da običajen uporabnik nima dovoljenja za pisanje v imenik OpenVPN\config, zato ne bo mogel urejati konfiguracijske datoteke MagPro OpenVPN-GOST ali spremeniti svojega gesla, razen če mu daste dovoljenje za pisanje v te datoteke.
Če želite skriti te elemente menija, nastavite naslednje vrednosti prijavi se na 0:
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\allow_edit HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\allow_password Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 10 2.4.3 Windows »Zaženi kot«
Začenši z operacijskim sistemom Windows 2000 je mogoče zagnati aplikacijo kot uporabnik, ki ni trenutno prijavljen. Najboljši način uporabite to priložnost v tem primeru - z zagonom grafičnega vmesnika MagPro OpenVPN-GOST. Ker grafični vmesnik deluje kot skrbnik, je med delovanjem mogoče odpreti in zapreti poljubno število tunelov MagPro OpenVPN-GOST.
Ne pozabite, da z uporabo te funkcije uporabnikom dajete možnost, da razširijo svoje pravice do skrbnika. Če ne želite, da stroj deluje pod skrbniškim nadzorom, da se zaščitite pred zlonamerna koda iz omrežja, ki deluje s skrbniškimi pravicami, potem je to morda dober način, vendar če vašim uporabnikom pod nobenim pogojem ni dovoljeno zagnati aplikacij s skrbniškimi pravicami, NE uporabljajte tega načina dela z MagPro OpenVPN-GOST GUI!
Ko nameščate GUI, ne pozabite onemogočiti možnosti AutoStart OpenVPN GUI, saj boste morali ikono za zagon ustvariti ročno.
2.4.4 Ustvarjanje ikone Zaženi kot v sistemu Windows 2000
– Označite potrditveno polje Zaženi kot drug uporabnik.
2.4.5 Ustvarjanje ikone Zaženi kot v sistemu Windows XP
– Ustvarite običajno ikono za openvpn-gui.exe (c:\program files\openvpn\bin\openvpn-gui.exe) na namizju.
– Z desno miškino tipko kliknite ikono in izberite Lastnosti.
– Kliknite Napredno...
– Označite potrditveno polje Zaženi z drugimi poverilnicami.
Ko kliknete dvojni klik kliknite na to ikono, se prikaže okno, v katerega boste morali vnesti prijavo in geslo za uporabnika, v imenu katerega želite zagnati grafični vmesnik. Če želite, da se samodejno zažene, ko se prijavite, premaknite to ikono v imenik Startup v meniju Start-Programs. Nato boste ob vsaki prijavi neposredno pozvani k vnosu prijave in gesla.
2.4.6 Zagon MagPro OpenVPN-GOST v sistemu Windows Ko dokončate namestitev, je MagPro OpenVPN-GOST pripravljen za uporabo in je povezan z datotekami s pripono .ovpn. Če želite zagnati MagPro OpenVPN-GOST, lahko:
– – –
– Z desno miškino tipko kliknite konfiguracijsko datoteko MagPro OpenVPN-GOST (.ovpn) in izberite Zaženi OpenVPN s to konfiguracijsko datoteko. Za izhod lahko uporabite tipko F4.
– Zaženite MagPro OpenVPN-GOST iz ukazne vrstice Windows nizi z ukazom, kot je:
openvpn myconfig.ovpn OpenVPN-GOST, zagnan iz okna ukazne vrstice MagPro, lahko onemogočite s pritiskom na F4.
– Zaženite MagPro OpenVPN-GOST kot storitev tako, da postavite eno ali več konfiguracijskih datotek .ovpn v imenik \Program Files\OpenVPN\config in zaženete storitev MagPro OpenVPN-GOST, ki jo lahko nadzirate v meniju Start - Nadzorna plošča Skrbniška orodja - Storitve.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 12
3 IZBIRA MED USMERJENIM VPN IN VPN
TIP "MOST".Usmerjanje in premoščanje sta dva načina povezovanja sistemov prek VPN.
Ko se odjemalec poveže z oddaljenim omrežjem prek premoščenega VPN-ja, se mu dodeli naslov IP, ki je del oddaljenega fizičnega omrežja. Ethernetna omrežja, nato pa lahko komunicira z drugimi stroji v oddaljenem omrežju, kot da bi bili povezani lokalno.
Nastavitve premostitvenega VPN-ja zahtevajo posebno orodje, odvisno od operacijski sistem za povezavo ethernetne podomrežne kartice z navidezno napravo v slogu TAP.
Na primer, za Linux je takšno orodje brctl. V operacijskem sistemu Windows XP in novejšem izberite vmesnik TAP-Win32 in omrežni adapter Ethernet v Nadzorni plošči-Omrežne povezave, nato z desno miškino tipko kliknite in izberite Premostitvene povezave.
Ko se odjemalec poveže prek usmerjenega VPN-ja, uporablja svoje ločeno podomrežje, poti pa so vzpostavljene tako na odjemalskem računalniku kot na oddaljenem prehodu, da omogočijo nemoten prehod podatkovnih paketov skozi VPN. Tukaj odjemalec ni nujno isti stroj; lahko je podomrežje več strojev.
Usmerjanje in premoščanje sta s funkcionalnega vidika zelo podobna, pomembna razlika pa je v tem, da usmerjeni VPN ne dovoljuje prehoda oddaj IP, medtem ko premostitveni VPN to omogoča.
Te vrste VPN-jev vključujejo uporabo različnih adapterjev. naprava TAP
Navidezni ethernetni omrežni adapter, naprava TUN - virtualna IP povezava od točke do točke.
Ko uporabljate premoščeno VPN, morate vedno uporabiti -dev tap na obeh koncih povezave. Če uporabljate usmerjen VPN, lahko uporabite tako -dev tap kot -dev tun, vendar morate uporabiti isto stvar na obeh koncih povezave.
Dev tun je nekoliko bolj učinkovita možnost za primer usmerjanja.
Prednosti mostnega VPN-ja:
– Ni potrebe po konfiguraciji trditev o usmerjanju.
– Deluje s katerim koli protokolom, ki lahko deluje v omrežju Ethernet, vključno z IPv4, IPv6, Netware IPX, AppleTalk itd.
– Rešitev, ki jo je relativno enostavno konfigurirati.
Slabosti premostitvenih VPN-jev:
– Manj učinkovito kot usmerjanje in se ne prilagaja dobro.
Prednosti preusmerjenega VPN-ja:
– Učinkovitost in razširljivost
– Omogoča boljša nastavitev MTU za učinkovitost.
Slabosti preusmerjenega VPN-ja:
– Odjemalci morajo uporabljati strežnik WINS (kot je Samba), da omogočijo delovanje brskanja po omrežju prek VPN.
– Poti, ki povezujejo vsako podomrežje, morajo biti konfigurirane.
– Programska oprema, odvisno od oddaj, ne bo »videl« strojev na drugi strani VPN-ja.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 13
– Deluje večinoma samo z IPv4 in z IPv6 v primerih, ko ga gonilniki tun na obeh koncih povezave učinkovito podpirajo.
Na splošno je usmerjanje verjetno najboljša izbira za večino uporabnikov, ker je učinkovitejši in lažji za konfiguracijo (kot sama konfiguracija MagPro OpenVPN-GOST). Usmerjanje zagotavlja tudi večjo možnost selektivnega nadzora pravic dostopa na osnovi odjemalca.
1. VPN mora delovati s protokoli, ki niso IP, kot je IPX
2. Zaženete aplikacije prek VPN-ja, ki se zanašajo na omrežni rele (kot so spletne igre)
3. Želite imeti možnost brskanja po virih v skupni rabi prek VPN-ja brez namestitve strežnika Samba ali WINS.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 14 4 NEMOŽNOST DELOVANJA Programska oprema MagPro OpenVPN-GOST
PROTOKOL UDP
Upoštevati je treba, da zaradi posebnosti RFC4357 (http://www.ietf.org/rfc/rfc4357.txt) ta izvedba MagPro OpenVPNGOST (na splošno, kot katera koli druga izvedba MagPro OpenVPN-GOST), ne bo deloval po UDP.– – –
5 ŠTEVILČENJE ZASEBNIH PODOMREŽJ
Nastavitev VPN pogosto zahteva povezovanje zasebnih podomrežij z različnih lokacij.IANA je rezervirala naslednje tri bloke naslovnega prostora IP za zasebna omrežja (kodificirano v RFC 1918):
– – –
172.16.0.0 172.31.255.255 (predpona 172.16/12) 192.168.0.0 192.168.255.255 (predpona 192.168/16) Medtem ko je treba naslove iz teh blokov običajno uporabljati v konfiguracijah VPN, je pomembno izbrati naslove, ki zmanjšajo možnost sporov IP. naslove ali podomrežja. Vrste konfliktov, ki se jim je treba izogibati:
– Konflikti med različnimi mesti v VPN z uporabo istega številčenja podomrežij LAN;
– Povezave oddaljen dostop z mest, ki uporabljajo zasebna podomrežja, ki so v nasprotju z vašimi podomrežji VPN.
Na primer, recimo, da uporabljate priljubljeno podomrežje 192.168.0.0/24 kot zasebno podomrežje LAN. Zdaj se poskušate povezati z VPN iz internetne kavarne, ki uporablja isto podomrežje za svoj WiFi LAN. Imeli boste težave z usmerjanjem, ker vaša naprava ne bo razumela, ali se 192.168.0.1 nanaša na lokalna vrata WiFi ali na isti naslov v VPN.
Kot drug primer, recimo, da želite povezati več točk skupaj z VPN, vendar vsaka točka uporablja 192.168.0.0/24 kot svoje podomrežje LAN. To ne bo delovalo, razen če dodate dodatno prevajalsko plast NAT, ker VPN ne bo razumel, kako usmerjati pakete med več točkami, razen če te točke uporabljajo podomrežje, ki jih enolično identificira.
Najboljša rešitev je, da se izognete uporabi 10.0.0.0/24 ali 192.168.0.0/24 kot omrežnih naslovov LAN. Namesto tega uporabite nekaj, kar je manj verjetno, da bi ga uporabljali v WiFi kavarni, na letališču ali v hotelu, kjer bi morda želeli nastaviti oddaljeni dostop. Najboljši kandidati so podomrežja na sredini velikega bloka 10.0.0.0/8 (na primer 10.66.77.0/24).
Da bi se izognili konfliktom med številkami IP med lokacijami, vedno uporabite edinstveno številčenje za vaša podomrežja LAN.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 16
6 NAMESTITEV LASTNEGA
CERTIFIKACIJSKI CENTER (CA) IN USTVARJANJE
CERTIFIKATI IN KLJUČI ZA STREŽNIK MagPro
OpenVPN-GOST IN VEČ KOT EN ODJEMALEC6.1 Uvod
Prvi korak pri ustvarjanju konfiguracije MagPro OpenVPN-GOST je ustvarjanje PKI (infrastruktura javnih ključev). PKI je sestavljen iz:
Ločeno potrdilo (znano tudi kot javni ključ) in zasebni ključ za strežnik in vsakega odjemalca ter - korensko potrdilo CA in ključ, ki se uporabljata za podpis vsakega od potrdil strežnika in odjemalca.
Avtentikacija zahteva, da lahko odjemalec overi strežnik s svojim potrdilom. Poleg tega se lahko prepričate, da lahko strežnik overi odjemalce z njihovimi potrdili. MagPro OpenVPN-GOST podpira takšno dvosmerno avtentikacijo, kar pomeni, da mora odjemalec avtentikirati strežniško potrdilo, strežnik pa mora avtentikirati odjemalsko potrdilo, preden se vzpostavi medsebojno zaupanje.
Tako strežnik kot odjemalec se bosta avtentikirala tako, da najprej preverita, ali je predstavljeni kandidat podpisan s potrdilom CA, nato pa testirata informacije v glavi že avtenticiranega potrdila, kot je splošno ime potrdila ali njegova vrsta. (odjemalec ali strežnik).
Ta varnostni model ima številne zaželene funkcije z vidika VPN:
– Strežnik potrebuje samo lastno potrdilo/ključ – ni mu treba poznati posameznih potrdil vseh odjemalcev, ki bi se lahko povezali z njim.
– Strežnik bo sprejel samo odjemalce, katerih potrdila so bila podpisana na potrdilu CA (ki bo ustvarjeno spodaj). In ker lahko strežnik izvede to preverjanje podpisa, ne da bi moral sam dostopati do zasebnega ključa službe za potrdila, je lahko ključ službe za potrdila (najobčutljivejši ključ v celotnem PKI) na povsem drugem računalniku, celo na računalniku brez omrežne povezave.
– Če je zasebni ključ ogrožen, ga je mogoče deaktivirati z dodajanjem njegovega potrdila na seznam CRL (Certificate Revocation List). CRL omogoča, da se ogrožena potrdila selektivno zavrnejo, ne da bi bilo treba ponovno zgraditi celoten PKI.
– Strežnik lahko uveljavi pravice dostopa, specifične za odjemalca, na podlagi notranjih polj potrdila, kot je splošno ime.
Upoštevajte, da morata biti uri strežnika in odjemalca bolj ali manj sinhronizirani, sicer potrdila morda ne bodo delovala pravilno.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 17
6.2 Ustvarjanje samopodpisanega potrdila in ključa za overitelja potrdil Za ustvarjanje nabora ključev in potrdil, potrebnih za delovanje OpenVPNGOST, priporočamo uporabo nabora pripomočkov easy-gost ali miniUC, ki je priložen kot del distribucijskega kompleta.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 18
7 USTVARJANJE KONFIGURACIJSKIH DATOTEK ZA
STREŽNIKI IN ODJEMALCI
7.1 Pridobivanje primerov konfiguracijskih datotek
Najbolje je, da kot izhodišče za lastno konfiguracijo uporabite že pripravljene primere konfiguracijskih datotek MagPro OpenVPNGOST. Te datoteke lahko najdete v:
(V sistemu Windows) C:\Program Files\OpenVPN\samples (V sistemih, podobnih Unixu) Odvisno od sistema, vendar najpogosteje v sistemu Linux v imeniku /etc/openvpn/ in v FreeBSD v /usr/local/etc Imenik /openvpn Upoštevajte, da se v operacijskih sistemih Linux, BSD ali Unixu primeri konfiguracijskih datotek imenujejo server.conf in client.conf. V sistemu Windows se imenujeta server.ovpn in client.ovpn.
7.2 Strežnik za urejanje konfiguracijsko datoteko Primer konfiguracijske datoteke strežnika je idealno izhodišče za konfiguracijo strežnika MagPro OpenVPN-GOST. Ustvaril bo VPN z uporabo navideznega omrežnega vmesnika TUN (za usmerjanje), poslušal povezave odjemalcev na vratih tcp 1194 (številka vrat, rezervirana za VPN) in razdelil navidezne naslove povezovalnim odjemalcem iz podomrežja 10.9.1.0/24 .
Pred uporabo vzorčne konfiguracijske datoteke morate najprej urediti parametre ca, cert in ključ, da bodo kazali na datoteke, ki ste jih ustvarili prej.
Konfiguracija strežnika je zdaj uporabna, vendar jo boste morda želeli še spremeniti.
1. Če uporabljate bridge VPN, morate uporabiti server-bridge in dev tap namesto server and dev tun.
2. Če želite uporabiti drugačen nabor navideznih naslovov IP kot 10.9.1.0/24, morate spremeniti direktivo strežnika. Ne pozabite, da mora biti ta niz navideznih naslovov zasebni niz, ki se ne uporablja v vašem omrežju.
3. Dodajte direktivo odjemalca do odjemalca, če želite, da se povezovalni odjemalci med seboj vidijo prek VPN-ja. Odjemalci lahko privzeto vidijo samo strežnik.
4. Če uporabljate Windows, morate zakomentirati navodili uporabnika nobody in group nobody.
Če želite zagnati več primerkov MagPro OpenVPN-GOST na istem računalniku, vsakega s svojo konfiguracijsko datoteko, je to mogoče, če:
1. uporabite ločeno številko vrat za vsak primerek.
2. Če uporabljate Windows, mora vsaka konfiguracija MagPro OpenVPN-GOST uporabljati svoj adapter TAP-Win32. Dodatne adapterje lahko dodate v meniju Start - Vsi programi - MagPro OpenVPN-GOST - Dodajte nov navidezni ethernetni adapter TAP-Win32.
3. Če zaženete več primerkov MagPro OpenVPN-GOST iz istega imenika, ne pozabite urediti direktiv, ki ustvarjajo izhodne datoteke, tako da različni primerki ne prepišejo izhodnih datotek drug drugega. Te direktive vključujejo dnevnik, dodajanje dnevnika in status.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 19
7.3 Urejanje konfiguracijskih datotek odjemalca Primer konfiguracije odjemalca (client.conf v sistemu Linux/BSD/Unix ali client.ovpn v sistemu Windows) odraža privzete direktive, nastavljene v vzorčni konfiguracijski datoteki strežnika.
1. Tako kot pri konfiguracijski datoteki strežnika najprej uredite parametre ca, cert in key tako, da bodo kazali na datoteke, ki ste jih ustvarili prej. Upoštevajte, da mora imeti vsak odjemalec svoj par potrdilo/ključ. Samo datoteka ca je univerzalna za strežnik MagPro OpenVPN-GOST in vse odjemalce.
2. Nato uredite oddaljeno direktivo, tako da kaže na ime gostitelja/naslov IP in številko vrat strežnika MagPro OpenVPN-GOST (če bo vaš strežnik MagPro OpenVPNGOST deloval na računalniku z enim omrežnim adapterjem za požarnim zidom/NATgate, uporabite vrata za javni naslov IP in številko vrat, ki ste jih konfigurirali za vrata za posredovanje na strežnik MagPro OpenVPN-GOST).
3. Na koncu se prepričajte, da se konfiguracijska datoteka odjemalca ujema z direktivami v konfiguracijski datoteki strežnika. Najpomembneje je preveriti, ali se direktivi dev (tun ali tap) in proto (tcp) ujemata. Prepričajte se tudi, da sta comp-lzo in fragment, če se uporabljata, prisotna v konfiguracijskih datotekah strežnika in odjemalca.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 20
8 ZAGON VPN IN ZAČETNI TEST
POVEZLJIVOST
8.1 Zagon strežnika Najprej se prepričajte, da bo strežnik MagPro OpenVPN-GOST dostopen iz interneta. To pomeni:
– Odprite vrata TCP 1194 na požarnem zidu (ali katera koli druga vrata TCP, ki ste jih konfigurirali) oz
– Nastavite pravilo posredovanja vrat za posredovanje vrat TCP 1194 od požarnega zidu/vrat do naprave, kjer se izvaja strežnik MagPro OpenVPN-GOST.
Za lažje iskanje napak je bolje, da najprej zaženete strežnik MagPro OpenVPN-GOST iz ukazne vrstice (ali z desno miškino tipko kliknete datoteko .ovpn v sistemu Windows) in ga ne izvajate kot demon ali storitev:
Običajni zagon strežnika Openvpn bi moral izgledati nekako tako (izhod se lahko razlikuje glede na različne operacijske sisteme):
Sun Feb 6 20:46:38 2005 OpenVPN 2.1 i686-suse-linux zgrajen 5. februarja 2005 Sun Feb 6 20:46:38 2005 Diffie-Hellman inicializiran s 1024-bitnim ključem
Sun, 6. februar 20:46:38 2005 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0
ET:0 EL:0 ] Sun Feb 6 20:46:38 2005 TUN/TAP naprava tun1 odprta Sun Feb 6 20:46:38 2005 /sbin/ifconfig tun1 10.9.0.1 pointopoint 10.9.0.2 mtu 1500 Sun Feb 6 20: 46:38 2005 /sbin/route add -net 10.9.0.0 omrežna maska 255.255.255.0 gw 10.9.0.2 Sun, 6. februar 20:46:38 2005 Podatkovni kanal MTU parms [ L:1542 D:1450 EF:42 EB:23 ET: 0 EL:0 AF:3/1 ] Sun Feb 6 20:46:38 2005 Lokalna povezava UDPv4 (vezana): :1194 Sun Feb 6 20:46:38 2005 UDPv4 povezava na daljavo: Sun Feb 6 20:46:38 2005 MULTI: poklican multi_init, r=256 v=256 Sun Feb 6 20:46:38 2005 IFCONFIG POOL: base=10.9.0.4 size=62 Sun Feb 6 20:46:38 2005 IFCONFIG POOL LIST Sun 6 Feb 20:46: 38 Zaporedje inicializacije 2005 je končano
8.2 Zagon odjemalca Kot v primeru konfiguracije strežnika je bolje zagnati odjemalca MagPro OpenVPN-GOST iz ukazne vrstice (ali v sistemu Windows z desno miškino tipko kliknite datoteko client.ovpn), namesto da ga zaženete kot demon ali storitev:
openvpn Običajni zagon odjemalca v sistemu Windows bo podoben zgornjemu izhodu strežnika in se mora končati s sporočilom Zaporedje inicializacije je dokončano.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe SEIU.00022-01 31 01 21 Zdaj poskusite poslati ping signal prek VPN od odjemalca. Če uporabljate usmerjanje (tj.
dev tun v konfiguracijski datoteki strežnika), poskusite:
ping 10.9.
1.0 Če uporabljate »most« VPN (tj. dotik za razvijalce v konfiguracijski datoteki strežnika), poskusite poslati signal ping na naslov IP naprave v podomrežju Ethernet strežnika.
Če je signal uspešen, čestitamo! Zdaj imate delujoč VPN.
8.3 Odpravljanje težav Če signal ping ne poteka ali se inicializacija odjemalca MagPro OpenVPN-GOST ne dokonča, je tukaj seznam pogostih simptomov in njihovih rešitev:
1. Prejmete signal napake: Napaka TLS: pogajanje o ključu TLS ni uspelo v 60 sekundah (preverite omrežno povezljivost). Ta napaka pomeni, da odjemalec ni mogel vzpostaviti omrežne povezave s strežnikom.
rešitve:
– Prepričajte se, da odjemalec uporablja pravilno ime gostitelja/naslov IP in številko vrat, ki ji bodo omogočili povezavo s strežnikom MagPro OpenVPN-GOST.
– Če je strežniška naprava MagPro OpenVPN-GOST računalnik z enim omrežnim adapterjem v varnem LAN-u, se prepričajte, da uporabljate pravilno pravilo za posredovanje vrat na požarni zid strežnika. Na primer, recimo, da je vaš strežnik OpenVPN na 192.168.4.4 znotraj požarnega zidu in posluša povezave odjemalcev na vratih TCP 1194. Vrata NAT, ki strežejo podomrežju 192.168.4.x, bi morala imeti pravilo za posredovanje vrat, ki pravi "naprej vrata TCP 1194 z mojega javnega naslova IP na 192.168.4.4."
– Odprite požarni zid strežnika, da dovolite dohodne povezave na vratih TCP 1194 (ali katerih koli vratih TCP, ki ste jih konfigurirali v konfiguracijski datoteki strežnika).
2. Prejmete sporočilo o napaki: Initialization Sequence Completed with errors - Ta napaka se lahko pojavi v sistemu Windows, če a) nimate zagnane storitve DHCP ali b) uporabljate določene osebne požarne zidove tretjih oseb v XP SP2.
Rešitev: Zaženite strežnik za odjemalca DHCP in se prepričajte, da uporabljate osebni požarni zid, za katerega je znano, da pravilno deluje na XP SP2.
3. Prejmete sporočilo Initialization Sequence Completed, vendar signal ping ne gre skozi - to običajno pomeni, da je požarni zid na strežniku oz. stran stranke blokira prenos prek omrežja VPN s filtriranjem na vmesniku TUN/TAP.
Rešitev: Onemogočite filtriranje vmesnika TUN/TAP na odjemalcu v požarnem zidu odjemalca (če obstaja). Na primer v sistemu Windows XP SP2 lahko to storite v sistemu Windows Varnostni center– Požarni zid Windows – Napredno in počistite polje, ki ustreza adapterju TAP-Win32 (onemogočanje filtriranja vmesnika TUN/TAP v požarnem zidu odjemalca je na splošno pametno z varnostnega vidika, saj požarnemu zidu v bistvu sporočate, naj ne blokira preverjenih prenosov VPN) . Prepričajte se tudi, da vmesnika TUN/TAP na strežniku ne filtrira požarni zid (upoštevajte, da ima lahko selektivno blokiranje vmesnika TUN/TAP na strani strežnika s požarnim zidom nekatere varnostne prednosti.) Spremenite zaporedno številko Podpis odgovorne osebe Datum of Change Change CEIU .00022-01 31 01 22 9 KONFIGURACIJA MagPro OpenVPN-GOST ZA
AVTOMATSKI ZAGON OB ZAGONU SISTEMA
Pomanjkanje standardov na tem področju pomeni, da jih ima večina operacijskih sistemov svojo pot Konfiguriranje demonov/storitev za zagon ob zagonu sistema. Najboljši način za privzeto konfiguracijo te funkcije je namestitev MagPro OpenVPN-GOST kot paketa, na primer prek RPM v sistemu Linux ali z uporabo namestitvenega programa Windows.9.1 Linux Če namestite MagPro OpenVPN-GOST prek paketa RPM v Linuxu, bo namestitveni program namestil začetni skript. Ko se izvede, bo initscript poiskal konfiguracijske datoteke .conf v /etc/openvpn in če jih najde, bo zagnal ločen demon MagPro OpenVPN-GOST za vsako datoteko.
9.2 Windows Namestitveni program za Windows bo namestil storitveno lupino, vendar jo pusti privzeto onemogočeno. Če ga želite aktivirati, pojdite na Nadzorna plošča / Administrativna orodja / Storitve, izberite storitev OpenVPN, z desno miškino tipko kliknite lastnosti in nastavite Vrsta zagona na Samodejno. To bo konfiguriralo storitev za samodejni zagon ob naslednjem ponovnem zagonu.
Ob zagonu bo storitvena lupina MagPro OpenVPN-GOST skenirala imenik \Program Files\OpenVPN\config v iskanju konfiguracijskih datotek .ovpn in zagnala ločen postopek MagPro OpenVPN-GOST za vsako datoteko.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 23 10 UPRAVLJANJE ZAGNJENEGA PROCESA MagPro OpenVPN-GOST
10.1 Delo na Linux/BSD/Unix
MagPro OpenVPN-GOST prejme več signalov:
SIGUSR1 - pogojni ponovni zagon, zasnovan za ponovni zagon brez korenskih pravic SIGHUP - trdi ponovni zagon SIGUSR2 - statistika odhodne povezave v datoteko dnevnika oz. syslog SIGTERM, SIGINT - izhod Uporabite direktivo writepid, da zapišete PID demona MagPro OpenVPN-GOST v datoteko, da boste vedeli, kam poslati signal (če zaženete openvpn z initscriptom, lahko skript že posreduje direktivo –writepid v ukazna vrstica openvpn).
10.2 Delo v sistemu Windows v grafičnem vmesniku Čeprav je MagPro OpenVPN-GOST mogoče zagnati kot demon, storitev ali iz ukazne vrstice, je mogoče MagPro OpenVPN-GOST nadzorovati prek grafičnega vmesnika.
10.3 Delo v oknu ukazne vrstice Windows V sistemu Windows lahko MagPro OpenVPN-GOST zaženete tako, da z desno tipko miške kliknete konfiguracijsko datoteko MagPro OpenVPN-GOST (datoteka .ovpn) in izberete Zaženi OpenVPN v tej konfiguracijski datoteki.
Če MagPro OpenVPN-GOST zaženete na ta način, je na voljo več ukazov na tipkovnici:
F1 - pogojni ponovni zagon (ne zapre/ponovno odpre adapterja TAP) F2 - prikaži statistiko povezave F3 - trdi ponovni zagon F4 - izhod
10.4 Delovanje kot storitev Windows Ko je MagPro OpenVPN-GOST zagnan kot storitev v sistemu Windows, jo lahko upravljate le:
– Preko upravitelja upravljanja storitev (Nadzorna plošča / Administrativna orodja / Storitve), ki omogoča zagon in onemogočanje storitve;
– Prek krmilnega vmesnika (glejte razdelek 10.7)
10.5 Spreminjanje konfiguracije delujočega strežnika Čeprav večina sprememb konfiguracije zahteva ponovni zagon strežnika, obstajata dve direktivi, povezani z datotekami, ki ju je mogoče dinamično spreminjati med delovanjem in bosta takoj vplivali na strežnik, ne da bi bilo treba ponovno zagnati proces.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 24 client-config-dir - ta direktiva nastavi konfiguracijski imenik odjemalca, ki ga bo MagPro OpenVPN-GOST pregledal z vsako dohodno povezavo v iskanje konfiguracijske datoteke, specifične za odjemalca. Datoteke v tem imeniku lahko spreminjate med delovanjem, brez ponovnega zagona strežnika. Upoštevajte, da bodo spremembe v tem imeniku vplivale samo na nove povezave, ne na obstoječe povezave. Če želite, da ima sprememba konfiguracijske datoteke, specifične za odjemalca, takojšen učinek na odjemalca, ki je že povezan (ali na odjemalca, ki je že prekinil povezavo, vendar strežnik še ni uničil njegovega primerka), uničite odjemalski primerek z vmesnik za upravljanje (glejte razdelek 10.7). To bo prisililo odjemalca, da se znova poveže in uporabi nov imenik konfiguracije odjemalca.
crl-verify – Ta direktiva poimenuje seznam preklicanih potrdil, opisan spodaj v razdelku Preklic potrdila. Datoteko CRL lahko spreminjate sproti in spremembe bodo takoj vplivale na nove povezave ali obstoječe povezave, ki posodobijo svoj kanal SSL/TLS (privzeto se to zgodi enkrat na uro). Če želite uničiti povezanega odjemalca, katerega potrdilo je bilo pravkar dodano v CRL, uporabite vmesnik za upravljanje (glejte razdelek 10.7).
10.6 Statusna datoteka Privzeta datoteka server.conf ima statusno vrstico openvpn-status.log, ki enkrat na minuto prikaže seznam trenutnih povezav odjemalca v datoteko openvpn-status.log.
10.7 Uporaba vmesnika za upravljanje Vmesnik za upravljanje MagPro OpenVPN-GOST vam omogoča administrativno upravljanje MagPro OpenVPN-GOST iz zunanjega programa prek vtičnice TCP.
Vmesnik je bil zasnovan posebej za razvijalce GUI in za tiste, ki bi radi programsko ali na daljavo upravljali demon MagPro OpenVPN-GOST.
Vmesnik za upravljanje je implementiran s povezavo TCP odjemalec-strežnik, kjer bo MagPro OpenVPN-GOST poslušal posredovan naslov IP in vrata za dohodne povezave za upravljanje odjemalcev.
Nadzorni protokol zdaj temelji na besedilu brez kompleksne zaščitne plasti. Zaradi tega je priporočljivo, da upravljalni vmesnik posluša na lokalnem gostitelju (127.0.0.1) ali lokalnem naslovu VPN. Možno se je na daljavo povezati z vmesnikom za upravljanje na samem VPN-ju, čeprav bodo nekatere funkcije v tem načinu omejene, na primer možnost zagotavljanja gesel iz zasebne ključe.
Vmesnik za upravljanje je omogočen v konfiguracijski datoteki MagPro OpenVPN-GOST z uporabo naslednjih direktiv:
–management-query-passwords
–management-log-cache Ko MagPro OpenVPN-GOST deluje s priključeno plastjo upravljanja, se lahko prek telneta povežete z vrati za upravljanje (uporabite odjemalca telneta, ki razume "grobi" način).
– – –
Ko se povežete z vrati za upravljanje, lahko uporabite ukaz za pomoč za seznam vseh ukazov.
10.7.1 Ukaz echo Ta ukaz se uporablja za vnos parametrov, specifičnih za grafični vmesnik, v konfiguracijsko datoteko MagPro OpenVPN-GOST ali prenos parametrov, specifičnih za grafični vmesnik, v odjemalca MagPro OpenVPN-GOST s strežnika .
Primeri ukazov:
echo on - vklopi obvestila o sporočilih v realnem času echo echo all - prikaže trenutni seznam zgodovine echo echo off - izklopi obvestila o sporočilih v realnem času echo on all - atomsko vklopi obvestila v realnem času in prikaže vsa sporočila v medpomnilniku zgodovine Recimo, da razvijate grafični vmesnik za MagPro OpenVPN-GOST in želite strežniku MagPro OpenVPN-GOST dati možnost, da od vmesnika zahteva, da pozabi vsa shranjena gesla.
V konfiguracijsko datoteko strežnika MagPro OpenVPN-GOST dodajte:
push "echo pozabi-gesla" Ko odjemalec MagPro OpenVPN-GOST prejme svoj seznam direktiv od strežnika, bo direktiva echo pozabi-gesla na seznamu in bo povzročila, da vmesnik za upravljanje shrani niz pozabljenih gesel na svoj seznam echo parametri.
Odjemalec za upravljanje lahko za izhod uporabi echo all celoten seznam echo parameters, echo on, da omogočite obveščanje teh parametrov v realnem času prek predpone ECHO:, ali echo off, da onemogočite obveščanje v realnem času.
Ko se grafični uporabniški vmesnik poveže z nadzorno vtičnico MagPro OpenVPNGOST, lahko izda ukaz echo all, ki bo ustvaril izhod, kot je:
1101519562,forget-passwords END V bistvu nam je ukaz echo omogočil posredovanje parametrov s strežnika MagPro OpenVPNGOST odjemalcu in nato odjemalcu za upravljanje (kot je GUI). Veliko celo število - datum/čas Unixa, ko je bil prejet parameter echo.
Če je odjemalec za upravljanje izdal odmev na ukaz, bo omogočil obveščanje parametrov odmeva v realnem času.
V tem primeru bi naše sporočilo o pozabljenih geslih imelo rezultat kot:
ECHO:1101519562,pozabi-gesla
Tako kot ukaz log lahko tudi ukaz echo atomsko prikaže zgodovino, medtem ko omogoča posodobitve v realnem času:
echo on all Velikost medpomnilnika echo je trenutno strogo omejena na 100 sporočil.
10.7.2 exit, quit Command Zapre sejo upravljanja in nadaljuje s poslušanjem povezav drugih odjemalcev na vratih upravljanja. Trenutno lahko demon MagPro OpenVPN-GOST v danem trenutku podpira največ enega odjemalca za upravljanje.
– – –
10.7.3 Ukaz za pomoč Prikaže kratek seznam ukazov.
10.7.4 Ukaz za zadrževanje Ukaz za zadrževanje je mogoče uporabiti za manipulacijo z zastavico zadrževanja ali sprostitev MagPro OpenVPN-GOST iz stanja zadrževanja.
Če je zastavica za zadržanje nastavljena ob prvem zagonu ali ponovnem zagonu, bo OpenVPN MagPro v zamrznjenem stanju, preden se tunel inicializira, dokler vmesnik za upravljanje ne prejme ukaza za sprostitev zadrževanja.
Direktivo MagPro OpenVPN-GOST –management-hold lahko uporabite za zagon MagPro OpenVPN-GOST z nastavljeno zastavico za zadržanje.
Nastavitev zastavice za zadržanje je trajna in je ne bodo preklopili s ponovnimi zagoni.
MagPro OpenVPN-GOST bo nakazal, da je v stanju čakanja, s pošiljanjem obvestila v realnem času odjemalcu za upravljanje:
HOLD: Čakanje na sprostitev zadrževanja
Primeri ukazov:
zadrži - prikaže trenutno zastavico zadrževanja, 0=onemogočeno, 1=omogočeno.
zadrži - omogoči zastavico zadrževanja, da bodo prihodnji ponovni zagoni povzročili stanje zadrževanja.
zadrži - onemogoči zastavico zadrževanja, tako da prihodnji ponovni zagoni ne povzročijo stanja zadrževanja.
sprostitev zadrževanja - zapustite stanje zadrževanja in zaženite MagPro OpenVPN-GOST, vendar ne spreminjajte trenutnega stanja zastavice za zadrževanje.
10.7.5 Ukaz kill V strežniškem načinu uniči določen primerek odjemalca.
Primeri ukazov:
kill Test-Client - uniči primerek odjemalca s splošnim imenom "Test-Client".
ubiti 1.2.
3.4.4000 - uniči instanco odjemalca z odhodnim naslovom in vrati 1.2.3.4.4000.
Uporabite ukaz "status", da vidite, kateri odjemalci so povezani.
10.7.6 Ukaz dnevnika Prikaže dnevniško datoteko MagPro OpenVPN-GOST. Vmesnik za upravljanje predpomni le zadnjih n vrstic dnevniške datoteke, kjer n nadzira MagPro OpenVPN-GOST – direktiva management-log-cache.
Primeri ukazov:
prijavi se - Omogoči sprotni izhod dnevniškega sporočila log all - Prikaži trenutno predpomnjeno zgodovino dnevniške datoteke log on all - Atomično prikaži vso trenutno predpomnjeno zgodovino dnevniške datoteke, nato omogoči sprotni izpis dnevniškega sporočila odjava - Onemogoči obvestilo o sprotnem dnevniškem sporočilu dnevnik 20 - prikaži zadnjih 20 vrstic zgodovine dnevniške datoteke
Oblika obvestila v realnem času:
– – –
Dnevniška sporočila v realnem času se začnejo s predpono LOG:, ki ji sledijo polja, ločena z vejico:
1. Unix celoštevilski datum/čas
2. nič ali več zastavic sporočila v eni vrstici:
I - informativni F - usodna napaka N - neusodna napaka W - opozorilo D - odpravljanje napak in
3. besedilo sporočila.
10.7.7 Ukaz za izklop zvoka Spremeni parameter za izklop zvoka MagPro OpenVPN-GOST. Ta možnost se uporablja za izogibanje prikazovanju podvojenih sporočil iste kategorije sporočil.
Primeri ukazov:
utišaj 40 - nastavite parameter utišanja na 40 utišajte - pokažite trenutno vrednost utišanja 10.7.8 net ukaz (samo Windows) Omogoča enakovreden rezultat direktive MagPro OpenVPN-GOST –shownet. Izhod vključuje pogled MagPro OpenVPN-GOST na seznam sistemskih omrežnih adapterjev in usmerjevalno tabelo na podlagi informacij, ki jih vrne Windows IP helper API.
10.7.9 Ukaz za geslo in uporabniško ime Ukaz za geslo se uporablja za prenos gesel v MagPro OpenVPN-GOST.
Če je MagPro OpenVPN-GOST zagnan z direktivo –management-query-passwords, bo vmesnik za upravljanje vprašal za gesla zasebnega ključa in geslo/prijavo –authuser-pass.
Ko MagPro OpenVPN-GOST potrebuje geslo iz vmesnika za upravljanje, prikaže sporočilo PASSWORD: v realnem času.
Primer 1:
GESLO:Potrebno je geslo 'Zasebnega ključa' MagPro OpenVPN-GOST kaže, da potrebuje geslo tipa "zasebni ključ".
Stranka upravljanja bi morala na to zahtevo odgovoriti takole:
geslo "Zasebni ključ" foo
Primer 2:
GESLO:Potrebno je uporabniško ime/geslo 'Auth' MagPro OpenVPN-GOST potrebuje geslo –auth-user-pass.
Stranka upravljanja bi morala odgovoriti:
Uporabniško ime "Auth" foo geslo Vrstica "Auth" Sama prijava in geslo sta lahko v narekovajih in Posebni simboli, kot so dvojni narekovaji ali poševnice nazaj, morajo biti pod ubežnim zaporedjem, na primer:
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 28 geslo "Private Key" "foo\"bar" Pravila za sestavljanje ubežnih zaporedij so enaka kot za konfiguracijsko datoteko.
Vrsta sporočila PASSWORD v realnem času se lahko uporablja tudi za označevanje, da je geslo napačno ali da druge vrste preverjanja pristnosti niso uspele:
Primer 3: geslo zasebnega ključa je napačno in MagPro OpenVPN-GOST se zruši:
GESLO: Preverjanje ni uspelo: 'Zasebni ključ'
Primer 4: prijava/geslo –auth-user-pass ni pravilna in MagPro OpenVPN-GOST zapre:
GESLO: Preverjanje ni uspelo: 'Auth' 10.7.10 ukaz signala Ukaz signala pošlje signal demonu MagPro OpenVPN-GOST. Signal je lahko eden izmed SIGHUP, SIGTERM, SIGUSR1 ali SIGUSR2.
Primer ukaza:
signal SIGUSR1 - pošlje demonu signal SIGUSR1 10.7.11 ukaz stanja Prikaže trenutno stanje MagPro OpenVPN-GOST, prikaže zgodovino stanja ali omogoči obveščanje o spremembah stanja v realnem času.
Obstajajo stanja MagPro OpenVPN-GOST:
– POVEZOVANJE - začetno stanje MagPro OpenVPN-GOST
– WAIT - (samo odjemalec) čaka na prvi odgovor strežnika
– AUTH - (samo odjemalec) overi strežnik
– GET_CONFIG - (samo odjemalec) prenese konfiguracijske možnosti s strežnika.
– ASSIGN_IP - dodeli naslov IP navideznemu omrežnemu vmesniku.
– ADD_ROUTES - dodaja usmerjanje v sistem
– CONNECTED - inicializacijsko zaporedje je zaključeno.
– PONOVNA POVEZAVA - prišlo je do ponovnega zagona
– IZSTOP - v procesu previdnega izhoda.
Primeri ukazov:
stanje - Prikažite trenutno stanje MagPro OpenVPN-GOST.
stanje vklopljeno - omogoči obveščanje o spremembah stanja v realnem času stanje izklopljeno - onemogoči obveščanje o spremembah stanja v realnem času stanje vse - prikaže trenutno zgodovino stanja stanje 3 - prikaže zadnje 3 prehode stanja stanje na vseh - atomsko prikaže zgodovino stanja in ob hkrati omogoči obveščanje o prihodnjih prehodih stanj v realnem času.
Izhodni format je sestavljen iz 4 parametrov, ločenih z vejicami:
1. celo število Unix datum/čas
2. ime drž
3. izbirni opisni niz (uporablja se predvsem z RECONNECTING ali EXITING za prikaz razloga za prekinitev povezave)
– – –
4. izbirni lokalni naslov IP TUN/TAP (prikazano za ASSIGN_IP in CONNECTED).
Sporočila o stanju v realnem času bodo imela predpono STATE:.
10.7.12 Stanje ukaza Prikazuje trenutne informacije o statusu demona v enakem formatu, kot ga uporablja MagPro OpenVPN-GOST – direktiva statusa.
Primeri ukazov:
stanje - prikažite informacije o stanju s privzeto različico zapisa stanja.
stanje 2 - prikažite informacije o stanju z uporabo oblike zapisa stanja različica 2.
10.7.13 uporabniško ime Ukaz Glejte razdelek 10.7.9.
10.7.14 Ukazni glagol Spremeni parameter MagPro OpenVPN-GOST –verb. Parameter glagola nadzoruje podrobnost izhoda in je lahko v razponu od 0 (ni izhoda) do 15 (največji izhod).
Primeri ukazov:
glagol 4 - spremeni parameter glagola v glagol 4 - prikaže trenutno nastavitev parametra glagola 10.7.15 ukaz različice Prikaže trenutne različice MagPro OpenVPN-GOST in vmesnik za upravljanje.
10.7.16 ukaz auth-retry Nastavi parameter auth-retry, ki nadzoruje, kako se MagPro OpenVPN-GOST odziva na napake pri preverjanju pristnosti prijave/gesla.
Primeri ukazov:
auth-retry interact - ne zapustite, če ste vnesli napačno prijavo in geslo.
Zahtevajte nov vnos in poskusite znova.
10.7.17 Oblika sporočila v realnem času
Vmesnik za upravljanje MagPro OpenVPN-GOST ustvari dve vrsti izhoda:
1. odziv na ukaz
2. Asinhroni izhod v realnem času, ki se lahko ustvari kadar koli.
Sporočila v realnem času se začnejo z znakom v prvem stolpcu, ki mu takoj sledi ključna beseda, ki označuje vrsto sporočila.
Trenutno so opredeljeni naslednji tipi:
ECHO - sporočila o odmevu, podobna tistim, ki jih nadzira ukaz echo Zaporedna številka spremembe Podpis odgovorne osebe za Datum spremembe SEIU.00022-01 31 01 30 FATAL - usodna napaka, sporočilo se takoj prikaže v dnevniku preden zaustavite MagPro OpenVPN-GOST.
ZADRŽI - uporablja se za označevanje, da je MagPro OpenVPN-GOST v zamrznjenem stanju in ne bo začel delovati, dokler ne prejme ukaza za sprostitev.
INFO - informativna sporočila, kot je pozdravno sporočilo.
LOG – izhod dnevniškega sporočila, podoben tistemu, ki ga nadzoruje ukaz log PASSWORD – se uporablja za obveščanje odjemalca za upravljanje, da OpenVPN zahteva geslo, in tudi za označevanje, da preverjanje gesla ni uspelo.
STANJE - prikazuje trenutno stanje MagPro OpenVPN-GOST, podobno tistemu, ki ga nadzoruje ukaz stanja.
10.7.18 Razčlenjevanje ukazov MagPro OpenVPN-GOST uporablja isti leksikalni analizator ukazne vrstice, ki ga uporablja razčlenjevalnik konfiguracijske datoteke MagPro OpenVPN-GOST.
Parametri so ločeni s presledkom.
Dvojne narekovaje ("") lahko uporabite za omejitev parametrov, ki vsebujejo presledek. Ubežna zaporedja, ki temeljijo na poševnici nazaj, se uporabljajo z naslednjo simbologijo:
\\ - pomeni enojno poševnico nazaj (\) \" - posreduje dobesedni znak dvojnega narekovaja ("), ne da bi ga interpretiral kot omejitev parametra \ - posreduje literalni presledek ali znak tabulatorja, ne da bi ga interpretiral kot ločilo parametra.
10.8 Upravljanje procesa MagPro OpenVPN-GOST z vmesnikom za upravljanje Vmesnik za upravljanje MagPro OpenVPN-GOST zagotavlja večji nadzor nad procesom MagPro OpenVPN-GOST. Vmesnik za upravljanje lahko uporabite neposredno tako, da se prek telneta povežete z vrati vmesnika za upravljanje, ali posredno z uporabo GUI MagPro OpenVPN-GOST, ki se sam poveže z vmesnikom za upravljanje.
Če želite omogočiti vmesnik za upravljanje na strežniku ali odjemalcu MagPro OpenVPN-GOST, dodajte naslednjo vrstico v konfiguracijsko datoteko:
management localhost 7505 Ta vrstica pove MagPro OpenVPN-GOST, naj posluša odjemalce vmesnika za upravljanje na vratih TCP 7505 (vrata 7505 so naključna izbira, izberete lahko katera koli prosta vrata)
Ko se MagPro OpenVPN-GOST izvaja, se lahko z odjemalcem telnet povežete z vmesnikom za upravljanje. Na primer:
ai:~ # telnet localhost 7505 Poskus 127.0.0.1...
Povezan z lokalnim gostiteljem.
Ubežni znak je '^]'.
INFO: MagPro OpenVPN-GOST vmesnik za upravljanje, različica 1 -
– – –
11 RAZŠIRITEV OBSEGA VPN Z
Z VKLJUČITVIJO DODATNIH STROJEV V
ODJEMALSKO ALI STREŽNIŠKO PODOMREŽJE
11.1 Omogočanje več računalnikov na strani strežnika, ko uporabljate usmerjen VPN (dev tun) Ker VPN deluje od točke do točke med odjemalcem in strežnikom, je morda zaželeno razširiti obseg VPN, tako da lahko odjemalci dosežejo več stroji v omrežju strežnika in ne le s samim strežnikom.
Za namene tega primera predpostavimo, da strežniško LAN uporablja podomrežje 10.66.0.0/24, nabor IP VPN pa 10.9.1.0/24, kot je prikazano v direktivi strežnika v konfiguracijski datoteki strežnika OpenVPN-GOST MagPro.
Podomrežje 10.66.0.0/24 morate najprej oglaševati odjemalcem VPN kot dostopno prek VPN.
To je enostavno narediti z uporabo naslednje direktive v konfiguracijski datoteki strežnika:
push "route 10.66.0.0 255.255.255.0" Nato morate nastaviti pot na vratih LAN strežnika, da podomrežje odjemalca VPN (10.9.1.0/24) usmerite na strežnik MagPro OpenVPN (to je potrebno le, če strežnik MagPro OpenVPN - GOST in gate LAN sta različna računalnika.) Prepričajte se, da ste omogočili posredovanje IP in TUN/TAP na strežniškem računalniku MagPro OpenVPN-GOST.
11.2 Vklop več strojev na strani strežnika, ko uporabo VPN bridged (dev tap) Ena od prednosti uporabe premostitvenega VPN prek Etherneta je, da ga dobite brez dodatne konfiguracije.
11.3 Omogočanje več računalnikov na strani odjemalca pri uporabi usmerjenega VPN (dev tun) V tipičnem scenariju oddaljenega dostopa se odjemalski stroj poveže z VPN kot en sam stroj. Toda recimo, da je odjemalski stroj prehod v lokalno omrežje (na primer domača pisarna) in želite, da se vsi stroji v odjemalskem omrežju lahko povežejo z VPN.
Za ta primer predpostavimo, da stranka lokalno omrežje uporablja podomrežje 192.168.4.0/24, odjemalec VPN pa uporablja potrdilo s Common Name client2. Naš cilj je konfigurirati VPN tako, da lahko kateri koli stroj v odjemalskem omrežju prek VPN komunicira s katerim koli strojem v strežniškem omrežju.
Pred nastavitvijo morate izpolniti nekaj osnovnih zahtev:
– Lokalno podomrežje odjemalca (v našem primeru 192.168.4.0/24) ne sme biti izvoženo v strežnik VPN ali katero koli drugo lokacijo odjemalca, ki uporablja isto podomrežje. Vsako podomrežje, ki ga VPN deli prek usmerjanja, mora biti edinstveno.
Serijska številka spremembe Podpis odgovorne osebe za Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 33
– Odjemalec mora imeti edinstveno polje Common Name v svojem potrdilu (v našem primeru odjemalec2), zastavica duplicate-cn pa ne sme biti uporabljena v konfiguracijski datoteki strežnika MagPro OpenVPN-GOST.
Najprej se prepričajte, da sta posredovanje IP in TUN/TAP omogočena na odjemalskem računalniku.
Če konfiguracijska datoteka strežnika ne kaže na konfiguracijski imenik odjemalca, dodajte namig zdaj:
client-config-dir ccd V zgornji direktivi mora biti ccd ime imenika, ki je bil predhodno ustvarjen v privzetem imeniku, kjer se izvaja demon strežnika MagPro OpenVPN-GOST. V Linuxu je to običajno /etc/openvpn, v sistemu Windows pa \Program Files\OpenVPN\config. Ko nov odjemalec vzpostavi stik s strežnikom MagPro OpenVPN-GOST, bo demon skeniral ta imenik za datoteko, ki se ujema s poljem skupnega imena odjemalca, ki se povezuje. Če je najdena ustrezna datoteka, bo prebrana in obdelana za uporabo dodatnih direktiv konfiguracijske datoteke za imenovanega odjemalca.
Naslednji korak je ustvariti datoteko z imenom client2 v imeniku ccd.
Ta datoteka mora vsebovati vrstico:
iroute 192.168.4.0 255.255.255.0 To bo strežniku MagPro OpenVPN-GOST povedalo, da mora biti podomrežje 192.168.4.0/24 usmerjeno k odjemalcu2.
pot 192.168.
4.0 255.255.255.0 Morda se vprašate, zakaj se uporabljata tako route kot iroute? Razlog je v tem, da route nadzoruje usmerjanje od jedra do strežnika MagPro OpenVPN-GOST (prek vmesnika TUN), iroute pa nadzoruje usmerjanje od strežnika MagPro OpenVPN-GOST do oddaljenih odjemalcev. Oboje je potrebno.
Če je odgovor pritrdilen, v konfiguracijsko datoteko strežnika dodajte naslednje:
push odjemalca do odjemalca "route 192.168.4.0 255.255.255.0" To bo prisililo strežnik MagPro OpenVPN-GOST, da oglašuje podomrežje client2 drugim povezovalnim odjemalcem.
Zadnji korak, ki se pogosto pozablja, je dodajanje poti do vrat LAN strežnika, ki usmerja 192.168.4.0/24 do strežnika MagPro OpenVPN-GOST (tega ne boste potrebovali, če je strežnik MagPro OpenVPN-GOST vrata za strežnik LAN). Predpostavimo, da ste preskočili ta korak in poskušali poslati signal ping stroju (ne samemu strežniku MagPro OpenVPN-GOST) v strežniškem omrežju iz 192.168.4.8. Zunanji signal bo verjetno dosegel stroj, vendar ne bo vedel, kako usmeriti odzivni signal, ker ne bo vedel, kako doseči 192.168.4.0/24. Splošno pravilo je, da pri usmerjanju celotnih omrežij LAN prek VPN (kjer strežnik VPN ni isti stroj kot vrata LAN) zagotovite, da vrata LAN usmerjajo vsa podomrežja VPN na strežniško napravo VPN.
Na enak način, če odjemalska naprava, na kateri se izvaja MagPro OpenVPNGOST, ni vrata lokalnega omrežja odjemalca, potem vrata lokalnega omrežja odjemalca Zaporedna številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 34 mora imeti pot, ki usmerja vsa podomrežja, ki jih je mogoče videti prek VPN, na odjemalsko napravo MagPro OpenVPN-GOST.
11.4 Omogočanje več računalnikov na strani odjemalca z uporabo premostitvenega VPN-ja (dev tap) To zahteva bolj zapleteno nastavitev (morda ni težje v praksi, vendar jo je težje podrobno razložiti):
– Odjemalski vmesnik TAP morate povezati z omrežno kartico, ki je povezana z lokalnim omrežjem na odjemalcu v načinu mostu.
– IP/omrežno masko morate ročno nastaviti na vmesniku TAP na odjemalcu.
– Naprave na strani odjemalca morate konfigurirati za uporabo IP/omrežne maske, ki je znotraj premostitvenega podomrežja, po možnosti zahtevati strežnik DHCP na strani strežnika MagPro OpenVPN VPN.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 35
12 PRENOS MOŽNOSTI DHCP ODJEMALCEM
Strežnik MagPro OpenVPN-GOST lahko strankam posreduje možnosti DHCP, kot so naslovi strežnikov DNS in WINS. Odjemalci Windows lahko sami sprejmejo posredovane možnosti DHCP, odjemalci v drugih operacijskih sistemih pa jih lahko sprejmejo z uporabo skripta na strani odjemalca, ki razčleni seznam spremenljivk okolja Foreign_option_n.Na primer, recimo, da bi radi povezovanje odjemalcev uporabljali notranji strežnik DNS na 10.66.0.4 ali 10.66.0.5 in strežnik WINS na 10.66.0.8.
Dodajte konfiguraciji strežnika MagPro OpenVPN-GOST:
Push "dhcp-option DNS 10.66.0.4" push "dhcp-option DNS 10.66.0.5" push "dhcp-option WINS 10.66.0.8" Če želite preizkusiti to funkcijo v sistemu Windows, zaženite naslednji ukaz iz okna ukaznega poziva, potem ko je naprava povezan s strežnikom MagPro OpenVPNGOST:
ipconfig /all Vnos za adapter TAP-Win32 mora prikazati možnosti DHCP, ki jih posreduje strežnik.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 36
13 SPECIFIČNA KONFIGURACIJA ZA ODJEMALCA
PRAVILA IN POLITIKE DOSTOPA
Recimo, da nastavljamo VPN za podjetje in želimo nastaviti različne politike dostopa za 3 različne razrede uporabnikov:– Sistemski skrbniki – popoln dostop do vseh strojev v omrežju
– Zaposleni – dostop samo do Samba/e-poštnih strežnikov
– Izvajalci - dostop samo do posebnega strežnika
Osnovni pristop, ki ga bomo uporabili, je:
1. vsakemu razredu dodeli lasten obseg naslovov IP,
2. nadzor dostopa do strojev z nastavitvijo pravil požarnega zidu, ki temeljijo na odjemalčevem virtualnem naslovu IP.
V našem primeru predpostavimo, da imamo spreminjajoče se število zaposlenih, a samo enega sistemskega skrbnika in dva izvajalca. Naš pristop k dodeljevanju IP bi bil, da vse zaposlene uvrstimo v obseg naslovov IP in nato izdamo fiksne naslove IP skrbniku sistema in izvajalcem.
Upoštevajte, da je ena od zahtev za ta primer, da imate programski požarni zid, ki se izvaja na strežniškem računalniku MagPro OpenVPN-GOST, kar vam daje možnost, da določite posebna pravila požarnega zidu. Za naš primer bomo predpostavili, da je ta požarni zid iptables v Linuxu.
Najprej ustvarimo zemljevid virtualnih naslovov IP glede na vsak razred:
Class Range Dovoljen dostop Polja skupnih imen navideznih IP-jev do lokalnega omrežja
– – –
Contractors 10.8.2.0/24 Contractors strežnik contractor1, na 10.66.4.12 contractor2 Zdaj pa prenesimo to kartico v konfiguracijo strežnika MagPro OpenVPN-GOST. Najprej se prepričajte, da sledite zgornjim korakom, tako da bo podomrežje 10.66.4.0/24 dostopno vsem odjemalcem (čeprav bomo usmerjanje konfigurirali tako, da bo omogočil dostop odjemalca do celotnega podomrežja 10.66.4.0/24, bomo nato uveljavili omejitve dostopa z pravila požarnega zidu za izvajanje zgornje tabele pravilnikov).
Najprej definirajmo statično številko za naš vmesnik tun, da se bomo lahko pozneje sklicevali nanjo v naših pravilih požarnega zidu:
V konfiguracijski datoteki strežnika določimo obseg IP naslovov za zaposlene:
strežnik 10.8.
0.0 255.255.255.0
Dodajmo poti za obsege sistemskega skrbnika in izvajalca:
pot 10.8.
1.0 255.255.255.0 Serijska številka spremembe Podpis odgovorne osebe Datum spremembe spremembe SEIU.00022-01 31 01 37 pot 10.8.
2.0 255.255.255.0
Ker bomo določenim dodeljevali fiksne naslove IP sistemski skrbniki in izvajalci, bomo uporabili konfiguracijski imenik odjemalca:
odjemalec-config-dir ccd
Zdaj postavite posebne konfiguracijske datoteke v podimenik ccd, da določite fiksni naslov IP za vsakega odjemalca VPN, ki ni zaposlen:
ccd/sysadmin1 ifconfig-push 10.8.1.1 10.8.1.2 ccd/contractor1 ifconfig-push 10.8.2.1 10.8.2.2 ccd/contractor2 ifconfig-push 10.8.2.5 10.8.2.6 Vsak par naslovov ifconfig-push predstavlja navidezne končne točke IP odjemalca in strežnika. Vzeti jih je treba iz podomrežij serial /30, da so združljivi z odjemalci Windows in gonilnikom TAP-Win32.
Zlasti zadnji oktet v naslovu IP vsakega para končnih točk je treba vzeti iz tega niza:
[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18] [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38] [ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58] [ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78] [ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
S tem je konfiguracija MagPro OpenVPN-GOST končana. Zadnji korak je dodajanje pravil požarnega zidu za dokončanje politike dostopa. Za ta primer bomo uporabili pravila v sintaksi iptables iz Linuxa:
# Pravilo zaposlenih iptables -A NAPREJ -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j SPREJMI # Pravilo sistemskega skrbnika iptables -A NAPREJ -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 - j SPREJEM # Pravilo pogodbenika iptables -A NAPREJ -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j SPREJEM
– – –
14 UPORABA ALTERNATIVNIH METOD
AVTENTIKACIJA
MagPro OpenVPN-GOST lahko svojemu strežniku dovoli, da varno prejme prijavo in geslo od odjemalca, ki se povezuje, ter te informacije uporabi kot osnovo za avtentikacijo odjemalca.Če želite uporabiti to metodo preverjanja pristnosti, konfiguraciji odjemalca najprej dodajte direktivo auth-userpass. Prisilil bo odjemalca MagPro OpenVPN-GOST, da od uporabnika zahteva prijavo/geslo in ga posreduje strežniku prek varnega kanala TLS.
Nato konfigurirajte strežnik za uporabo dodatka za preverjanje pristnosti, ki je lahko skript, objekt v skupni rabi ali DLL. Strežnik MagPro OpenVPNGOST bo poklical ta vtičnik vsakič, ko se bo odjemalec VPN poskušal povezati, in mu posredoval prijavo in geslo, vneseno v odjemalcu. Vtičnik za preverjanje pristnosti lahko nadzoruje, ali strežnik MagPro OpenVPN-GOST dovoli odjemalcu povezavo, pri čemer vrne vrednost za napako (1) ali uspeh (0).
14.1 Uporaba skriptnih vtičnikov
Vtičnike za skripte lahko uporabite tako, da konfiguracijski datoteki strežnika dodate direktivo auth-user-pass-verify. Na primer:
auth-user-pass-verify auth-pam.pl prek datoteke bo uporabil perl skript auth-pam.pl za preverjanje pristnosti prijave in gesla povezovalnih odjemalcev.
Skript auth-pam.pl je vključen v distribucijo MagPro OpenVPN-GOST v podimeniku samplescripts. Preverjal bo uporabnike na strežniku Linux z uporabo modula za preverjanje pristnosti PAM, ki lahko sam izvaja preverjanje pristnosti s senčnim geslom, RADIUS ali LDAP. auth-pam.pl je namenjen predvsem predstavitvenim namenom. Za operativno preverjanje pristnosti PAM uporabite skupno rabo openvpn-auth-pam, ki je opisana spodaj.
14.2 Uporaba predmetov v skupni rabi ali DLL-jev kot vtičnikov Vtičniki – predmeti v skupni rabi ali DLL-ji so običajno prevedeni moduli v jeziku C, ki jih med delovanjem naloži strežnik MagPro OpenVPN-GOST.
Na primer, če uporabljate paket MagPro OpenVPN-GOST v sistemu Linux, ki temelji na RPM, bi moral biti vtičnik openvpn-auth-pam že nameščen.
Če ga želite uporabiti, dodajte vrstico v konfiguracijsko datoteko strežnika:
vtičnik /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so prijava To bo strežniku MagPro OpenVPN-GOST povedalo, naj preveri prijavo in geslo, ki so ju vnesli odjemalci z uporabo prijavnega modula PAM.
Za resnično produkcijsko uporabo je bolje uporabiti vtičnik openvpn-auth-pam, ker ima več prednosti pred skriptom auth-pam.pl:
– Objekt v skupni rabi Openvpn-auth-pam za boljša zaščita uporablja model izvajanja deljenih pravic. To pomeni, da lahko strežnik MagPro OpenVPN-GOST deluje z zmanjšanimi pravicami z uporabo direktiv user nobody, group nobody Zaporedna številka spremembe Podpis odgovorne osebe za Datum spremembe SEIU.00022-01 31 01 39 in chroot ter bo še vedno lahko preverjal pristnost strank z uporabo datoteke s senčnimi gesli, ki jo lahko bere samo privilegirani uporabnik.
– MagPro OpenVPN-GOST lahko prenese prijavo in geslo v vtičnik prek virtualnega pomnilnika, namesto prek datoteke ali okolja, kar je boljše za lokalno varnost na strežniškem računalniku.
– Prevedeni moduli C so običajno hitrejši od skriptov.
Če želite več informacij o razvoju lastnih vtičnikov za uporabo z MagPro OpenVPN-GOST, si oglejte datoteke README v podimeniku vtičnikov distribucije MagPro OpenVPN-GOST.
Če želite zgraditi vtičnik openvpn-auth-pam v sistemu Linux, pojdite v imenik plugin/auth-pam v distribuciji MagPro OpenVPN-GOST in zaženite make.
14.3 Uporaba preverjanja pristnosti s prijavo in geslom kot edine oblike preverjanja pristnosti odjemalca Privzeto bo uporaba auth-user-pass-verify ali vtičnika za preverjanje prijave in gesla na strežniku omogočila dvojno preverjanje pristnosti, ki zahteva tako preverjanje pristnosti potrdila odjemalca kot tudi preverjanje pristnosti odjemalca biti uspešen za avtentikacijo odjemalca avtentikacija prijava-geslo.
Na strežniku:
odjemalec-cert-ni-potreben
Takšne konfiguracije morajo običajno imeti vrstico:
username-as-common-name Kar pove strežniku, naj uporabi prijavo za namene indeksiranja, saj bi uporabil polje Common Name za odjemalca, overjenega s potrdilom odjemalca.
Upoštevajte, da vrstica client-cert-not-required ne odstrani potrebe po strežniškem potrdilu, tako da lahko odjemalec, ki se povezuje s strežnikom, ki uporablja client-certnot-required, odstrani direktive za potrdilo in ključ iz konfiguracijske datoteke odjemalca, vendar ne direktivo ca, ker mora odjemalec preveriti strežniško potrdilo.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 40
15 KAKO DODATI DVOFAKTORIJSKO AVTENTIKACIJO KONFIGURACIJI MagPro OpenVPN GOST Z
UPORABA ŽETONOV NA STRANKI
STRAN15.1 O dvostopenjskem preverjanju pristnosti Dvostopenjsko preverjanje pristnosti je način preverjanja pristnosti, ki združuje dva elementa: nekaj, kar imate, in nekaj, kar poznate.
Vse, kar imate, mora biti naprava, ki je ni mogoče podvojiti;
taka naprava je lahko kriptografski žeton, ki vsebuje zasebni ključ. Ta zasebni ključ se ustvari v napravi in je nikoli ne zapusti. Če se uporabnik, ki ima ta žeton, poskuša povezati z zaščitenimi storitvami v oddaljenem omrežju, lahko postopek avtorizacije, ki odobri ali zavrne dostop do omrežja, z visoko stopnjo zaupanja ugotovi, da ima povezovalni uporabnik fizično znano, certificirano žeton.
Nekaj, kar veste, je lahko geslo, posredovano kriptografski napravi. Brez pravilnega gesla ne morete uporabljati zasebnega ključa. Druga zmožnost kriptografskih naprav je prepoved uporabe zasebnega ključa, če napačno geslo je bilo posredovano večkrat, kot je dovoljeno. To vedenje zagotavlja, da če uporabnik izgubi svojo napravo, je druga oseba ne bo mogla uporabljati.
Kriptografske naprave se običajno imenujejo "žetoni", ki se uporabljajo v povezavi s PKI (infrastruktura javnih ključev). Strežnik VPN lahko pogleda potrdilo X509 in preveri, ali ima uporabnik ustrezen zasebni ključ. Ker naprave ni mogoče podvojiti in zahteva veljavno geslo, lahko strežnik overi uporabnika z visoko stopnjo zaupanja.
Dvofaktorska avtentikacija je veliko močnejša od avtentikacije z prijavo in geslom, ker lahko v najslabšem primeru samo ena oseba hkrati uporablja kriptografski žeton. Gesla je mogoče uganiti in pokazati drugim uporabnikom, tako da, ko so viri zaščiteni samo z avtentikacijo z geslom, lahko v najslabšem primeru neskončno veliko ljudi poskuša pridobiti nepooblaščen dostop.
Če zasebni ključ shranite v datoteko, je ključ običajno zaščiten z geslom. Težava s tem pristopom je, da je šifrirani ključ odprt za napade dešifriranja ali zlonamerne operacije na odjemalskem računalniku. Za razliko od ključa na kriptografski napravi datoteke ni mogoče samodejno uničiti po več neuspelih poskusih dešifriranja.
15.2 Konfiguriranje MagPro OpenVPN-GOST za delo z žetoni Rutoken Za delo z žetoni za shranjevanje ključev MagPro OpenVPN-GOST uporablja svoj lasten modul etkeyld.
Za delo z žetoni za shranjevanje ključev RuToken potrebujete knjižnico etkeyld.so (etkeyld.dll v primeru operacijskega sistema Windows), ki aplikacijam omogoča branje ključev iz žetona, in izvršljivo binarno datoteko etkeystore (etkeystore.exe), ki omogoča ustvarjanje in
– – –
pisanje zasebnih ključev v žeton za shranjevanje ključev. V konfiguracijski datoteki OpenSSL mora biti modul motorja izrecno naveden, na primer:
.......
keyloader=etkeyld_section engine_id=etkeyld default_algorithms=ALL V konfiguracijski datoteki MagPro OpenVPN-GOST morate podati tudi številko ključa na napravi, na primer takole: ključ []etkeyld:0x20 kjer je ključ direktiva, ki označuje, da kaj bo v nadaljevanju povedano o zasebnem ključu; []etkeyld - navedba modula motorja, s katerim se bo prebral ključ; 0x20 - številka ključa na žetonu. Najpogosteje uporabljene številke so 0x10, 0x20, 0x30 (sprejemljiva je tudi uporaba decimalnega zapisa - 16, 32 itd.) Serijska številka spremembe Podpis osebe, ki je odgovorna za Datum spremembe spremembe SEIU.00022-01 31 01 42
16 USMERJANJE VSEGA PROMETA STRANK
(VKLJUČNO S SPLETNIM PROMETOM) PREKO VPN16.1 Uvod Ko je odjemalec MagPro OpenVPN-GOST aktiven, bo privzeto potekal samo omrežni promet do in iz strežnika MagPro OpenVPN-GOST skozi VPN. Splošno brskanje po internetu bo na primer potekalo prek neposrednih povezav, ki ne potekajo prek VPN-ja.
V nekaterih primerih to vedenje morda ni zaželeno - morda boste želeli, da odjemalec VPN tunelira ves omrežni promet prek VPN, vključno s splošnim brskanjem po internetu. Čeprav bo zaradi te vrste konfiguracije VPN odjemalec deloval počasneje, daje skrbniku VPN večji nadzor nad varnostnimi politikami, ko je odjemalec povezan z javnim internetom in VPN.
16.2 Izvedba
Dodajte naslednjo direktivo v konfiguracijsko datoteko strežnika:
Push "redirect-gateway def1" Če je vaš VPN konfiguriran v brezžičnem omrežju, kjer so vsi odjemalci in strežnik v istem brezžičnem podomrežju, nastavite lokalno zastavico:
push "redirect-gateway local def1" Posredovanje možnosti preusmeritvenega prehoda odjemalcem bo prisililo ves omrežni promet IP, ki izvira iz odjemalskih računalnikov, da gre skozi strežnik MagPro OpenVPN-GOST. Strežnik bo treba nekako konfigurirati, da bo lahko deloval z ta promet, ga na primer povežite z internetom prek NAT ali ga usmerite prek proxy strežnika HTTP.
V sistemu Linux lahko s tem ukazom povežete promet odjemalca z internetom prek NAT:
iptables -t nat -A POSTROUTING -s 10.9.1.0/24 -o eth0 -j MASQUERADE Ta ukaz predvideva, da je podomrežje VPN 10.9.1.0/24 (vzeto iz direktive strežnika v konfiguraciji strežnika MagPro OpenVPN-GOST) in da lokalni omrežni vmesnik Ethernet - eth0.
Ko je uporabljen preusmeritveni prehod, bodo odjemalci MagPro OpenVPN-GOST usmerjali zahteve DNS prek VPN, strežnik VPN pa jih bo moral obdelati. To lahko dosežete s posredovanjem naslova strežnik DNS povezovanje odjemalcev, kar bo preglasilo njihove običajne nastavitve strežnika DNS, dokler je VPN aktiven.
Na primer:
push "dhcp-option DNS 10.9.1.1" bo konfiguriral odjemalce Windows (ali druge operacijske sisteme z nekaterimi dodatnimi skripti) za uporabo 10.9.1.1 kot strežnik DNS. Vsak naslov, ki ga vidijo odjemalci, se lahko uporabi kot naslov strežnika DNS.
16.3 Opozorila
Preusmerjanje celotnega omrežnega prometa prek VPN-ja ni povsem brez težav. Tukaj je nekaj pogostih težav, ki jih morate upoštevati:
– – –
– Številni odjemalski stroji MagPro OpenVPN-GOST, ki se povezujejo z internetom, bodo občasno komunicirali z strežnik DHCP za podaljšanje zakupa IP. Možnost preusmeritvenega prehoda lahko odjemalcu prepreči vzpostavitev stika z lokalnim strežnikom DHCP (ker bodo sporočila DHCP usmerjena prek VPN-ja), zaradi česar izgubi zakup IP.
– Obstajajo težave s posredovanjem naslovov DNS odjemalcem Windows.
– Brskanje po internetnih straneh na odjemalcu bo opazno počasnejše.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 44 17 DELOVANJE STREŽNIKA MagPro OpenVPN-GOST ON
DINAMIČNI IP NASLOV
Medtem ko odjemalci MagPro OpenVPN-GOST zlahka dosežejo strežnik prek dinamičnega naslova IP brez posebne konfiguracije, se pojavijo določene težave, ko ima sam strežnik dinamičen naslov. Čeprav se MagPro OpenVPN-GOST zlahka spopade s situacijo na dinamičnem strežniku, je potrebna dodatna konfiguracija.Prvi korak je pridobitev dinamičnega naslova DNS, ki ga je mogoče konfigurirati tako, da "sledi" strežniku vsakič, ko se spremeni naslov IP strežnika. Na voljo je več ponudnikov dinamičnih storitev DNS, kot je dyndns.org.
Naslednji korak je nastavitev mehanizma, tako da vsakič, ko se spremeni naslov IP strežnika, dinamično ime DNS hitro pridobi nov naslov IP, kar strankam omogoča, da najdejo strežnik po novem naslovu IP.
To lahko storite na dva glavna načina:
– Uporabite opremo usmerjevalnika NAT, ki podpira dinamični DNS (na primer Linksys BEFSR41). Večina poceni in široko dostopnih usmerjevalnikov NAT ima možnost posodobitve dinamičnega imena DNS vsakič, ko je od ponudnika internetnih storitev pridobljen nov zakup DHCP. Ta nastavitev je idealna, ko je strežnik MagPro OpenVPNGOST računalnik z enim samim omrežnim vmesnikom znotraj požarnega zidu.
– Uporabite dinamično odjemalsko aplikacijo DNS, kot je ddclient (http://sourceforge.net/apps/trac/ddclient), da posodobite dinamični naslov DNS takoj, ko se spremeni naslov IP strežnika. Ta nastavitev je idealna, če ima stroj, ki izvaja MagPro OpenVPN-GOST, več omrežnih adapterjev in deluje kot požarni zid/vrata. Če želite izvesti to nastavitev, morate nastaviti skript, ki ga bo izvajala vaša programska aplikacija odjemalca DHCP vsakič, ko se naslov IP spremeni. Ta skript bi moral a) zagnati ddclient, da obvesti vašega ponudnika dinamičnega DNS o vašem novem naslovu IP in b) znova zagnati demon strežnika MagPro OpenVPN-GOST.
Odjemalec MagPro OpenVPN-GOST bo privzeto zaznal, ko se naslov IP strežnika spremeni, če konfiguracija odjemalca uporablja oddaljeno direktivo, ki ustreza dinamičnemu imenu DNS. Običajna veriga dogodkov je: a) odjemalec MagPro OpenVPN ne prejme pravočasnih sporočil podpore s starega naslova IP strežnika, kar sproži ponovni zagon, in b) ponovni zagon povzroči revizijo imena DNS v oddaljeni direktivi, kar omogoči se odjemalec znova poveže s strežnikom na svojem novem naslovu IP.
Serijska številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 45 18 POVEZOVANJE S STREŽNIKOM MagPro OpenVPN-GOST PREKO HTTP PROXY MagPro OpenVPN-GOST podpira povezave prek HTTP proxyja, z naslednjim modeli avtentikacije:
– Ni avtentikacije na proxyju
– Osnovna avtentikacija s proxyjem
– Preverjanje pristnosti posrednika NTLM Konfiguracijski datoteki odjemalca dodajte direktivo http-proxy.
Na primer, recimo, da imate strežnik proxy HTTP v odjemalčevem omrežju LAN na 192.168.4.1, ki posluša povezave na vratih 1080.
V konfiguracijo odjemalca dodajte naslednjo vrstico:
http-proxy 192.168.4.1 1080
Predpostavimo, da proxy HTTP zahteva osnovno preverjanje pristnosti:
http-proxy 192.168.4.1 1080 stdin osnovni
Predpostavimo, da proxy HTTP zahteva avtentikacijo NTLM:
http-proxy 192.168.4.1 1080 stdin ntlm Zgornja dva primera avtentikacije bosta prisilila MagPro OpenVPN-GOST, da zahteva prijavo in geslo s standardnim vnosom. Če bi raje dali prijavo in geslo v datoteko, zamenjajte stdin z imenom datoteke in postavite prijavo v prvo vrstico te datoteke, geslo pa v drugo.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 46
19 POVEZAVA Z DELJENJEM
VIR SAMBA PREKO MagPro OpenVPN Ta primer je namenjen prikazu, kako se lahko odjemalci MagPro OpenVPN povežejo s skupno rabo Samba prek preusmerjenega razvijalca. Če uporabljate tip mosta MagPro OpenVPN-GOST (dev tap), vam verjetno ni treba upoštevati teh navodil, saj morajo odjemalci MagPro OpenVPN-GOST videti stroje na strani strežnika v svojem omrežnem okolju.Za ta primer predpostavimo, da:
– lokalno omrežje strežnika uporablja podomrežje 10.66.0.0/24,
– Obseg naslovov IP VPN uporablja 10.8.0.0/24 (kot je določeno v direktivi strežnika v konfiguracijski datoteki strežnika MagPro OpenVPN-GOST)
– Strežnik Samba ima naslov IP 10.66.0.4 in
– Strežnik Samba je že konfiguriran in je dostopen iz lokalnega omrežja LAN.
Če se strežnika Samba in MagPro OpenVPN-GOST izvajata na različnih računalnikih, se prepričajte, da ste sledili navodilom v razdelku »Razširitev obsega VPN za vključitev dodatnih računalnikov v podomrežje odjemalca ali strežnika.«
Nato uredite konfiguracijsko datoteko strežnika Samba (smb.conf). Prepričajte se, da bo direktiva o gostiteljih omogočila odjemalcem MagPro OpenVPN-GOST, ki prihajajo iz podomrežja 10.9.1.0/24, vzpostavitev povezave.
Na primer:
Hosts allow = 10.66.0.0/24 10.9.1.0/24 127.0.0.1 Če se strežnika Samba in MagPro OpenVPN-GOST izvajata na istem računalniku, boste morda želeli urediti direktivo vmesnikov v datoteki smb.conf, da bo tudi poslušala podomrežje 10.9.1.0/24 vmesnika TUN:
Vmesniki = 10.66.0.0/24 10.9.1.0/24 Če se strežnika Samba in MagPro OpenVPN-GOST izvajata na istem računalniku, se povežite iz odjemalca MagPro OpenVPN-GOST v skupno rabo Samba z imenom imenika:
\\10.9.1.1\\sharename Če se strežnika Samba in MagPro OpenVPN-GOST izvajata na različnih računalnikih, uporabite ime imenika:
\\10.66.0.4\sharename
Na primer iz okna ukazne vrstice:
net use z: \\10.66.0.4\sharename /USER:myusername Serijska številka spremembe Podpis odgovorne osebe za Datum spremembe spremembe SEIU.00022-01 31 01 47
20 IZVEDBA KONFIGURACIJE URAVNOTEŽENJA
OBREMENITEV/OBNOVA PO OKVARI
20.1 Stranka
Konfiguracija odjemalca MagPro OpenVPN-GOST lahko kaže na več strežnikov za uravnoteženje obremenitve in odpravljanje napak. Na primer:
oddaljeni strežnik1.mojadomena oddaljeni strežnik2.mojadomena oddaljeni strežnik3.mojadomena bo odjemalcu MagPro OpenVPN-GOST povedal, naj poskusi vzpostaviti povezavo s strežnikom1, strežnikom2 in strežnikom3 v tem vrstnem redu. Če se obstoječa povezava izgubi, se odjemalec OpenVPN poskusi znova povezati z zadnjim strežnikom, s katerim se je povezal, in če to ne uspe, se premakne na naslednji strežnik na seznamu. Odjemalcu MagPro OpenVPN-GOST lahko tudi naročite, naj pri nalaganju naključno razvrsti svoj seznam strežnikov, tako da je obremenitev odjemalca verjetnostno porazdeljena po obsegu strežnikov.
oddaljeno-naključno Če želite tudi, da napake razreševanja DNS prisilijo odjemalca MagPro
OpenVPN-GOST premaknite se na naslednji strežnik na seznamu in dodajte naslednje:
resolv-retry 60 Parameter 60 pove odjemalcu OpenVPN, naj poskusi razrešiti vsako oddaljeno ime DNS 60 sekund, preden se premakne na naslednji strežnik na seznamu.
Seznam strežnikov lahko prikazuje tudi več demonov strežnika MagPro
OpenVPN-GOST deluje na istem računalniku, pri čemer vsak posluša povezave na svojih vratih, na primer:
oddaljeni smp-strežnik1.mojadomena 8000 oddaljeni smp-strežnik1.mojadomena 8001 oddaljeni smp-strežnik2.mojadomena 8000 oddaljeni smp-strežnik2.mojadomena 8001
20.2 Seznam strežnikov Če so vaši strežniki večprocesorski stroji, ima lahko izvajanje več demonov MagPro OpenVPN-GOST na vsakem strežniku prednost v smislu hitrosti izvajanja.
MagPro OpenVPN-GOST podpira tudi oddaljeno direktivo, ki kaže na ime DNS, ki ima več zapisov A v konfiguraciji območja za domeno. V tem primeru bo odjemalec MagPro OpenVPN-GOST vsakič, ko bo domena razrešena, naključno izbral enega od zapisov A.
– – –
21 KREPITEV VARNOSTI MagPro OpenVPN-GOST Ena od pogosto ponavljajočih se maksim varnosti omrežja je, da se nikoli ne smete popolnoma zanašati na eno varnostno komponento, ker njena okvara povzroči katastrofalno varnostno napako. MagPro OpenVPN-GOST zagotavlja več mehanizmov, ki omogočajo dodajanje dodatnih slojev zaščite, da se zaščitite pred takšnim izidom.
21.1 tls-auth Direktiva tls-auth dodaja dodaten podpis HMAC vsem paketom rokovanja SSL/TLS za preverjanje celovitosti. Ta podpis HMAC zagotavlja dodatno raven varnosti, ki presega tisto, kar zagotavlja SSL/TLS. Lahko zaščiti pred:
– DoS napadi
– Ranljivosti prekoračitve medpomnilnika v implementacijah SSL/TLS
Za uporabo tls-auth boste morali ustvariti zasebni ključ običajna uporaba, ki se uporablja poleg certifikatov/ključev GOST:
openvpn --genkey --secret ta.key Ta ukaz bo ustvaril statični ključ MagPro OpenVPN-GOST in ga zapisal v datoteko ta.key. Ta ključ je treba preko že obstoječega varnega kanala prekopirati na strežnik in vse odjemalske stroje. Postavite ga lahko v isti imenik kot datoteki GOST.key in .crt.
V konfiguracijo strežnika dodajte:
tls-auth ta.key 0
V konfiguracijo odjemalca dodajte:
tls-auth ta.key 1
21.2 uporabnik/skupina (razen OS Windows) MagPro OpenVPN-GOST je bil zelo skrbno zasnovan, da omogoča opustitev pravic privilegiranega uporabnika po inicializaciji, to funkcijo pa je treba vedno uporabljati v sistemih Linux/BSD/Solaris. Brez privilegiranih uporabniških pravic je delujoči demon strežnika MagPro OpenVPN-GOST veliko manj privlačna tarča za napadalca.
Če želite onemogočiti privilegirane uporabniške pravice po inicializaciji, dodajte naslednje direktive v konfiguracijo strežnika:
uporabnik nihče skupina nihče
21.3 Neprivilegirani način (samo Linux) V Linuxu lahko MagPro OpenVPN-GOST deluje brez kakršnih koli privilegijev. Ta konfiguracija je nekoliko bolj zapletena, vendar zagotavlja najboljšo zaščito.
– – –
Za delo s to konfiguracijo mora biti MagPro OpenVPN-GOST konfiguriran za delo z vmesnikom iproute, to storite tako, da v konfiguracijskem skriptu podate –enable-iproute2. Paket sudo mora biti na voljo tudi v vašem sistemu.
Ta konfiguracija izkorišča zmožnost Linuxa za spreminjanje dovoljenj na napravi tun, tako da jo lahko uporablja uporabnik brez pravic. Prav tako uporablja sudo za izvajanje iproute, tako da je mogoče spremeniti lastnosti vmesnika in usmerjevalne tabele.
Konfiguracija MagPro OpenVPN-GOST:
– Napišite naslednji skript in ga postavite v /usr/local/sbin/unpriv-ip:
#!/bin/sh sudo /sbin/ip $*
– Uredite datoteko /etc/sudoer, da dodate naslednje, da uporabniku1 omogočite zagon /sbin/ip:
uporabnik1 VSE=(VSE) NOPASSWD: /sbin/ip
Uporabniško skupino lahko omogočite tudi z naslednjim ukazom:
%uporabnikov VSI=(VSI) NOPASSWD: /sbin/ip
– Svoji konfiguraciji MagPro OpenVPN-GOST dodajte naslednje:
dev tunX/tapX iproute /usr/local/sbin/unpriv-ip Upoštevajte, da morate izbrati konstanto X in podati ali tun ali tap, ne obojega.
– Kot korenski uporabnik dodajte trajni vmesnik in dovolite uporabniku in/ali skupini, da ga upravljata, naslednji ukaz ustvari tunX (zamenjajte s svojim) in dovoli uporabniku1 in skupini uporabnikov, da ga uporabljajo.
openvpn --mktun --dev tunX --type tun --user uporabnik1 --group uporabniki
– Zaženite MagPro OpenVPN-GOST v kontekstu neprivilegiranega uporabnika.
21.4 chroot (razen Windows OS) Direktiva chroot vam omogoča, da demon MagPro OpenVPN-GOST zaklenete v tako imenovani zapor chroot, kjer demon ne bo mogel delati z nobenim delom datotečnega sistema v operacijskem sistemu, z izjema je poseben imenik, določen kot parameter direktive. Na primer, chroot jail bo prisilil demon OpenVPN MagPro, da se po inicializaciji premakne v podimenik jail in nato preusmeri svoj korenski datotečni sistem v ta imenik, tako da demon nato ne bo mogel videti nobene datoteke zunaj imenika jail in njegovega podimeniki. To je pomembno z varnostnega vidika, saj tudi če napadalec lahko ogrozi strežnik z zlonamerno kodo, bo ta koda zaklenjena iz večine datotečnega sistema strežnika.
Opozorila: Ker chroot preusmeri datotečni sistem (samo z vidika demona), morate vse datoteke, ki jih OpenVPN morda potrebuje po inicializaciji, postaviti v zaprti imenik, kot je datoteka crl-verify ali imenik client-config-dir.
Serijska številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 51
21.5 Shranjevanje korenskega ključa (ca.key) na ločenem računalniku brez omrežne povezave Ena od prednosti uporabe PKI po standardu X.509 z varnostnega vidika je, da korenski ključ overitelja (ca. ključ) ni treba biti prisoten na strežniškem računalniku MagPro OpenVPN-GOST. V okolju z visoko stopnjo varnosti boste morda želeli posebej nameniti računalnik za namene podpisovanja ključev, ohraniti ta stroj fizično dobro zaščiten in ga odklopiti od vseh omrežij. Za prenos ključev lahko uporabite diskete. Zaradi teh ukrepov je napadalcu zelo težko ukrasti korenski ključ, razen če fizično ukrade stroj za podpisovanje ključev.
Serijska številka spremembe Podpis odgovorne osebe za Datum spremembe SEIU.00022-01 31 01 52 22 ODKLIC POTRDILOV Preklic potrdila pomeni razglasitev predhodno podpisanega potrdila za neveljavno, tako da ga ni več mogoče uporabiti za avtentikacijo. namene.
Tipični razlogi za preklic potrdila vključujejo:
– Zasebni ključ, povezan s certifikatom, je bil ogrožen ali ukraden.
– Uporabnik šifriranega zasebnega ključa pozabi geslo ključa.
– Uporabniku želite ustaviti dostop do VPN-ja.
Najprej morate ustvariti seznam preklica. Dobra praksa je, da ustvarite prazen seznam pregledov in naročite strankam, da ga pregledajo. Na ta način, ko boste morali preklicati potrdilo, ne boste imeli težav s tem, da bodo stranke opazile.
Če želite ustvariti seznam preklica za vaš CA, morate najprej ustvariti datoteko index.txt. To bo sprva prazna datoteka (ustvarjena z ukazom dotik). Ko pa začnete preklicati potrdila, bodo vanj dodane informacije. Datoteka je človeku berljiva in nepodpisana, zato potrebujemo OpenSSL, da iz nje naredimo podpisano obliko PEM.
Torej, ko dobite prazno datoteko kazalca, lahko iz nje naredite seznam preklica z:
openssl ca -gencrl -keyfile ca.key -cert ca.crt -out crl.pem kjer je ca.key --- zaprto CA ključ ca.crt --- potrdilo CA crl.pem --- zahtevana datoteka s seznami preklica Ta ukaz bo za vas ustvaril seznam preklica, veljaven za privzeto časovno obdobje (1 mesec). V primeru, da se seznam preklica uporablja samo na strežnikih, ki jih nadzorujete, in kjer ste prepričani, da boste posodobili seznam preklica, ko bo naslednjič preklican, boste morda želeli podaljšati življenjsko dobo seznama preklica. V nasprotnem primeru se bodo vaši strežniki čez nekaj mesecev pritožili, da je seznam preklica zastarel.
Če želite podaljšati čas veljavnosti seznama preklica, dodajte možnost crldays xxx v zgornji ukaz za ustvarjanje seznama preklica (kjer je xxx število dni, ko je seznam preklica veljaven). Opomba: Če vaš seznam preklica poteče, preden prekličete potrdilo, preprosto ustvarite novega, kot je opisano zgoraj. Seznam preklicanih potrdil je preprosto podpisana kopija internega seznama preklicanih potrdil, ki ima datum poteka in je oblikovan v standardni obliki. Kadar koli lahko ustvarite nove sezname preklica.
Zdaj, ko je začetni seznam preklica pripravljen, bomo potrdilo preklicali:
openssl ca -revoke bad.crt -keyfile ca.key -cert ca.crt kjer sta ca.key in ca.crt enaka kot v prejšnjem ukazu, bad.crt pa je preklicano potrdilo.
To bo samodejno posodobilo vašo datoteko index.txt z novimi podrobnostmi o preklicanem potrdilu. Zdaj morate ustvariti novo datoteko s seznamom preklica z istim ukazom, ki smo ga uporabili zgoraj za ustvarjanje prazne datoteke. Ko je ustvarjen nov seznam preklica, ga je potrebno objaviti!
Če se želite igrati s trajanjem seznama preklica in drugimi podobnimi stvarmi, boste morali prebrati razdelek Možnosti seznama preklica v priročniku OpenSSL CA. Če želite manipulirati s seznamom preklica, si ga ogledati itd., preberite priročnik pripomočka CRL.
Zaporedna številka spremembe Podpis odgovorne osebe Datum uvedbe spremembe spremembe SEIU.00022-01 31 01 53 23 PRILOGA. SEZNAM MOŽNOSTI UKAZA openvpn
23.1 Splošne možnosti MagPro OpenVPN-GOST vam omogoča, da katero koli možnost postavite v ukazno vrstico ali v konfiguracijsko datoteko. Čeprav imajo vse možnosti ukazne vrstice predpono z dvojnim vezajem, je ta predpona morda izpuščena, ko je možnost postavljena v konfiguracijsko datoteko.
– – –
–management-client-pf Odjemalci vmesnika za upravljanje morajo podati datoteko paketnega filtra za vsakega povezovalnega odjemalca.
–management-client-user u Ko upravljalni vmesnik posluša vtičnico domene Unix, dovoli povezave samo za uporabnika u.
–management-client-group Ko upravljalni vmesnik posluša vtičnico domene Unix, g dovoljuje samo povezave za skupino g.
– – –
23.3 Način strežnika MagPro OpenVPN-GOST podpira način strežnika z več odjemalci, ki ga lahko omogočite z možnostjo strežnika –mode. V strežniškem načinu MagPro OpenVPNGOST posluša na enih vratih za dohodne povezave odjemalcev. Vse povezave odjemalcev so usmerjene prek enotnega vmesnika tun ali tap. Ta način je razširljiv in bi moral podpirati na stotine ali celo tisoče odjemalcev na razmeroma hitrih strojih. V tem načinu je treba uporabiti avtentikacijo SSL/TLS.
– – –
23.4 Način odjemalca Uporabite način odjemalca, ko se povezujete s strežnikom MagPro OpenVPN-GOST, ki ima v konfiguraciji možnosti strežnika –server, –server-bridge ali –mode server.
– – –
23.5 Možnosti šifriranja podatkovnega kanala Te možnosti so pomembne tako za statični način kot za način dogovorjenega ključa TLS (morajo biti združljivi med vrstniki)
– – –
23.6 Možnosti načina TLS Način TLS je najmočnejši kriptografski način MagPro OpenVPN-GOST tako glede varnosti kot prilagodljivosti. Način TLS deluje tako, da vzpostavi nadzorne in podatkovne tunele, ki so multipleksirani preko enih vrat TCP/UDP. MagPro OpenVPN-GOST sproži sejo TLS prek nadzornega kanala in jo uporabi za izmenjavo šifrirnih ključev in HMAC za zaščito podatkovnega kanala.
Način TLS uporablja napredno kriptografsko plast prek povezave UDP za vse komunikacije na nadzornem kanalu, medtem ko se podatkovni kanal, skozi katerega prehajajo šifrirani podatki tunela, posreduje brez posredovanja. Rezultat je najboljše iz obeh svetov: hitri kanal podatki, ki se posredujejo preko UDP z režijskimi stroški samo v obliki šifriranja, dešifriranja in funkcij HMAC ter nadzornega kanala, ki zagotavlja vse zmožnosti TLS zaščita, vključno z avtentikacijo na podlagi potrdila in tajnostjo Diffie-Hellman naprej.
Za uporabo načina TLS mora imeti vsak vrstnik, ki izvaja OpenVPN, svoj lokalni par potrdilo/ključ (–cert in –key), podpisan na korenskem potrdilu, podanem v –ca.
Ko se dva vrstnika povežeta drug z drugim, vsak drugemu predstavi svoje lokalno potrdilo. Vsak vrstnik nato preveri, ali je njegov vrstnik zagotovil potrdilo, podpisano na korenskem potrdilu, podanem v –ca.
Če je to preverjanje uspešno za oba partnerja, bo povezava TLS uspešno vzpostavljena, oba partnerja bosta izmenjala začasne ključe seje in tunel bo začel prenašati podatke.
Distribucijski komplet MagPro OpenVPN-GOST vsebuje nabor skriptov za upravljanje potrdil in ključev RSA, ki se nahajajo v podimeniku easy-rsa.
– – –
–pkcs11-protectd- Uporabite zaščiteno pot avtentikacije PKCS#11, avtentikacijo ... uporabno za biometrične naprave in zunanje tipkovnice. Vsak ponudnik ima svoje nastavitve.
– – –
23.9 Način trajne konfiguracije tunela TUN/TAP Na voljo v sistemu Linux 2.4.7+. Te možnosti vključujejo neodvisen način MagPro OpenVPN-GOST, ki ga je mogoče uporabiti za ustvarjanje in brisanje trajnih tunelov.
– – –
23.12 Skripti in spremenljivke okolja MagPro OpenVPN-GOST izvozi številne spremenljivke okolja, ki se uporabljajo v uporabniško določenih skriptih.
23.12.1 Vrstni red izvajanja skripta
– – –
23.12.2 Vrste in pretvorba nizov V določenih primerih MagPro OpenVPN-GOST izvede pretvorbo znakov v nizih. Vsi znaki, ki niso vključeni v nabor dovoljenih znakov za vsako vrsto niza, bodo namreč pretvorjeni v podčrtaj.
vprašanje Zakaj je potrebna pretvorba nizov?
Odgovori. To je pomembna varnostna funkcija, namenjena preprečevanju zlonamernega kodiranja nizov iz nezaupljivih virov, ki se kot parametri posredujejo skriptom, shranjujejo v okolju, uporabljajo kot splošno ime, prevedejo v ime datoteke itd.
vprašanje Ali je mogoče onemogočiti pretvorbo nizov?
Odgovori. Da, z uporabo možnosti –no-name-remapping, vendar je treba to možnost obravnavati kot neobvezno.
Tukaj je kratek opis vrst vrstic, ki so na voljo v MagPro OpenVPN-GOST, in dovoljeni razredi znakov za vsako vrstico.
Imena X.509: črke in številke, podčrtaj (_), vezaj (-), pika (.), at-trade (@), dvopičje (:), poševnica (/) in znak enačaja ( =). Črke in številke so definirane kot znaki, zaradi katerih funkcija knjižnice C isalnum() vrne vrednost true.
Polja s splošnimi imeni: črke in številke, podčrtaj (_), vezaj (-), pika (.) in komercialni (@).
–auth-user-pass uporabniško ime: Enako kot polja Common Name, z eno izjemo:
parameter uporabniškega imena se posreduje vtičniku OPENVPN_PLUGIN_AUTH_USER_PASS_VERIFY tak, kot je, brez pretvorbe.
–auth-user-pass geslo: kateri koli "natisljiv" znak razen CR in LF. Natisljivi znaki so definirani kot znaki, zaradi katerih funkcija knjižnice C isprint() vrne vrednost true.
–client-config-dir ime datoteke, kot izhaja iz polj splošnega imena ali uporabniškega imena:
Črke in številke, podčrtaj (_), vezaj (-) in pika (.), razen "." in »..« kot ločeni vrstici, kot tudi komercialni simbol (@), dodan zaradi združljivosti Zaporedna številka spremembe Podpis osebe, odgovorne za Datum spremembe spremembe SEIU.00022-01 31 01 131 z znakom splošnega imena razred.
Imena spremenljivk okolja: črke in številke ali podčrtaj (_).
Vrednosti spremenljivke okolja: poljuben natisljiv znak.
V vseh primerih se znaki v nizu, ki niso člani dovoljenega razreda znakov za to vrsto niza, pretvorijo v podčrtaj.
23.12.3 Spremenljivke okolja Ko je spremenljivka okolja enkrat nastavljena, obstaja, dokler je ne ponastavite ali znova zaženete sistem.
V strežniškem načinu so spremenljivke okolja, ki jih nastavi OpenVPN, določene glede na objekte odjemalca, s katerimi so povezane, tako da ne bi smelo biti primerov, ko bi skripti dostopali do predhodno nastavljenih spremenljivk, ki veljajo za druge primerke odjemalca.
Leta 2016 je bila na Uralskem državnem konservatoriju premiera opere G. Rossinija "Seville ...".
«www.carsound.com.ua DVD IN CD PREDVAJALNIK SPREJEMNIK KD-DV4405/KD-DV4406 Če želite preklicati predstavitev zaslona, glejte stran 5. Navodila za namestitev in povezavo so na voljo v ločenem priročniku. NAVODILA ZA UPORABO GET0514-003A Hvala...”
"L. P. Sergievskaya Več novih vrst iz zahodne Sibirije S p e c i e s n o n n u l l a e n o v a e e Sibiria o c c i d e n t a l ! auctore L. S e r g i e v s k a j a Pri reviziji Zap.-Sib. oddelek Herbarija po imenu prof. P. N. Krylova v zvezi s pripravo XII zvezka "Flora Zahodne Sibirije, pojavile so se nove rastlinske vrste, opisi katerih ..."
") GLAVNI DIREKTORAT HIDROMETEOROLOŠKE SLUŽBE POD SVETOM MINISTROV ZSSR OB ZBORNIK GLAVNEGA GEOFIZIČNEGA OBSERVATORIJA PO IMENU A.I. VOEIKOVA IZDAJETE 88 ŠTEVIL SPLOŠNE IN SINOPTIČNE KLIMATOLOGIJE P'od r...": US AKADEMIJA ZNANOSTI SR MINIS PRENEHANJE VIŠJE IN SREDNJEGA SPECIALNEGA ŠOLSTVA AKADEMIJA ZNANOSTI Ukrajinske SSR 7SSR KHLRKOVSKYA GOSUNIVERSIG12T INTERAKCIJA ATOMSKIH DELCEV S TRDNIMI TELESI I KHARKOV 7-9 *"nya..." države članice Skupnosti neodvisnih držav, ki pripisujejo velik pomen razvoju sodelovanja v..."
"drugačna tema in cilj trenutne raziskave je slediti učinkom gospodarske recesije i..."
"Značilnosti mladostništva kot dejavnik tveganja za razvoj odvisnosti od drog. Mladostništvo (puberteta) je dolgo veljalo za dejavnik, ki prispeva k razvoju alkoholizma in zlorabe substanc (Ličko ...)
“ANTIKA IN SREDNJI VEK, ZVEZEK. 10, 1973 A. P. Kazhdan SESTAVA VLADARSKEGA RAZREDA V BIZANTU XI-XII. VPRAŠALNIK IN POSEBNI SKLEPI 1. Del VI. EVNUHI Posebno skupino vladajočega razreda Bizanca so sestavljali evnuhi, iz katerih je bil rekrutiran določen poglavar ...«
ODOBRIL: direktor BUK VO "Vologdska regionalna univerzalna znanstvena knjižnica po imenu I.V. Babushkin" T.N. Bukhantsev _ _ osnova, mora zagotoviti: stabilnost širine tira; Obvezno...”
2017 www.site - “Brezplačna elektronska knjižnica - elektronska gradiva”
Gradiva na tej strani so objavljena samo v informativne namene, vse pravice pripadajo njihovim avtorjem.
Če se ne strinjate, da je vaše gradivo objavljeno na tem mestu, nam pišite, odstranili ga bomo v 1-2 delovnih dneh.
Precej pogosto pride do situacije, ko je organizacija že konfigurirana in deluje virtualno omrežje OpenVPN s šifriranjem RSA, odjemalci pa so v najboljšem primeru razpršeni znotraj enega mesta. Prej ali slej postane potrebno šifrirati kanal po GOST.
V tem članku se lahko naučite, kako narediti popoln prehod na kriptografske algoritme GOST v okviru OpenVPN, ne da bi zapustili pisarno. Vsi primeri so vzeti na podlagi operacijskega sistema Debian, vendar so algoritem in nianse enaki za vse operacijske sisteme, ki jih podpiramo, razlikujejo se le ukazi.
Selitev na strani strežnika.
- Namestite orodje za kriptografsko zaščito informacij "MagPro CryptoPacket" v različici "OpenVPN-GOST".
- Ustvarite inicializacijsko datoteko za programsko opremo DSC, da izvedete ta zagon
sudo -H /opt/cryptopack3/bin/mkseed -r
in sledite navodilom programa.Po zaključku prvih dveh korakov bo nameščen celoten nabor programske opreme, ki je potrebna za delovanje OpenVPN z algoritmi GOST. V tem primeru bo že nastavljen kanal s šifriranjem RSA deloval še naprej.
- V katalogu /etc/openvpn-gost/ ustvarite konfiguracijsko datoteko openvpn-gost.conf, ki bo opisal ustvarjanje dodatnega kanala s šifriranjem GOST. Za osnovo lahko vzamete datoteko server.conf.sample, nameščeno v istem imeniku (verjetno vam v njej ne bo treba ničesar spremeniti).
- Generirajte potrebne ključe in potrdila za zagon strežnika (to lahko storite z naborom skriptov easy-gost, ki je vključen v dobavi, in v konfiguracijski datoteki določite pravilno pot do njih.
- Zaženite OpenVPN-GOST
sudo -H /etc/init.d/openvpn-gost start
Selitev odjemalca
Nato morate odjemalce prenesti na uporabo »OpenVPN-GOST«. Ni univerzalnega načina za zamenjavo uporabniškega kompleta, toda na splošno lahko postopek izgleda takole:- Priprava uporabniške distribucije (na primer pisanje pravilne konfiguracijske datoteke, ki bo zagotovila zahtevano funkcionalnost)
- Postavitev te distribucije na notranji datotečni strežnik organizacije
- Obveščanje uporabnikov, da morajo prenesti in namestiti novo različico programske opreme
V idealnem primeru bi morali biti zasebni ključi odjemalca in zahteve za potrdila ustvarjeni na strani uporabnika z uporabo posredovanega CIPF, nato pa je treba zahtevo za potrdilo prenesti CA (komplet strežnika MagPro CryptoPacket CIPF lahko deluje kot CA).
Vendar pa se pri uporabi programske opreme znotraj organizacije pogosto izvaja centralizirano ustvarjanje nabora strank (vključno z zasebnimi ključi). Velja razumeti, da morate pri prenosu zasebnih ključev zadostiti zahtevam Pravilnika o delovanju CIPF in PKZ-2005, predvsem s prenosom ključev po varnem komunikacijskem kanalu.
Koristno je tudi, če uporabnikom posredujemo navodila. Za Windows OS bo na splošno tako:
- Prenesite distribucijski komplet "OpenVPN-GOST" s povezave <link>
- Izbriši stara različica OpenVPN z uporabo standardnih sistemskih orodij
- Namestite novo različico z uporabo distribucije, prenesene iz datotečnega strežnika
- Postavite <naslednje datoteke> (na primer ključe in potrdila) v imenik <directory>
- Zaženite "OpenVPN-GOST" z ikono na namizju
Seveda bo selitev odjemalca trajala nekaj časa, odvisno od tega, kako hitro se bodo uporabniki odzvali.
Na splošno je ta metoda najprimernejša in vam omogoča prenos uporabnikov na novo različico OpenVPN-GOST, ne da bi zapustili pisarno.