2.2. Лабораторная работа №2. Настройка виртуальной частной сети (vpn)

2.2.1 Настройка сервера на базе Linux. Консольная версия ос

Настройка OpenVPN сервера со статическим ключом в Linux очень проста. Для этого заходим в терминал (как описано выше) и получаем права супер пользователя (тоже выше) теперь генерируем статичный ключ командой:

openvpn --genkey --cipher AES-256-CBC --secret /etc/openvpn/key.txt

Где AES-256-CBC это алгоритм шифрования, а /etc/openvpn/key.txt это файл в который запишется ключ и который нужно отдать клиенту любым безопасным методом.

Чтобы передать ключ клиенту в работе мы воспользуемся flash-накопителем. Для этого необходимо проделать следующие действия:

-оставаясь в ОС Linux вставить flash-накопитель и подождать пока он определиться, в правом нижнем углу появится соответствующий значок.

Последовательно вводим в терминале коммандны

mkdir /mnt/sdb1 #создание директории flash-накопителя

mount /dev/sdb1 /mnt/sdb1 #монтирование устройства

cp /etc/openvpn/key./txt /mnt/sdb1 #копирование ключа на flash-накопитель

umount /mnt/sdb1 #отмонтирование flash-накопителя

Должно быть вот так:

Рис. 2.103 Монтирование накопителя

Теперь ключ на дискете и его можно отдавать клиенту

Отключим устройство flash на виртуальном сервере, для этого кликаем правой кнопкой мыши по пиктограмме справа внизу и выбираем Disconnect

Рис. 2.104 Отключение устройства

Переходим в окно с Windows клиентом и на такой же пиктограмме кликнув правой кнопкой мыши и выбираем Connect :

Рис. 2.105 подключение устройства

Теперь flash накопитель доступен клиенту и в проводнике переписываем ключ в каталог «C:\Program Files\OpenVPN\config»

Следующим этапом нужно настроить саму OpenVPN

nano –w /etc/openvpn/openvpn.conf

и вводим в него

dev tap

ifconfig 10.3.0.100 255.255.255.0

cipher AES-256-CBC

secret /etc/openvpn/key.txt

keepalive 10 60

После ввода нажимаем F3 для сохранения документа и нажимаем Enter теперь файл настройки готов и можно выходить из редактора нажав Ctrl+x. В файле директивы означают:

dev - тип виртуального устройства туннеля. Может принимать значение tun или tap. Тun позволяет создавать только соединения типа точка-точка, tap виртуальные сегменты Еthernet.

ifconfig - назначает виртуальному tun/tap интерфейсу IP - адрес. Указывает адрес удаленного интерфейса. Это необходимо, потому что туннель работает как стандартное соединение "точка - точка".

cipher - алгоритм, используемый для шифрования пакетов

secret - указывает имя файла, в котором хранится статический ключ, используемый для шифрования потока

keepalive - контроль за состоянием соединений. В случае если по туннелю не передаются данные, через некоторое время посылается ping, для того чтобы соединение не разрывалось.

Настало время запустить демон

/etc/init.d/openvpn start

и будем должны увидеть примерно следующее

Рис. 2.106 Запуск OpenVPN

Для того чтобы при перезагрузке сервер VPN включался при загрузке следует добавить его в уровень запуска для этого введем

/sbin/chkconfig --level 35 openvpn on

Так же требуется отключение фаерволла. Для его отключения введем команду

/etc/init.d/iptables status

/etc/init.d/iptables stop

/sbin/chkconfig iptables off

reboot