Product SiteDocumentation Site

10.2. Виртуальная частная сеть

Виртуальная частная сеть (VPN) предоставляет возможность контакта для двух локальных сетей через интернет, используя туннель. Туннель обычно зашифрован для конфиденциальности. VPN сети часто используются для интеграции удалённой машины в локальную сеть компании.
Существуют несколько инструментов для организации такой сети. OpenVPN — это эффективное решение, легкое для развёртывания и поддержки, основано на SSL/TLS. Другая возможность состоит в использовании IPsec для шифрования IP трафика между двумя машинами. Такое шифрование прозрачно, это означает что приложения, запущенные на таких хостах не нуждаются в изменениях для добавления VPN в аккаунт. SSH, в дополнение к традиционным возможностям, также может использоваться как VPN. Наконец, VPN можно создать, используя протокол Microsoft PPTP. Существуют иные способы, которые остались за рамками этой книги.

10.2.1. OpenVPN

OpenVPN используется для создания виртуальных частных сетей. В его настройку входит создание частных сетевых интерфейсов на VPN сервере и на клиенте (клиентах). Оба tun (для туннелей уровня IP) и tap (для туннелей уровня Ethernet) интерфейса поддерживаются. На практике tun используется чаще, за исключением необходимости интеграции VPN клиентов в локальную сеть сервера через Ethernet мост.
Для использования SSL/TLS криптографии и смежных возможностей (конфиденциальность, аутентификация, целостность, неапеллируемость) OpenVPN полагается на OpenSSL. Конфигурация осуществляется с помощью общего секретного ключа или используя сертификаты X.509, основанные на инфраструктуре публичного ключа.

10.2.1.1. Инфраструктура открытых ключей: easy-rsa

Алгоритм RSA широко используется в криптографии публичного ключа. Он включает «пару ключей», содержащую частный и публичный ключ. Два ключа тесно связаны между собой и их математические свойства тоже, например, сообщение зашифрованное с публичным ключом может быть расшифровано тем, кто знает частный ключ, что обеспечивает конфиденциальность. Наоборот, сообщение, зашифрованное с частным ключом, может расшифровать любой, знающий публичный ключ — это гарантия установления подлинности сообщения, т. к. создать такое мог только человек с доступом к частному ключу. Если есть связь с цифровой хэш-функцией (MD5, SHA1 или более современные), то это механизм подписи, который может быть применён к любому сообщению.
Однако кто угодно может создать пару ключей, наполнить её любой информацией, касаемой индивидуальных данных какого-либо лица, и притвориться в любой момент, что он и есть та или иная "личность". Чтобы исключить такие ситуации, было решено создать Центр сертификации (открытых публичных ключей) - Certification Authority (CA), работающий по стандарту X.509. Смысл в том, что данному центру доверяют хранить одну половинку ключа, известной как root certificate (доверенный корневой сертификат). Этот сертификат (открытый публичный ключ) используется только для подписания других сертификатов (одной половины ключа от пары), после выполнения предварительных действий по подтверждению подлинности личности (организаций и физических лиц), сохраняемой в паре ключей. Программы, использующие X.509 могут затем проверить сертификаты, представленные им, при этом они должны знать о доверенных корневых сертификатах.
OpenVPN придерживается этого правила. Поскольку публичные CA выпускают сертификаты только в обмен за деньги (здоровéнные), OpenVPN может создать свой приватный центр сертификации, авторизированный внутри компании (то есть независимый локальный центр сертификации) и выдавать самоподписанные сертификаты (то есть открытые публичные ключи). Пакет easy-rsa включает в себя инструменты, с помощью которых можно управлять инфраструктурой сертификации X.509, а также они включают в себя сценарии с использованием команды openssl.
Администраторы Falcot Corp используют этот инструмент для создания нужных сертификатов, для обеих сторон - для сервера и клиентов. Это позволяет настраивать всех клиентов похожим образом, поскольку на клиентах надо только установить, чтобы они считали доверенными сертификатами те, что были выданы локальным CA, расположенным в Falcot. Этот CA в Falcot имеет порядковый номер - первый сертификат, который он выдал сам себе в самом начале своей работы. Для учёта и хранения выдаваемых сертификатов администраторы создают каталог с нужными файлами для CA в подходящем месте, предпочтительнее на машине, не подсоединённой к сети. Это делается для того, чтобы уменьшить риск кражи закрытых ключей, выданных локальным CA.
$ make-cadir pki-falcot
$ cd pki-falcot
Нужные опции располагаются в файле vars, особенно те, что имеют в качестве приставки к словам KEY_; эти переменные затем интегрируются в в окружающую среду:
$ vim vars
$ grep KEY_ vars
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR
export KEY_SIZE=2048
export KEY_EXPIRE=3650
export KEY_COUNTRY="FR"
export KEY_PROVINCE="Loire"
export KEY_CITY="Saint-Étienne"
export KEY_ORG="Falcot Corp"
export KEY_EMAIL="admin@falcot.com"
export KEY_OU="Certificate authority"
export KEY_NAME="Certificate authority for Falcot Corp"
# If you'd like to sign all keys with the same Common Name, uncomment the KEY_CN export below
# export KEY_CN="CommonName"
$ . ./vars
ЗАМЕТКА: Если вы запустите ./clean-all, я сделаю удаление  rm -rf здесь - /home/roland/pki-falcot/keys
$ ./clean-all
Следующим шагом является создание пары к ключу CA (то есть приватного ключа), то есть самому себе (при выполнении этого шага обе части ключа, или "пара", будут размещены под именами keys/ca.crt и keys/ca.key):
$ ./build-ca
Generating a 2048 bit RSA private key
....................................................................+++
...+++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:
Common Name (eg, your name or your server's hostname) [Falcot Corp CA]:
Name [Certificate authority for Falcot Corp]:
Email Address [admin@falcot.com]:
А сейчас можно создать сертификат для сервера VPN, при необходимости активизировать и протокол Диффи-Хелмана для серверной стороны соединения по SSL/TLS. VPN сервер идентифицируется по его DNS имени vpn.falcot.com; это имя будет использоваться в дальнейшем для создания файлов ключей (keys/vpn.falcot.com.crt - для публичного сертификата - первой половинки ключа, keys/vpn.falcot.com.key - для закрытого ключа - второй половинки):
$ ./build-key-server vpn.falcot.com
Generating a 2048 bit RSA private key
.....................................................................................................................+++
...........+++
writing new private key to 'vpn.falcot.com.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:
Common Name (eg, your name or your server's hostname) [vpn.falcot.com]:
Name [Certificate authority for Falcot Corp]:
Email Address [admin@falcot.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /home/roland/pki-falcot/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'FR'
stateOrProvinceName   :PRINTABLE:'Loire'
localityName          :T61STRING:'Saint-\0xFFFFFFC3\0xFFFFFF89tienne'
organizationName      :PRINTABLE:'Falcot Corp'
organizationalUnitName:PRINTABLE:'Certificate authority'
commonName            :PRINTABLE:'vpn.falcot.com'
name                  :PRINTABLE:'Certificate authority for Falcot Corp'
emailAddress          :IA5STRING:'admin@falcot.com'
Certificate is to be certified until Mar  6 14:54:56 2025 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
$ ./build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
[…]
Следующим шагом создаются сертификаты для клиентов VPN; один сертификат нужен каждому компьютеру или лицу, которым позволено использовать VPN:
$ ./build-key JoeSmith
Generating a 2048 bit RSA private key
................................+++
..............................................+++
writing new private key to 'JoeSmith.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:Development unit
Common Name (eg, your name or your server's hostname) [JoeSmith]:Joe Smith
[…]
Сейчас созданы все сертификаты, и их нужно скопировать в соответствующие места: публичный (открытый) ключ корневого сертификата (keys/ca.crt) надо разместить на всех машинах (на обеих сторонах: на сервере и на клиентах) как /etc/ssl/certs/Falcot_CA.crt. Сертификат сервера устанавливают только на сервере: (keys/vpn.falcot.com.crt копируется в /etc/ssl/vpn.falcot.com.crt, и keys/vpn.falcot.com.key копируется в /etc/ssl/private/vpn.falcot.com.key с установлением ограничений, что только администратор может их читать), с соответствующими параметрами Диффи-Хелмана (keys/dh2048.pem) устанавливается в /etc/openvpn/dh2048.pem. Сертификат клиента устанавливается соответственно на клиента VPN аналогичным способом.

10.2.1.2. Настройка сервера OpenVPN

По умолчанию, при первоначальном запуске OpenVPN сценарий пытается запустить все виртуальные частные сети, описанные в файле /etc/openvpn/*.conf. Поэтому важно, настраивая VPN сервер, располагать соответствующие файлы конфигурации в этом каталоге. Хорошей отправной точкой может быть /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz, в котором приведён довольно стандартный сервер. Конечно, некоторые опции нуждаются в уточнении: ca, cert, key и dh нужны для описания выбранного местоположения (соответственно, /etc/ssl/certs/Falcot_CA.crt, /etc/ssl/vpn.falcot.com.crt, /etc/ssl/private/vpn.falcot.com.key и /etc/openvpn/dh2048.pem). Директива server 10.8.0.0 255.255.255.0 определяет подсеть, которая будет использоваться для VPN; сервер использует первый IP адрес в этом диапазоне (10.8.0.1), а остальные адреса распределяются клиентам.
С этой конфигурацией, запущенный OpenVPN создаёт виртуальный сетевой интерфейс, обычно под именем tun0. Однако, брандмауэры часто настраиваются в одно время с настройкой реальных сетевых интерфейсов, и это обычно происходит ранее, до старта OpenVPN. Поэтому, уже имеющийся хороший опыт использования связки OpenVPN+брандмауэр рекомендует создать постоянный виртуальный сетевой интерфейс, и настроить OpenVPN использовать этот интерфейс. Тогда в будущем, можно будет подобрать имя для этого интерфейса. С этой целью, openvpn --mktun --dev vpn --dev-type tun создаст виртуальный сетевой интерфейс, назвав его vpn с типом tun. Эта команда может быть быстро включена в сценарий настройки брэндмауэра, или в директиву up файла /etc/network/interfaces. Конфигурационный файл OpenVPN должен быть также обновлён соответствующим образом, с директивами dev vpn и dev-type tun.
Для исключения отдалённых последствий, клиенты VPN могут только получать доступ к серверу VPN через адрес 10.8.0.1. Для предоставления клиентам доступа в локальную сеть (192.168.0.0/24), необходимо добавить директиву push route 192.168.0.0 255.255.255.0 в конфигурацию OpenVPN, тогда клиенты VPN автоматически получат уведомление о том, что сетевая маршрутизация к этой сети осуществляется через VPN. Кроме того, машины в локальной сети также должны быть информированы о том, что маршрутизация пакетов VPN должна осуществляться через сервер VPN (в случае установки сервера VPN на шлюз это происходит автоматически). И как альтернатива, сервер VPN можно настроить с возможностью использования IP masquerading (трансляция - замена одних IP на другие) таким образом, что соединения, приходящие от клиентов VPN будут появляться так, как будто они пришли с сервера VPN взамен (смотри вкладку Раздел 10.1, «Шлюз»).

10.2.1.3. Настройка клиента OpenVPN

При настройке клиента OpenVPN нужно тоже создать конфигурационный файл, поместив его в /etc/openvpn/. Стандартная конфигурация, которую можно принять за основу, расположена в примерах по адресу /usr/share/doc/openvpn/examples/sample-config-files/client.conf. Директива remote vpn.falcot.com 1194 описывает адрес и порт сервера OpenVPN; ca, cert и key также нуждаются в редактировании описаний с уточнением месторасположения файлов ключей.
Если нет необходимости запускать VPN сразу, при загрузке системы автоматически, то надо установить для директивы AUTOSTART опцию none в файле /etc/default/openvpn. Запуск и остановка данного соединения VPN всегда можно выполнить вручную командами service openvpn@name start и service openvpn@name stop (где название соединения name подходит к одному из определённых в файле /etc/openvpn/name.conf).
Пакет network-manager-openvpn-gnome содержит расширения для Менеджера Сети (смотри вкладку Раздел 8.2.4, «Автоматическая настройка сети для мобильных пользователей»), что позволяет управлять виртуальными частными сетями OpenVPN. С их помощью каждый пользователь может настраивать соединения OpenVPN в графическом виде и контролировать их из иконки сетевого управления.

10.2.2. Виртуальные Частные Сети с SSH

В настоящее время фактически существуют два способа создания частных виртуальных сетей, использующих SSH. Исторически так сложилось, что одно из этих решений предполагает использование слоя PPP поверх соединения SSH. Этот вариант описывается в документе HOWTO:
Второй способ является более современным, и был введён с появлением OpenSSH 4.3; теперь стало возможным для OpenSSH создание виртуальных сетевых интерфейсов (tun*) на обеих сторонах соединения SSH, и эти виртуальные интерфейсы можно настраивать так, как будто они являются физическими интерфейсами. Первоначально необходимо разрешить создание тунельной системы путём установки для PermitTunnel опции “yes” в конфигурационном файле сервера SSH(/etc/ssh/sshd_config). При устанавлении соединения SSH, необходимо ясно выразить желание создать тунель с опцией -w any:any (any может быть заменено на уже имеющееся в системе устройство с номером tun). Такое решение требует наличия на обеих сторонах соединения SSH у пользователя прав администратора, так как необходимо создавать сетевые устройства (другими словами, соединение должно устанавливаться администратором).
Оба метода создания виртуальных частных сетей через SSH довольно просты. Однако, VPN поддерживает такие соединения не очень эффективно; в частности, не достигается высокий уровень скорости прохождения трафика, как бы хотелось.
Объясняется это тем, что когда стек TCP/IP инкапсулируется внутрь соединения TCP/IP (для SSH), то протокол TCP используется дважды, сначала для соединения по SSH и затем уже внутри самого туннеля. Это приводит к проблемам, особенно из-за особенностей TCP подстраиваться под состояние сети путем изменения задержки тайм-аута. Следующий сайт описывает проблему более детально: Поэтому соединение VPN через SSH должно быть ограничено созданием разовых туннелей без ограничения производительности.

10.2.3. IPsec

IPsec, несмотря на то, что является стандартом в IP VPNs, на самом деле принимает более активное участие в его работе. Сам механизм IPsec интегрирован в ядро Linux; а необходимая часть программного обеспечения для пользовательского пространства, средства контроля и настройки включены в пакет ipsec-tools. В конкретных случаях, каждый host, описываемый в файле /etc/ipsec-tools.conf, содержит параметры для IPsec tunnels (или Security Associations, в терминалогии IPsec), которые касаются непосредственно его. Сценарий /etc/init.d/setkey поддерживает способ запуска или остановки процесса формирования туннеля (каждый туннель является секретной ссылкой на другой host, подсоединённый в виртуальной частной сети). Этот файл может быть написан вручную руководствуясь необходимой информацией, представленной на странице руководства setkey(8). Однако, ручное составление подробных описаний параметров для всех host-ов, с характерными только для них установками конкретным машинам, быстро становится трудной задачей, поскольку количество туннелей сильно увеличивается. Установка демона IKE (для IPsec Key Exchange), такого как racoon или strongswan, сделает процесс намного проще, поскольку всё управление будет сведено в одно место, то есть централизованно, и периодическая смена ключей будет происходить более безопасно.
Несмотря на его статус, как рекомендованный, сложность настройки при запуске IPsec ограничивает его использование на практике. В случае, если требуется не слишком много туннелей и они не будут слишком динамичными, то более предпочтительным является решение, базирующееся на OpenVPN.

10.2.4. PPTP

По протоколу PPTP (расшифровывается как тунельный протокол "точка-точка" или Point-to-Point Tunneling Protocol) организуется соединение, включающее в себя два канала связи, один - для контроля процесса передачи данных, второй - непосредственно для перемещения самих данных; последний использует протокол GRE (Generic Routing Encapsulation). На базе этих двух каналов связи организуется обычное PPP соединение.

10.2.4.1. Настройка Клиента

Пакет pptp-linux содержит быстронастраиваемого клиента PPTP для Linux. Описываемые далее шаги по настройке клиента были позаимствованы из официальной документации:
Администраторы Falcot создали несколько файлов: /etc/ppp/options.pptp, /etc/ppp/peers/falcot, /etc/ppp/ip-up.d/falcot, и /etc/ppp/ip-down.d/falcot.

Пример 10.2. Файл /etc/ppp/options.pptp

# Параметры PPP, используемые для PPTP соединения
lock
noauth
nobsdcomp
nodeflate

Пример 10.3. Файл /etc/ppp/peers/falcot

# vpn.falcot.com -это сам сервер
pty "pptp vpn.falcot.com --nolaunchpppd"
# соединение идентифицирует пользователя "vpn"
user vpn
remotename pptp
# применение шифрования необходимо
require-mppe-128
file /etc/ppp/options.pptp
ipparam falcot

Пример 10.4. Файл /etc/ppp/ip-up.d/falcot

# Создать маршрут к сети Falcot
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  route add -net 192.168.0.0 netmask 255.255.255.0 dev $1
fi

Пример 10.5. Файл /etc/ppp/ip-down.d/falcot

32
# Удалить маршрут к сети Falcot
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  route del -net 192.168.0.0 netmask 255.255.255.0 dev $1
fi

10.2.4.2. Настройка сервера

Сервером PPTP для Linux является программа pptpd. Её главный файл настройки /etc/pptpd.conf нуждается совсем в небольших изменениях: localip (локальный IP адрес) и remoteip (удалённый IP адрес). В нижеприведённом примере, сервер PPTP всегда использует адрес 192.168.0.199, а клиент PPTP получает адрес динамически из диапазона адресов от 192.168.0.200 до 192.168.0.250.

Пример 10.6. Файл /etc/pptpd.conf

# TAG: speed
#
#       Specifies the speed for the PPP daemon to talk at.
#
speed 115200

# TAG: option
#
#       Specifies the location of the PPP options file.
#       By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/pptpd-options

# TAG: debug
#
#       Turns on (more) debugging to syslog
#
# debug

# TAG: localip
# TAG: remoteip
#
#       Specifies the local and remote IP address ranges.
#
#       You can specify single IP addresses separated by commas or you can
#       specify ranges, or both. For example:
#
#               192.168.0.234,192.168.0.245-249,192.168.0.254
#
#       IMPORTANT RESTRICTIONS:
#
#       1. No spaces are permitted between commas or within addresses.
#
#       2. If you give more IP addresses than MAX_CONNECTIONS, it will
#          start at the beginning of the list and go until it gets
#          MAX_CONNECTIONS IPs. Others will be ignored.
#
#       3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#          you must type 234-238 if you mean this.
#
#       4. If you give a single localIP, that's ok - all local IPs will
#          be set to the given one. You MUST still give at least one remote
#          IP for each simultaneous client.
#
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
#localip 10.0.1.1
#remoteip 10.0.1.2-100
localip 192.168.0.199
remoteip 192.168.0.200-250
Используемое PPP соединение для работы с сервером PPTP также нуждается в небольших изменениях для настройки в файле /etc/ppp/pptpd-options. Важными параметрами являются: имя сервера (pptp), доменное имя (falcot.com), и IP адрес для DNS и WINS серверов.

Пример 10.7. Файл /etc/ppp/pptpd-options

## turn pppd syslog debugging on
#debug

## change 'servername' to whatever you specify as your server name in chap-secrets
name pptp
## change the domainname to your local domain
domain falcot.com

## these are reasonable defaults for WinXXXX clients
## for the security related settings
# The Debian pppd package now supports both MSCHAP and MPPE, so enable them
# here. Please note that the kernel support for MPPE must also be present!
auth
require-chap
require-mschap
require-mschap-v2
require-mppe-128

## Fill in your addresses
ms-dns 192.168.0.1
ms-wins 192.168.0.1

## Fill in your netmask
netmask 255.255.255.0

## some defaults
nodefaultroute
proxyarp
lock
В последнем шаге настройки надо зарегистрировать пользователя vpn (и соответствующий ему пароль) в файле /etc/ppp/chap-secrets. В отличие от других случаев применения символа звёздочка (*) в текстовых файлах настроек, в данном конкретном случае, в этом файле, необходимо ввести напрямую имя сервера. Кроме того, имя клиентов Windows PPTP определяется в следующем виде DOMAIN\\USER, в противовес обычному простому указанию только имя пользователя. Это объясняет почему файл также упоминает пользователей FALCOT\\vpn. Можно также определить здесь индивидуальные IP адреса для пользователей; а применение звездочки в этом поле говорит о том, что будет использоваться динамическая адресация.

Пример 10.8. Файл /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client        server  secret      IP addresses
vpn             pptp    f@Lc3au     *
FALCOT\\vpn     pptp    f@Lc3au     *