Astra linux openvpn client

Установка и настройка OpenVPN в Linux

VPN – Virtual Private Network, т. е. защищённая частная сеть, которая объединяет в себе несколько разных сетей, соединённых через Интернет. OpenVPN – это свободная реализация этой технологии. Сети VPN удобны тем, что позволяют получить доступ к частным сетям из любой точки в сети Интернет верифицированным клиентам. Многие организации таким образом строят свои локальные или интрасети, когда их офисы (сервера и компьютеры) расположены далеко (даже на разных континентах) друг от друга. Это единственный вариант в такой ситуации поскольку аренда выделенного физического канала связи (кабели по дну моря например) — слишком дорогое удовольствие. Таким образом сотрудники могут подключаться к сети своей организации из дома или из любой другой точки, имея только доступ в интернет и специальный ключ. Именно с помощью ключей шифрования организуется туннели связи, объединяющие разные сети в одну защищённую VPN-структуру.

Что для этого нужно?

Настройка OpenVPN требует наличия следующих компонентов:

• несколько компьютеров-клиентов для организации, собственно, инфраструктуры сети VPN;
• OpenVPN на всех компьютерах-клиентах;
• Easy-RSA – для организации центров сертификации и работы с ключами, также на всех компьютерах;
• корректно настроенный центр сертификации.

Следует отметить, что центр сертификации (ЦС) рекомендуется использовать на отдельной машине. ЦС служит для обслуживания запросов на сертификаты.

Установка ПО

Это, пожалуй самый простой этап. Здесь достаточно воспользоваться менеджером пакетов или системой управления пакетами (СУП) для установки требуемых пакетов ПО. Для любого из популярных дистрибутивов Linux они доступны из стандартный репозиториев. Например, для Ubuntu 18.04:

В зависимости от используемого дистрибутива наименования пакетов могут различаться. Оба пакета нужно устанавливать и на сервере, и у клиентов.

Организация центра сертификации

Это очень важный этап, поскольку от наличия собственного ЦС зависит безопасность организуемой сети VPN. Также это удобно, поскольку собственный ЦС позволяет легко управлять ключами и сертификатами, а также распространять их для клиентов. Также отпадает необходимость хранения всех сертификатов клиентов, поскольку их подписи находятся у ЦС.

ЦС будет находиться в каталоге /etc/openvpn/easy-rsa . Вообще, ЦС можно разместить где угодно. Также необходимо скопировать в хранилище конфигурационные скрипты Easy-RSA:

Теперь необходимо развернуть сам ЦС в каталоге /etc/openvpn/easy-rsa . Для этого следует выполнить в нём некоторые скрипты (которые ранее были сюда скопированы) для создания инфраструктуры для работы ЦС:

Для удобства командная консоль была переведена в «суперпользовательский» режим командой sudo -i. Вторая команда устанавливает все необходимые переменные окружения. Третья команда проверяет, существует ли каталог keys/ и если его нет, то создаёт его. Если он существует, то производится очистка его содержимого. Далее устанавливаются необходимые режимы доступа. Четвёртая команда помещает в keys/ серверные ключи и сертификаты по-умолчанию.

Генерация и настройка ключей клиентов

На данном этапе нужно произвести похожие настройки для Easy-RSA на клиентских машинах, с той лишь разницей, что генерировать ключи нужно на основе главного сертификата серверной машины, на которой работает OpenVPN-сервер. Главный сертификат нужно скопировать на клиентские машины. Но для начала следует создать инфраструктуру клиентского окружения для работы с ключами:

Далее, нужно скопировать главный сертификат сервера (файл *.crt) на все клиентские компьютеры. Для этого удобно использовать утилиту scp:

Далее можно создавать (генерировать) клиентские ключи, используя скопированный с сервера сертификат. Для этого на клиентском компьютере в каталоге /etc/openvpn/easy-rsa нужно выполнить следующие команды:

Важно понимать, что для того, чтобы генерация клиентских ключей была возможной, необходимо, чтобы серверный сертификат находился в каталоге keys/ у клиентов. Сгенерированные в результате клиентские ключи позволяют подключаться к серверу OpenVPN. Однако, для того, чтобы сервер их принимал и предоставлял доступ к VPN-сети, необходимо, чтобы эти ключи (файлы *.csr) были подписаны на самом сервере. Можно также, используя SCP, отправить их на сервер:

$ scp /etc/openvpn/easy-rsa/keys/John.csr username@host:

Теперь, на сервере, предварительно перейдя в каталог /etc/openvpn/easy-rsa , можно выполнить подпись переданного ключа John.csr:

В результате будет создан уже подписанный сервером сертификат, который необходимо отдать клиенту:

На этом организация инфраструктуры для работы с ключами (и сертификатами) завершена. Теперь этого достаточно, чтобы сервер OpenVPN и клиенты установили защищённую связь. Однако необходимо ещё произвести некоторые настройки самой системы OpenVPN.
Также, если планируется для более надёжной защиты использовать TLS-шифрование, то на стороне сервера всё в том же в каталоге /etc/openvpn/easy-rsa выполнить команду:

Настройка сервера OpenVPN

После установки OpenVPN обычно по-умолчанию никаких конфигурационных файлов для работы не предоставляется. Это сделано потому, что для начала нужно определить, как использовать OpenVPN на конкретной машине: в качестве сервера или клиента. Только после этого должна определяться конфигурация, которая, как можно понимать, будет различаться для сервера и для клиента.

Для более удобного задания конфигурации существуют файлы-шаблоны, доступные в /usr/share/doc/openvpn/examples/sample-config-files/ . На их основе можно относительно быстро сконфигурировать целый сервер OpenVPN или его клиент:

Эта команда (точнее конвейер команд) извлечёт и архива server.conf.gz текстовые данные и создаст из них конфигурационный файл server.conf с базовыми настройками работы OpenVPN-сервера. Теперь нужно задать, собственно, актуальные опции. Протокол и номер порта:

Серверные ключи и сертификаты из каталога /etc/openvpn/easy-rsa/keys также необходимо определить в конфигурации:

Также нужно указать диапазон VPN-сети:

Эта запись определяет адрес самого OpenVPN-сервера (10.8.0.0), а также маску его сети. В итоге рабочая конфигурация должна выглядеть следующим образом:

Теперь можно сохранить файл server.conf. Настройка сервера OpenVPN завершена. Далее нужно выполнить его запуск с помощью команды openvpn, указав соответствующий конфигурационный файл:

Настройка клиентов OpenVPN

Теперь необходимо настроить клиентские машины. Также нужно воспользоваться файлами шаблонами, но они доступны без распаковки:

Для клиента может быть задано несколько конфигурационных файлов для подключения к разным серверам OpenVPN. Ключевыми параметрами для клиентской конфигурации являются remote, ca, cert, а также key:

Здесь remote задаёт IP-адрес сервера OpenVPN в Интернет, а также порт подключения, который должен совпадать с тем, что указан в серверной конфигурации. Параметр ca – это серверный сертификат, а cert – созданный на его основе ключ John.csr, а теперь подписанный сертификат John.crt. Параметр key – это закрытый ключ клиента. Следует отметить, что именно при помощи параметров cert и key обеспечивается подключение клиентов к сети VPN.
Готовая рабочая клиентская конфигурация будет следующей:

Теперь можно запускать OpenVPN на клиентском компьютере:

После этого, если всё настроено правильно, клиенты подключатся к VPN. Но на этом ещё не всё. Необходимо настроить перенаправление для туннеля VPN, чтобы пользователи могли направлять и получать через него трафик. Для начала необходимо разрешить серверу пропускать пакеты:

Затем разрешить всем подключаться к серверу OpenVPN:

Ну а также разрешить клиентам доступ в интернет через туннель:

Предыдущие три правила iptables стоит применять, когда в сети действует запрещающая политика. Также нужно следить за тем, чтобы брандмауэр не блокировал подключения по протоколу UDP к OpenVPN-серверу.

Заключение

В заключение необходимо отметить, что настройка сети VPN – довольно трудоёмкое и ответственное занятие. Особое внимание здесь нужно уделять организации ЦС, распространению ключей и сертификатов, а также форвардингу пакетов. Поэтому для таких задач очень важно иметь хорошую квалификацию по администрированию сетей. Также стоит учитывать, что была рассмотрена настройка OpenVPN для систем Ubuntu, однако принципиальной разницы для других дистрибутивов нет.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Astra linux openvpn client

OpenVPN 3 — это новый клиент, построенный поверх OpenVPN 3 Core Library, которая также используется в различных клиентах OpenVPN Connect и OpenVPN для Android. В этой статье мы рассмотрим как установить OpenVPN 3 на Linux: Ubuntu, Debian, CentOS и их производные.

Этот клиент построен вокруг совершенно другой архитектуры в отношении использования. Он в значительной степени строится на D-Bus и позволяет непривилегированным пользователям запускать и управлять своими собственными VPN-туннелями из коробки. Системные администраторы, желающие получить больше контроля, также могут контролировать и ограничивать этот доступ как путем ужесточения политики D-Bus OpenVPN 3 по умолчанию, так и путем упрощения функций в OpenVPN 3 Linux.

Даже если имя проекта несет «Linux», это не означает, что он ограничен только Linux. Любая платформа, имеющая доступную шину D, способна запускать этот клиент теоретически. Но поскольку D-Bus наиболее часто используется в средах Linux, это, естественно, будет основным направлением для проекта.

Примечания к выпуску хранятся в тегах git в репозитории project git. Их также можно посмотреть здесь: https://github.com/OpenVPN/openvpn3-linux/releases

Установка OpenVPN 3 на Linux

Debian, Ubuntu

Во первых убедитесь что ваш apt поддерживает транспорт https:

# apt install apt-transport-https

Установите ключ репозитория OpenVPN, используемый пакетами OpenVPN 3 Linux

# wget https://swupdate.openvpn.net/repos/openvpn-repo-pkg-key.pub
# apt-key add openvpn-repo-pkg-key.pub

Затем вам нужно установить соответствующий репозиторий. Замените $DISTRO именем выпуска в зависимости от вашего дистрибутива Debian/Ubuntu.

# wget -O /etc/apt/sources.list.d/openvpn3.list https://swupdate.openvpn.net/community/openvpn3/repos/openvpn3-$DISTRO.list
# apt update

Дистрибутив	Релиз	Имя релиза ($DISTRO)
Debian	9	stretch
Debian	10	buster
Ubuntu	16.04	xenial
Ubuntu	18.04	bionic
Ubuntu	19.10	eoan
Ubuntu	20.04	focal
Ubuntu	20.10	groovy

И наконец можно установить пакет OpenVPN 3

# apt install openvpn3

Fedora, Red Hat Enterprise Linux, CentOS, Scientific Linux

Пакеты для этих дистрибутивов предоставляются через репозиторий Fedora Copr.

Дистрибутив	Версия релиза
Fedora	32, 33, Rawhide
Red Hat Enterprise Linux / CentOS	7, 8

Если вы используете Red Hat Enterprise Linux или ее производные, вам необходимо сначала установить как репозиторий Fedora EPEL, так и модуль yum copr.

Инструкции по включению Fedora EPEL можно найти здесь: https://fedoraproject.org/wiki/EPEL. Выпуски Fedora обычно имеют предустановленный модуль yum/dnf copr.

# yum install yum-plugin-copr

Теперь, когда модуль Copr доступен, пришло время включить репозиторий OpenVPN 3 Copr.

# yum copr enable dsommers/openvpn3

И тогда клиент OpenVPN 3 Linux может быть установлен

# yum install openvpn3-client

Как пользоваться новым OpenVPN 3 в Linux

С установленным пакетом OpenVPN 3, все должно быть готово к использованию. По умолчанию любая учетная запись пользователя в системе должна иметь возможность запускать VPN-туннели.

Использование openvpn2

Для пользователей, знакомых с классической командной строкой OpenVPN 2.x, openvpn2front-end стремится быть довольно близким к старому поведению.

Замените $ конфигурационным файлом OpenVPN, который вы хотите использовать. Если эта конфигурация включает эту —daemon опцию, сеанс VPN будет запущен в фоновом режиме, и пользователю снова будет предоставлена командная строка. Для дальнейшего управления этим сеансом VPN openvpn3 session-manage необходимо использовать интерфейс командной строки. Без —daemon этого консоль будет заполнена лог-данными от VPN-сеанса, а сам сеанс можно отключить с помощью простого нажатия CTRL-C в терминале.

$ openvpn2 —help
$ man openvpn2

Использование openvpn3

Для более продвинутого использования OpenVPN 3 командная строка предлагает гораздо больше возможностей. Профили конфигурации в OpenVPN 3 для Linux управляются менеджером конфигурации до запуска сеанса VPN через Диспетчер сеансов . openvpn3Утилита предоставляет доступ к функциям, которые предоставляют эти службы диспетчера.

Запуск профиля конфигурации

Означает, что файл конфигурации анализируется, загружается и удаляется из управления конфигурацией, как только сеанс VPN был запущен. Файл конфигурации не доступен для повторного использования после этого подхода. Это достигается непосредственно командой openvpn3 session-start.

$ openvpn3 session-start —config $

Импорт файла конфигурации для повторного использования и запуск сеанса VPN

При таком подходе импортированный конфигурационный файл можно использовать несколько раз, и доступ к самому конфигурационному файлу не требуется для запуска VPN-туннелей. По умолчанию импортированные профили конфигурации доступны только тому пользователю, который импортировал файл конфигурации. Но OpenVPN 3 также предоставляет функцию списка контроля доступа через openvpn3 config-acl для предоставления доступа определенным или всем пользователям системы.

$ openvpn3 config-import —config $

Это загружает профиль конфигурации и сохраняет его только в памяти. Это означает, что при перезагрузке системы профиль конфигурации не сохраняется. Если добавлен аргумент —persistent в командную строку выше, профиль конфигурации будет сохранен на диске в каталоге, доступном только openvpn пользователю. Всякий раз, когда запускается Configuration Manager, файлы конфигурации, импортированные вместе с —persistent, также автоматически загружаются.

Чтобы вывести список всех доступных профилей конфигурации, выполните следующую команду:

Файл конфигурации обычно содержит общие параметры для подключения к определенному серверу, независимо от самого устройства. OpenVPN 3 для Linux также поддерживает установку более специфичных для хоста параметров в профиле конфигурации. Это обрабатывается через интерфейс openvpn3 config-manage. Любые настройки здесь также будут сохранены при загрузке, если профиль конфигурации был импортирован с —persistent аргументом.

Запуск нового сеанса VPN из импортированного профиля конфигурации

Когда профиль конфигурации доступен через openvpn3 configs-list, его можно легко запустить с помощью openvpn3 session-start и имени профиля конфигурации (обычно это имя файла, используемое при импорте)

$ openvpn3 session-start —config $

или же можно использовать путь D-Bus к профилю конфигурации:

$ openvpn3 session-start —config-path /net/openvpn/v3/configuration/.

В любом из этих случаев он обязательно должен иметь доступ к профилю конфигурации на диске. Пока профили конфигурации доступны через openvpn3 configs-list него , все необходимое для запуска сеанса VPN должно присутствовать.

Управление запущенным сеансом VPN

После того, как сеанс VPN был запущен, это должно быть видно с помощью команды:

В команде openvpn3 session-manage есть много вещей, которые могут быть сделаны, но чаще всего это —disconnect или —restart ,они наиболее часто используются.

$ openvpn3 session-manage —config $ —restart

Это отключает и повторно подключает к серверу снова, повторно устанавливая соединение. $ — это имя конфигурации, как показано в openvpn3 sessions-list. Также можно использовать путь D-Bus к сеансу:

$ openvpn3 session-manage —session-path /net/openvpn/v3/sessions/. —disconnect

Приведенная выше команда отключит запущенный сеанс. Как только эта операция будет завершена, она будет удалена из openvpn3 sessions-list.

Кроме того, можно получить статистику туннелей в реальном времени из запущенных сеансов:

$ openvpn3 session-stats —config $
$ openvpn3 session-stats —session-path /net/openvpn/v3/sessions/.

А чтобы получить события журнала в реальном времени по мере их возникновения, выполните приведенную ниже команду:

$ openvpn3 log —config $

Там может быть мало информации, так как журнал не предоставляет никаких событий из прошлого. Если выполнить команду openvpn3 session-manage —restart с другого терминала, то события журнала начнут появляться. Возможно, вы захотите повысить уровень журнала, делайте это командой —log-level 6. Допустимые уровни журнала: от 0 до 6, где 6 — самый подробный.

В этой статье мы рассмотрели как установить OpenVPN 3 на Linux и как им управлять. Если возникли вопросы или дополнения, пишите их в комментариях. Более подробно можно почитать про OpenVPN 3 на официальном сайте проекта.

Источник