Пояснительная записка к дипломному проекту


Настройка OpenVPN для модели “хост-сеть”



страница12/13
Дата04.11.2016
Размер5.4 Mb.
Просмотров3320
Скачиваний0
1   ...   5   6   7   8   9   10   11   12   13

4.2 Настройка OpenVPN для модели “хост-сеть”

4.2.1 Настройка Server_1 для работы с openvpn.


Выше был приведен пример создания сертификата для клиента. Для реализации схемы хост-сеть (рис. 1.12) необходимо создать новый сертификат и файл настроек на Server_1 для клиента с именем host, в роли которого выступает Client_2_1.

openvpn_сеть-хост.jpgРисунок 1.12 схема хост-сеть OpenVPN

Создание файла настроек для клиента host на Server_1:

#cd /usr/local/etc/openvpn/ccd

#touch host

Теперь открываем созданный файл, и добавляем в него строку:

ifconfig-push 10.10.10.6 10.10.10.5

Эта строчка говорит: настроить виртуальный адаптер tun0 на IP-адрес 10.10.10.6 и маску 255.255.255.252. Сохраняем изменения.

Теперь необходимо создать сертификат и ключ для клиента:

#./build-key host

Важно не забыть при заполнении полей (как на рис 1.4 ) в поле common name внести host. Host – как и в случае соединения сеть-сеть, является именем-идентификатором и не должно совпадать с другими именами.


4.2.2 Настройка openvpn в Ubuntu Linux


Примечание: Для полной правдоподобности эксперимента и исключения конфликтов в сетевой адресации, рекомендуется во время проверки работоспособности openvpn туннеля отключить в настройках виртуальной машины Client_2_1 сетевой адаптер, настроенный на внутреннюю сеть и включить второй сетевой адаптер, настроенный на соединение типа мост с корневой машиной.

Запускаем клиентскую машину, и открываем терминал, как показано на рисунке:



Рисунок 1.13 терминал на хосте Client_2_1

Далее, необходимо установить openvpn. Для этого необходимо выполнить следующую команду:

sudo apt-get update

sudo apt-get install openvpn

После этого необходимо перейти в каталог /etc/openvpn и создать в ней папку keys и конфигурационный файл с именем host.conf:

cd /etc/openvpn/

sudo mkdir keys

sudo touch host.conf

В папке keys будут храниться ключ и сертификат (host.key и host.crt) созданные на Server_1. Так же, в неё необходимо переместить с сервера Server_1 файлы ta.key, ca.crt и dh1024.pem.

Для обмена файлами между виртуальными машинами был настроен ftp-server на корневой машине (на которой запущен VirtualBox). Т.к. Server_1 и Server_2 связаны с сетевым адаптером корневой машины соединением типа “мост”, то они могут обмениваться файлами между собой, находясь в одной сети с корневой машиной.

После скачивания в папку keys файлов ca.crt, dh1024.pem, ta.key, host.key, host.crt с ftp-сервера корневой машины, необходимо отредактировать созданный конфигурационный файл /etc/openvpn/host.conf.

Приводим его к следующему виду:

dev tun0

proto tcp

remote 192.168.5.23

port 2000

client

ca /etc/openvpn/keys/ca.crt



cert /etc/openvpn/keys/host.crt

key /etc/openvpn/keys/host.key

dh /etc/openvpn/keys/dh1024.pem

tls-client

tls-auth /etc/openvpn/keys/ta.key 1

ns-cert-type server

cipher BF-CBC

comp-lzo


persist-key

persist-tun

log /var/log/openvpn.log

verb 3


После сохранения изменений в конфигурационном файле необходимо перезапустить openvpn сервис. В Ubuntu это делается так:

#sudo service openvpn restart

И, если все прошло удачно, то вы будете получать PING reply от сервера Server_1 с ip адресом 10.10.10.1 (openvpn тунель) и 192.168.100.1 (внутренняя сеть за Server_1 рис. 1.12).

Результат команды ifconfig tun0 хоста Client_2_1:



Рисунок 1.14 результат команды ifconfig на хосте Client_2_1

Результат команды ping 10.10.10.1 на хосте Client_2_1:



Рисунок 1.15 результат команды ping Server_1(по адресу внутри туннеля) на хосте Client_2_1

Результат команды ping 192.168.100.1 на хосте Client_2_1:



Рисунок 1.16 результат команды ping сервера Server_1(по адресу сети) на хосте Client_2_1

Результат команды ping 192.168.100.10 (при условии что запущен Client_1_1) на машине Client_2_1:



Рисунок 1.17 результат команды ping хоста Client_1_1 на хосте Client_2_1

По результатам команды ping видно, что openvpn туннель работает. Так же, можно запустить во время работы команды ping утилиту tcpdump либо на хосте Client_2_1, либо на сервере Server_1. Результатом её работы будет как на рисунке 1.18:



Рисунок 1.18 результат работы tcpdump на сервере Server_1

4.3 Настройка PPTP для модели хост-сеть


Будет реализована схема на рисунке 1.19

pptp_сеть-хост.jpgРисунок 1.19 соединение хост-сеть по протоколу PPTP

Примечание: Чтобы не загромождать комментариями конфигурационные файлы серверов и клиентов в данном методическом указании, рекомендуется обратиться к ресурсу:

http://wiki.lissyara.su/wiki/Перевод_документации_по_mpd5

На этом ресурсе находится подробный перевод документации по программному продукту MPD5 и точные разъяснения значений всех используемых опций

4.3.1 Установка MPD5 на сервере Server_1 и настройка для работы с PPTP


Первым делом, необходимо обновить порты до последней версии. Это делается командами:

portsnap fetch

portsnap extact

Далее устанавливаем MPD5.

cd /usr/ports/net/mpd5

make install clean

Теперь, необходимо создать два файла: файл конфигурации сервера (mpd.conf) и файл в котором будут храниться пары логин и пароль (mpd.secret).

/usr/local/etc/mpd5/> touch mpd.conf

/usr/local/etc/mpd5/> touch mpd.secret

После этого, открываем текстовым редактором nano конфигурационный файл mpd.conf и приводим его к следующему содержанию:

nano /usr/local/etc/mpd5/mpd.conf
startup:

# Задаем пароль для доступа в web-intarface

# т.е меняем password на свой пароль

set user admin password admin

# set user password cancer

# Настраиваем порт на доступ к консоли управления mpd

set console self 127.0.0.1 5005

set console open

# Настройка web-интерфейса

set web self 0.0.0.0 5006

set web open

#Описываем шаблон по умолчанию

default:

load pptp_server

#Описываем шаблон pptp_server

pptp_server:

# Определяем диапазон выдаваемых удалённым клиентам IP-адресов

# Пусть они будут с ...50 по ...99

set ippool add poolsat 192.168.7.50 192.168.7.99

create bundle template B

set iface enable proxy-arp

set iface idle 0

set iface enable tcpmssfix

set ipcp yes vjcomp

# IP адрес сервера, который мы будем показывать клиентам

set ipcp ranges 192.168.7.1/32 ippool poolsat

# Здесь указываем DNS сервер

set ipcp dns 8.8.8.8

# Включение Microsoft Point-to-Point шифрования (MPPE)

set bundle enable compression

set ccp yes mppc

set mppc yes compress e40 e56 e128 stateless

# Create clonable link template named L

create link template L pptp

# Set bundle template to use

set link action bundle B

# Multilink adds some overhead, but gives full 1500 MTU

set link enable multilink

set link yes acfcomp protocomp

set link no pap chap eap

set link enable chap

set link enable chap-msv1

set link enable chap-msv2

# We reducing link mtu to avoid GRE packet fragmentation.

set link mtu 1460

set link keep-alive 10 60

# Configure PPTP and open link

# Тут указывается IP сетевой карты или имя интерфейса (em0) смотрящего в интернет

set pptp self 192.168.5.23

# Allow to accept calls

set link enable incoming

Примечание: Важно, чтобы файл настроек был без пробелов(!). MPD не любит пробелы. Рекомендуется вместо пробелов использовать TAB.

Записываем в файл mpd.secret логины и пароли для доступа к MPD-серверу:

nano /usr/local/etc/mpd5/mpd.secret
User1 123321 192.168.7.90

Теперь, необходимо добавить строки в syslog.conf для того чтобы можно было смотреть логи MPD-сервера:

nano /etc/syslog.conf
!mpd

*.* /var/log/mpd.log

Перезапускаем syslogd:

/etc/syslogd restart

И добавляем mpd в автозапуск

echo 'mpd_enable="YES"' >> /etc/rc.conf

Теперь можно запустить mpd5:

/usr/local/etc/rc.d/mpd5 start

Если будет выводиться сообщение об ошибке, то необходимо открыть логи и искать неисправность. На этом настройка MPD5 в качестве pptp-сервера закончена.

4.3.2 Настройка PPTP клиента в Ubuntu linux


Для создания PPTP соединения в Ubuntu linux не нужно устанавливать никаких дополнительных программных пакетов. В Ubuntu уже включен по умолчанию пакет NetworkManager. Он позволяет управлять сетью в графической среде GNOME в Ubuntu linux. У NetworkManager’a есть плагин network-manager-pptp, который так же по умолчанию включен в ОС Ubuntu linux и позволяет создавать pptp-соединения с сервером без особого труда.

Для создания pptp-соединения необходимо щелкнуть правой кнопкой мыши по значку с сетью (верхний правый угол экрана), выбрать пункт “Соединения VPN” -> “Настроить VPN…” как показано на рисунке 1.20. Далее, необхдим оперейти во вкладку VPN, нажать кнопку “добавить”. Выбрать “Microsoft point-to-point protocol” и заполнить форму, как показано на рисунке 1.20.

В поле “Шлюз” заносим внешний адрес сервера Server_1 (в нашем случае это ip 192.168.5.23).

В поля “Имя пользователя” и “Пароль” вводим данные, которые сохраняли в файле mpd.secrets (см. п. 4.3.1) и нажимаем кнопку “Сохранить”.



Рисунок 1.20 Настройка PPTP-соединения в Ubuntu linux

На этом настройка PPTP-соединения закончена. Можно щелкнуть правой кнопкой мыши по созданному подключению, и должна появиться надпись как показано на рисунке 1.21:



Рисунок 1.21 сообщение авторизации

Теперь можно открыть терминал и протестировать работоспособность PPTP-туннеля. Для начала, посмотрим появилось ли у нас соединение ppp0:

ifconfig ppp0

Результат показан на рисунке 1.22:



Рисунок 1.22 результат команды ifconfig на хосте Client_2_2

На рисунке 1.22 видно, что появилось новое соединение ppp0, адрес, выданный клиенту – 192.168.7.90, адрес шлюза – 192.168.7.1.

Будем с хоста Client_2_2 делать ping хоста Client_1_1 за сервером Server_1. Пусть в это время на сервере Server_1 работает tcpdump интерфейса ng0, созданного сервером mpd. Результат этих действий на рисунке 1.23:

Рисунок 1.23 результат работы ping и tcpdump

На рисунке 1.22 видно, что обмен пакетами в туннеле происходит корректно. PPTP-туннель работает.



Каталог: data -> 2013
2013 -> Федеральное государственное автономное образовательное
2013 -> «Визуальный образ персонажей массового кинематогрфа в историческом контексте»
2013 -> 2 раздел анализ предметной области 5
2013 -> Магистерская диссертация
2013 -> Влияние вовлеченности на готовность платить за коллекционные товары
2013 -> Выражение гендерных характеристик в англоязычном "глянцевом" дискурсе
2013 -> Продакт Плейсмент и перспективы его развития в сети Интернет
2013 -> 1Лекции первого полугодия
2013 -> «Правовое рассмотрение компьютерного мошенничества», Ницца, 22 октября 1992 года, грамота «весьма достойно»


Поделитесь с Вашими друзьями:
1   ...   5   6   7   8   9   10   11   12   13


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал