OpenVPN、この言葉でいくらですか。 マルチプラットフォーム、高度に設定可能な、無料のオープンソースVPNサーバー。これは、実際には内部企業ネットワークへのアクセスを整理するための事実上の標準です。 ほとんどの管理者は、デフォルト設定またはさまざまなHOW-TOで広く説明されている一般的な構成で使用します。 しかし、OpenVPNは一見すると単純なように単純ですか？ この記事では、目に見えないOpenVPNの内部メカニズムを検討します。これは、その機能の考え方を根本的に変えるものです。

OpenVPNサーバーは、さまざまなオペレーティングシステム用のソースコードまたはすぐにインストールできるコンパイル済みパッケージとして配布されます。 OpenSSLは、暗号化を提供するライブラリとして使用されます。

クライアントをサーバーに接続するため、およびサーバー間で接続するためのほとんどの構成では、内部トラフィックのセキュリティを確保するために、多数の秘密キーまたは秘密/公開キーを使用します。 MultiPoint-to-SinglePointモードの企業ネットワークでは、通常、PKI証明機関が使用されます。これは、 easy-rsaまたはXCAベースのいずれかを使用して簡単に構築できます。 ポイントツーポイントのサーバー間通信では、主に共有キー構成が使用されます。 基本的な、よく知られたメカニズムと機能を思い出してください。

主要なメカニズムと機能

• 証明書認証

  
  
  

  それについて膨大な量のドキュメントが書かれています。 ポイントは簡単です。 ユーザー証明書を発行する認証局が作成されています。 証明機関の助けを借りて、ユーザーをOpenVPNサーバーに接続するための制御が提供されます。 証明書の有効期限が切れるか失効すると、ユーザーアクセスがブロックされます。 証明書と共に発行されたパスワードが設定された秘密キーは、内部リソースへの不正な接続に対するセキュリティを提供します。

  
  
  
  
  
  
  

• プライベートポイントツーポイントキー

  
  
  

  1人のユーザー/サーバーのみを会社のリソースに接続するという点では、秘密鍵を使用したスキームが使用されます。 ホストの1つでキーが生成され、サーバーとクライアント間で共有されます。

  
  
  
  
  
  
  

クライアントとサーバー間の「ハンドシェイク」ハンドシェイクのセキュリティのための接続のすべてのケースで、Diffie-Hellmannプロトコルが使用されます。

• 外部ユーザー認証

  
  
  

  独自のPKIを使用するスキームの代わりに、ユーザー接続の制御を簡素化するために、login / passwordによる外部ユーザー認証を使用するスキームを使用できます 。 このスキームは、ドメインログイン/パスワードなどでユーザーを認証するのに便利です。 サーバーに接続するために、サーバー証明書とHARDENING OPENVPN SECURITYパケット署名キーがクライアント構成ファイルに追加されます。
  
  クライアント構成の例

  
  
  
  
  
  
  

  dev tun proto udp #  IP  OpenVPN remote 172.16.111.166 # Port  port 1200 client resolv-retry infinite tls-client key-direction 1 auth SHA1 cipher BF-CBC #comp-lzo persist-key persist-tun # auth-user-pass c:/temp/pass.txt # # just create a file with name pass.txt # and put to it two lines # ------------- #username #password # ------------- #auth-user-pass verb 3 <ca> -----BEGIN CERTIFICATE----- MIIE5jCCA86gAwIBAgIJAOt3kFH7PxA0MA0GCSqGSIb3DQEBCwUAMIGjMQswCQYD .... -----END CERTIFICATE----- </ca> <tls-auth> -----BEGIN OpenVPN Static key V1----- 83ddd29fa82212f3059d85a41490134c .... a4f2c7df3a22364a49093bca102dedeb -----END OpenVPN Static key V1----- </tls-auth>
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       

  
  
  

  ファイルを介したクライアント認証用のサーバー構成の一部
  
  別の認証方法を使用する

  
  
  
  
  
  
  

   verify-client-cert none #client-cert-not-required username-as-common-name tls-server tls-auth /usr/local/etc/openvpn/ssl/tlsauth.key key-direction 0 tls-timeout 120 auth SHA1 cipher BF-CBC auth-user-pass-verify /usr/local/etc/openvpn/auth/auth-static-file.pl via-file
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       

  
  
  

  このスキームは便利ですが、非常に安全ではありません。

  
  
  
  
  
  
  

• PAM

  
  
  

  セキュリティを強化するために、外部システムでログイン/パスワード検証を提供するプラグインを使用できます。 最も一般的な方法は、システムPAM（プラグ可能認証モジュール）です。
  
  OpenVPN構成ファイルに行を追加します

  
  
  
  
  
  
  

   plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       

  
  
  

• ルーティング

  
  
  

  なぜなら サーバーの主なタスクは、リモートユーザー/サーバーが内部リソースにアクセスできるようにすることです。サーバーを使用すると、クライアントからサーバーへ、およびサーバーからクライアントへの静的ルーティングを決定できます。 内部リソースへのクライアントアクセスの観点から、DHCPとディレクティブ「ルート」または「プッシュルート」を使用するサーバーでは、内部ネットワークルートをクライアントに転送できます。 クライアント側のリモートネットワークについてサーバー自体に通知するには、「client config dir」（ccd）を使用します。これは、「iroute」ディレクティブを使用して、サーバーのルーティングテーブルに存在する必要があるクライアント内部ネットワークのリストを記述できるメカニズムです。

  
  
  
  
  
  
  

この「通常の」広く使用されている機能が終了すると、特定のケースごとにローカルカスタマイズが開始されます。

追加のOpenVPN機能

誰かが聞いたことがあるかもしれないが、実際には見たり使ったりしていないOpenVPNの追加機能を検討してください。

• ネットワークセキュリティ/パケットフィルタリング

  
  
  

  なぜなら OpenVPNはトラフィックをルーティングします。相互に排他的な2つの動作モードがあります。 最初のモードはOpenVPNサーバー内のルーティングであり、2番目のモードはインターフェイス間核ルーティングです。 最初のケースでは、OpenVPNがクライアント/ネットワーク間のパケットのスイッチングとフィルタリングを担当し、2番目のケースでは、ホストでサポートされるシステムパケットフィルター（pf、iptablesなど）を担当します。
  
  OpenVPNには、ユーザーとネットワーク間の接続を許可または分離できるパケットフィルターが組み込まれていることを知っている人はほとんどいません。
  
  はい、はい。 あなたはそれを正しく読みます。 OpenVPNには、独自の組み込みパケットフィルターがあります。 トラフィックをフィルタリングする機能は、2010年に実装されました 。
  
  OpenVPNパケットフィルターは 、管理インターフェイスまたはOpenVPNに接続されたプラグインのいずれかを介して制御されます。
  
  トラフィックルールはファイルを介して管理されます。 ファイル形式はシンプルです。

  
  
  
  
  
  
  

   [CLIENTS DROP|ACCEPT] {+|-}common_name1 {+|-}common_name2 . . . [SUBNETS DROP|ACCEPT] {+|-}subnet1 {+|-}subnet2 . . . [END]
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       

  
  
  

  ブロックディレクティブ（ACCEPT / DENY）は、ブロック内で指定されていないすべてのクライアントにデフォルトアクションを設定します。
  
  たとえば、クライアントuser2のファイル

  
  
  
  
  
  
  

   [CLIENTS DROP] +user1 [SUBNETS DROP] [END]
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       

  
  
  

  すべてのユーザーとネットワークへのトラフィックをブロックしますが、client1側へのトラフィックは許可します。 user1がトラフィックをuser2に転送する許可を明示的に記述していない場合、トラフィックは一方向のuser2-> user1にのみ移動します。

  
  
  
  
  
  
  

または別の例。

ローカルネットワーク上にあるユーザーとDNSサーバーおよびネットワーク192.168.0.0/24のテスト回線間のアクセスを除くすべてを無効にします

 [CLIENTS DROP] +user1 +user2 [SUBNETS DROP] +10.150.0.1 +10.150.1.1 +192.168.0.0/24 [END]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

フィルタリングメカニズムは、構成ファイルを介して、またはフラグ「OPENVPN_PLUGIN_ENABLE_PF」を「設定」するプラグインを接続するときにアクティブになります。

この機会については後で説明します。

トラフィックフィルタリングの2番目のモードは、システムに組み込まれたパケットフィルターです。 有効にするには、構成に「クライアントからクライアント」ディレクティブを含めないでください。 クライアントの接続/切断時に必要なルールのオン/オフを自動化するという観点からは、ルールのリストで個別の挿入を使用するのが最も便利です。これは、Iptables（Linux）のCHAINSまたはPFのアンカー（FreeBSD）のいずれかで実装されます。 ルールのアクティブ化/非アクティブ化は、通常、サーバー構成ファイル内のclient-connect / client-disconnectディレクティブを介して行われ、ユーザーが接続/切断するときに対応するスクリプトを呼び出します。

• 高度なPAM認証

  
  
  

  拡張PAM認証とは、ユーザーログインとパスワード検証のロジックを変更することです。 これは、外部ソースのデータの読み取りと検証を提供するOpenVPNの適切なプラグインをインストールするか、スクリプトをスクリプトに許可するシステムにライブラリを接続することによって実現されます。 そのようなライブラリの1つがpam_pythonです 。これは、Pythonスクリプトを介してログイン/パスワード検証ロジックをスクリプト化するのに役立ちます。
  
  使用する場合、ユーザー確認文字列は次のように変更されます。

  
  
  
  
  
  
  

   plugin openvpn-plugin-auth-pam.so pam_python login USERNAME password PASSWORD domain mydomain.com
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       

  
  
  

  「内部」PAMは、システムとユーザーまたは外部ライブラリとのダイアログであるため、これらのダイアログを制御できます。 たとえば、 OTPトークンをシステムに接続します 。 LinOTPライブラリは単に例として取り上げられています。 どこかでテスト中に自分で書いたライブラリを失った¯\ （ツ） /¯
  
  また、例は「pam_python」という単語で簡単にグーグル検索されます。
  
  外部PAMモジュールを使用する場合の主な問題は、呼び出されたPythonまたはシステムpamを介して呼び出された他のスクリプト内でOpenVPNセッション環境を取得できないことです。 つまり スクリプトは、割り当てられているログイン/パスワードをチェックするための機能のみを提供します。

  
  
  
  
  
  
  

• 遅延認証

  
  
  

  OpenVPNサーバーは、いわゆる「遅延」認証をサポートしています。 「遅延」認証は、認証サービスがログイン/パスワード確認要求をリアルタイムで処理できない場合に使用されます。

  
  
  
  
  
  
  

• OpenVPNプラグイン

  
  
  

  これは別のパラレルユニバースであり、それらについては認識している場合がありますが、混乱が生じているため、使用することも恐れることもありません。 実際、OpenVPNの機能プラグインを作成するには、Cでプログラミングする必要があります。 シンプルなプラグインの例はOpenVPNソースツリーに含まれています。たとえば、 OpenVPNからのメソッド呼び出しを示すプラグインがあります 。

  
  
  
  
  
  
  

OpenVPNからプラグインがどのように機能するかを理解してみましょう。

プラグインを操作するために使用される関数とパラメーターは別のファイルに記述されています

プラグインの主なタスクは、OpenVPNサーバーによって初期化されるとき、プラグインによってサポートされる機能のリストを転送し、機能のいずれかを呼び出すときに、サーバーが理解する正しい応答コードを返すことです。

 #define OPENVPN_PLUGIN_FUNC_SUCCESS 0 #define OPENVPN_PLUGIN_FUNC_ERROR 1 #define OPENVPN_PLUGIN_FUNC_DEFERRED 2
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

各グループについて詳しく説明します。 ユーザーのパスワード認証に基づいて作業のロジックを検討します。

サーバーが起動すると、構成ファイルを読み取った後、サーバーはOPENVPN_PLUGIN_UPおよびOPENVPN_PLUGIN_ROUTE_UP関数を呼び出します。 呼び出された関数の可変環境では、実行中のサーバーの主要なパラメーターが転送されます。

 OPENVPN_PLUGIN_UP { "route_netmask_1":"255.255.0.0", "daemon_start_time":"1545994898", "ifconfig_remote":"10.150.0.2", "local_1":"172.16.100.139", "script_context":"init", "config":"/usr/local/etc/openvpn/server150.conf", "link_mtu":"1622", "ifconfig_local":"10.150.0.1", "tun_mtu":"1500", "verb":"2", "daemon_pid":"626", "route_vpn_gateway":"10.150.0.2", "proto_1":"udp", "daemon_log_redirect":"1", "daemon":"1", "route_net_gateway":"172.16.100.1", "dev_type":"tun", "route_gateway_1":"10.150.0.2", "remote_port_1":"1200", "dev":"tun150", "pluginid":"0", "local_port_1":"1200", "route_network_1":"10.150.0.0" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

 OPENVPN_PLUGIN_ROUTE_UP { "route_netmask_1":"255.255.0.0", "daemon_start_time":"1545994898", "redirect_gateway":"0", "ifconfig_remote":"10.150.0.2", "local_1":"172.16.100.139", "script_context":"init", "config":"/usr/local/etc/openvpn/server150.conf", "link_mtu":"1622", "ifconfig_local":"10.150.0.1", "tun_mtu":"1500", "verb":"2", "daemon_pid":"626", "route_vpn_gateway":"10.150.0.2", "proto_1":"udp", "daemon_log_redirect":"1", "daemon":"1", "route_net_gateway":"172.16.100.1", "dev_type":"tun", "route_gateway_1":"10.150.0.2", "remote_port_1":"1200", "dev":"tun150", "pluginid":"2", "local_port_1":"1200", "route_network_1":"10.150.0.0" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらの機能は、サーバー起動時または構成変更時のアラートに使用できます。

クライアントを接続するとき、OpenVPNは内部パケットフィルターをアクティブにする機能を要求します。

 OPENVPN_PLUGIN_ENABLE_PF { "route_netmask_1":"255.255.0.0", "daemon_start_time":"1545994898", "redirect_gateway":"0", "ifconfig_remote":"10.150.0.2", "local_1":"172.16.100.139", "script_context":"init", "config":"/usr/local/etc/openvpn/server150.conf", "link_mtu":"1622", "pf_file":"/tmp/openvpn_pf_b7a18ca8fac838679ca87ada6b8a356.tmp", "ifconfig_local":"10.150.0.1", "tun_mtu":"1500", "verb":"2", "daemon_pid":"626", "route_vpn_gateway":"10.150.0.2", "proto_1":"udp", "route_net_gateway":"172.16.100.1", "daemon":"1", "daemon_log_redirect":"1", "dev_type":"tun", "route_gateway_1":"10.150.0.2", "remote_port_1":"1200", "dev":"tun150", "pluginid":"11", "local_port_1":"1200", "route_network_1":"10.150.0.0" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ダンプからわかるように、pf_file変数が現れました。 このファイルには、処理中の現在のセッションの内部パケットフィルターのルールが含まれている必要があります。

次に、OPENVPN_PLUGIN_AUTH_USER_PASS_VERIFY関数でユーザーのユーザー名とパスワードがチェックされます

 OPENVPN_PLUGIN_AUTH_USER_PASS_VERIFY { "route_netmask_1":"255.255.0.0", "route_gateway_1":"10.150.0.2", "IV_NCP":"2", "IV_COMP_STUB":"1", "daemon_start_time":"1545994898", "IV_LZ4":"1", "redirect_gateway":"0", "ifconfig_remote":"10.150.0.2", "untrusted_port":"1200", "IV_LZ4v2":"1", "local_1":"172.16.100.139", "script_context":"init", "untrusted_ip":"172.16.111.168", "config":"/usr/local/etc/openvpn/server150.conf", "username":"fa56bf61-90da-11e8-bf33-005056a12a82-1234568", "link_mtu":"1622", "pf_file":"/tmp/openvpn_pf_b7a18ca8fac838679ca87ada6b8a356.tmp", "ifconfig_local":"10.150.0.1", "tun_mtu":"1500", "auth_control_file":"/tmp/openvpn_acf_a3d0650a43b88ca1b5f305ce2c8f682.tmp", "daemon":"1", "IV_COMP_STUBv2":"1", "verb":"2", "IV_PLAT":"win", "daemon_pid":"626", "password":"12312312312312", "route_vpn_gateway":"10.150.0.2", "proto_1":"udp", "route_net_gateway":"172.16.100.1", "IV_PROTO":"2", "daemon_log_redirect":"1", "dev_type":"tun", "IV_VER":"2.4.3", "IV_LZO":"1", "remote_port_1":"1200", "dev":"tun150", "pluginid":"5", "local_port_1":"1200", "IV_TCPNL":"1", "route_network_1":"10.150.0.0" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、可変環境のパスワードが平文で存在する唯一の場所です。

この関数の結果は、3つの可能な答えになるはずです。

 #define OPENVPN_PLUGIN_FUNC_SUCCESS 0 #define OPENVPN_PLUGIN_FUNC_ERROR 1 #define OPENVPN_PLUGIN_FUNC_DEFERRED 2
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サーバーが応答OPENVPN_PLUGIN_FUNC_DEFERREDを受信すると、「遅延」認証のメカニズムが動作します。 ご覧のように、変数「auth_control_file」が変数環境に現れました。この変数の内容には、認証システムからの応答が期待されるファイルの名前が含まれています。 答えは、指定されたファイルに置かれた文字0（アクセスを許可する）、1（アクセスを拒否する）です。 サーバーパラメータ「hand-window」は、サーバーが応答を待機するタイムアウトを秒単位で決定します。 待機中、他のクライアントからのトラフィックは中断されません。

パスワード認証を使用しているため、証明書検証関数OPENVPN_PLUGIN_TLS_VERIFYは呼び出されません。 代わりに、OPENVPN_PLUGIN_TLS_FINALがすぐに呼び出され、セッションの確立が確認されます。

 OPENVPN_PLUGIN_TLS_FINAL { "route_netmask_1":"255.255.0.0", "route_gateway_1":"10.150.0.2", "IV_NCP":"2", "IV_COMP_STUB":"1", "daemon_start_time":"1545994898", "IV_LZ4":"1", "redirect_gateway":"0", "ifconfig_remote":"10.150.0.2", "untrusted_port":"1200", "IV_LZ4v2":"1", "local_1":"172.16.100.139", "script_context":"init", "untrusted_ip":"172.16.111.168", "config":"/usr/local/etc/openvpn/server150.conf", "username":"fa56bf61-90da-11e8-bf33-005056a12a82-1234568", "link_mtu":"1622", "pf_file":"/tmp/openvpn_pf_b7a18ca8fac838679ca87ada6b8a356.tmp", "ifconfig_local":"10.150.0.1", "tun_mtu":"1500", "auth_control_file":"/tmp/openvpn_acf_a3d0650a43b88ca1b5f305ce2c8f682.tmp", "daemon":"1", "IV_COMP_STUBv2":"1", "verb":"2", "IV_PLAT":"win", "daemon_pid":"626", "route_vpn_gateway":"10.150.0.2", "proto_1":"udp", "route_net_gateway":"172.16.100.1", "IV_PROTO":"2", "daemon_log_redirect":"1", "dev_type":"tun", "IV_VER":"2.4.3", "IV_LZO":"1", "remote_port_1":"1200", "dev":"tun150", "pluginid":"10", "local_port_1":"1200", "IV_TCPNL":"1", "route_network_1":"10.150.0.0" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、OPENVPN_PLUGIN_IPCHANGE呼び出しが呼び出されます。これは、クライアントのIPアドレスを変更する前に呼び出されます。

 OPENVPN_PLUGIN_IPCHANGE { "route_netmask_1":"255.255.0.0", "route_gateway_1":"10.150.0.2", "trusted_ip":"172.16.111.168", "link_mtu":"1622", "IV_COMP_STUB":"1", "daemon_start_time":"1547319280", "IV_LZ4":"1", "redirect_gateway":"0", "common_name":"fa56bf61-90da-11e8-bf33-005056a12a82-1234568", "ifconfig_remote":"10.150.0.2", "IV_NCP":"2", "untrusted_port":"1200", "IV_LZ4v2":"1", "local_1":"172.16.100.139", "script_context":"init", "untrusted_ip":"172.16.111.168", "config":"/usr/local/etc/openvpn/server150.conf", "username":"fa56bf61-90da-11e8-bf33-005056a12a82-1234568", "trusted_port":"1200", "pf_file":"/tmp/openvpn_pf_4fcad505693b33f97c4fe105df8681cb.tmp", "ifconfig_local":"10.150.0.1", "tun_mtu":"1500", "auth_control_file":"/tmp/openvpn_acf_321bb12075dc0e1b5440d227220bac5d.tmp", "daemon":"1", "IV_COMP_STUBv2":"1", "verb":"3", "IV_PLAT":"win", "daemon_pid":"52435", "route_vpn_gateway":"10.150.0.2", "proto_1":"udp", "route_net_gateway":"172.16.100.1", "IV_PROTO":"2", "daemon_log_redirect":"1", "dev_type":"tun", "IV_VER":"2.4.3", "IV_LZO":"1", "remote_port_1":"1200", "dev":"tun150", "pluginid":"3", "local_port_1":"1200", "IV_TCPNL":"1", "route_network_1":"10.150.0.0" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

OPENVPN_PLUGIN_CLIENT_CONNECT_V2関数は、内部DHCPサーバーによってIPアドレスが設定されると呼び出されます。

 OPENVPN_PLUGIN_CLIENT_CONNECT_V2 { "route_netmask_1":"255.255.0.0", "route_gateway_1":"10.150.0.2", "trusted_ip":"172.16.111.168", "link_mtu":"1622", "IV_COMP_STUB":"1", "daemon_start_time":"1547319280", "IV_LZ4":"1", "dev":"tun150", "common_name":"fa56bf61-90da-11e8-bf33-005056a12a82-1234568", "time_ascii":"Sat Jan 12 18:54:48 2019", "ifconfig_remote":"10.150.0.2", "IV_NCP":"2", "untrusted_port":"1200", "IV_LZ4v2":"1", "local_1":"172.16.100.139", "script_context":"init", "untrusted_ip":"172.16.111.168", "config":"/usr/local/etc/openvpn/server150.conf", "username":"fa56bf61-90da-11e8-bf33-005056a12a82-1234568", "trusted_port":"1200", "pf_file":"/tmp/openvpn_pf_4fcad505693b33f97c4fe105df8681cb.tmp", "ifconfig_local":"10.150.0.1", "tun_mtu":"1500", "auth_control_file":"/tmp/openvpn_acf_321bb12075dc0e1b5440d227220bac5d.tmp", "daemon":"1", "IV_COMP_STUBv2":"1", "verb":"3", "IV_PLAT":"win", "daemon_pid":"52435", "time_unix":"1547319288", "redirect_gateway":"0", "route_vpn_gateway":"10.150.0.2", "proto_1":"udp", "route_net_gateway":"172.16.100.1", "IV_PROTO":"2", "daemon_log_redirect":"1", "dev_type":"tun", "IV_VER":"2.4.3", "IV_LZO":"1", "remote_port_1":"1200", "ifconfig_pool_local_ip":"10.150.0.5", "pluginid":"9", "ifconfig_pool_remote_ip":"10.150.0.6", "local_port_1":"1200", "IV_TCPNL":"1", "route_network_1":"10.150.0.0" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

変数環境では、トンネルパラメータ「ifconfig_pool_local_ip」および「ifconfig_pool_remote_ip」を含む変数が表示されます。

OpenVPNサーバーがIPアドレスの接続とそれらへのルートを学習すると、OPENVPN_PLUGIN_LEARN_ADDRESS関数が呼び出されます。 この機能を終了すると、ファイルからパケットフィルター設定を適用する手順がアクティブになります。 この場合の環境変数OPENVPN_PLUGIN_LEARN_ADDRESSは、フェーズOPENVPN_PLUGIN_CLIENT_CONNECT_V2に対応しています。

 fa56bf61-.../172.16.111.168:1200 ----- pf_check_reload : struct pf_context ----- fa56bf61-.../172.16.111.168:1200 enabled=1 fa56bf61-.../172.16.111.168:1200 filename='/tmp/openvpn_pf_343330698e4acdea34c8a8c7fb87d861.tmp' fa56bf61-.../172.16.111.168:1200 file_last_mod=1547319124 fa56bf61-.../172.16.111.168:1200 n_check_reload=1 fa56bf61-.../172.16.111.168:1200 reload=[1,15,1547319125] fa56bf61-.../172.16.111.168:1200 ----- struct pf_set ----- fa56bf61-.../172.16.111.168:1200 kill=0 fa56bf61-.../172.16.111.168:1200 ----- struct pf_subnet_set ----- fa56bf61-.../172.16.111.168:1200 default_allow=ACCEPT fa56bf61-.../172.16.111.168:1200 ----- struct pf_cn_set ----- fa56bf61-.../172.16.111.168:1200 default_allow=DROP fa56bf61-.../172.16.111.168:1200 12345678-90da-11e8-bf33-005056a12a82-1234567 ACCEPT fa56bf61-.../172.16.111.168:1200 fa56bf61-90da-11e8-bf33-005056a12a82-1234567 ACCEPT fa56bf61-.../172.16.111.168:1200 ---------- fa56bf61-.../172.16.111.168:1200 fa56bf61-90da-11e8-bf33-005056a12a82-1234567 ACCEPT fa56bf61-.../172.16.111.168:1200 12345678-90da-11e8-bf33-005056a12a82-1234567 ACCEPT fa56bf61-.../172.16.111.168:1200 --------------------
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

クライアントが切断されると、OPENVPN_PLUGIN_CLIENT_DISCONNECT関数が呼び出されます。

 OPENVPN_PLUGIN_CLIENT_DISCONNECT { "route_netmask_1":"255.255.0.0", "route_gateway_1":"10.150.0.2", "trusted_ip":"172.16.111.168", "link_mtu":"1622", "IV_COMP_STUB":"1", "daemon_start_time":"1547319280", "IV_LZ4":"1", "dev":"tun150", "common_name":"fa56bf61-90da-11e8-bf33-005056a12a82-1234568", "time_ascii":"Sat Jan 12 18:54:48 2019", "bytes_received":"30893", "IV_NCP":"2", "untrusted_port":"1200", "ifconfig_remote":"10.150.0.2", "IV_LZ4v2":"1", "local_1":"172.16.100.139", "script_context":"init", "untrusted_ip":"172.16.111.168", "config":"/usr/local/etc/openvpn/server150.conf", "username":"fa56bf61-90da-11e8-bf33-005056a12a82-1234568", "trusted_port":"1200", "pf_file":"/tmp/openvpn_pf_4fcad505693b33f97c4fe105df8681cb.tmp", "ifconfig_local":"10.150.0.1", "tun_mtu":"1500", "auth_control_file":"/tmp/openvpn_acf_4bdddbada2885cde42cd3cb1b85d77e5.tmp", "daemon":"1", "IV_COMP_STUBv2":"1", "verb":"3", "IV_PLAT":"win", "daemon_pid":"52435", "time_unix":"1547319288", "redirect_gateway":"0", "route_vpn_gateway":"10.150.0.2", "proto_1":"udp", "route_net_gateway":"172.16.100.1", "IV_PROTO":"2", "daemon_log_redirect":"1", "time_duration":"3781", "dev_type":"tun", "IV_VER":"2.4.3", "IV_LZO":"1", "bytes_sent":"22684", "remote_port_1":"1200", "ifconfig_pool_local_ip":"10.150.0.5", "pluginid":"7", "ifconfig_pool_remote_ip":"10.150.0.6", "local_port_1":"1200", "IV_TCPNL":"1", "route_network_1":"10.150.0.0" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

可変環境では、接続時間とユーザートラフィックが追加されます。

ご覧のように、さまざまな呼び出しのデータが豊富であるため、Cプログラミング言語（C ++）でプラグインを作成およびデバッグするのはかなり時間がかかります。

機能を拡張するために、最初に内部プロジェクトの「奇跡」を作成し、それをパブリックドメインに入れることにしました:)

OpenVPNのソースコードと高度に特殊化されたプラグインのさまざまな例を長い間読んだ後、セッション処理ロジックのプログラミング言語としてPythonを使用するプロジェクトが作成されました。 コードはOpenVPNにプラグインするC言語のプラグインであり、Pythonのc-apiリファレンスを介してモジュールへのプラグインへのすべてのリクエストを送信します。

OpenVPNプラグインPythonプロキシ

Pythonモジュールはなぜですか？

pythonファイルを直接操作するPython c-apiリファレンスは、pythonライブラリのロードでは正しく機能しません。

どのように機能しますか？

プラグインがOpenVPNで初期化されると、プラグインは提供可能なすべての機能のマスクされたリストを返します。 次の接続フェーズまたは内部イベントが発生すると、OpenVPNはプラグインから対応する関数を呼び出します。 プラグインは、関数に渡された環境変数とパラメーターを構造に変換し、pythonを初期化し、構造を対応するpythonモジュールプロシージャに渡します。 プロシージャは、プラグインに3つの回答の1つを返します（0-成功、1-エラー、2-遅延）。 応答はOpenVPNによって変換されて返されます。

すべてのモジュール呼び出しは「ステートレス」であることに注意してください。これは、プロシージャが他の呼び出しで以前に何が起こったかを覚えておらず、知らないことを意味します。 OpenVPNからプラグインに渡される変数環境にのみ集中できます。

pythonモジュール内では、必要なライブラリとリソースを接続することにより、任意のロジックを実装できます。 チェックの速度がわからない場合は、「保留」確認を使用します。

サービスに接続しているユーザーのグループ化を使用すると、pf_fileを介して、ユーザーと他のリソース間のネットワーク相互作用を非常に微調整できます。 次に、監視のためにプラグインを接続することにより、OpenVPN管理インターフェースを介してクライアントセッションを常に管理することが可能になります。

プロジェクトのテスト中に、jwtトークンと似ていますが、サイズが小さいパスワード生成メカニズムが開発されました。

ポイントは簡単です。 トークンには、クライアント識別子とアクセスの有効期限が含まれています。 トークンに署名するには、秘密鍵でHMAC_SHA1が使用されます。 トークンに署名すると、テキストコンテンツは署名によって破損し、base64に変換されます。 したがって、トークンの「シール」が取得されます。 封印されたトークンがユーザーのパスワードとして使用されます。 データブロックの不正な変更が発生した場合、xorが破損し、xorが破損した場合、署名検証は破損します。 秘密鍵がないと、署名を変更できません。

パスワードの時間を手動で制御したくない場合は、そのようなトークンを生成し、外部サービスを呼び出さずにプラグイン内で有効性を確認します。 このスキームは、特定の時間のセッションパスワード生成に非常に便利です。 同時に、トークンの内容を外部制御システムに転送でき、トークンの有効期限が切れるとユーザーを切断するように構成されます。

この記事の情報がお役に立てば幸いです。

読んでくれてありがとう。

ご質問がある場合は、できることにお答えします。

©Aborche 2019