🤴🏻 🥋 🕵️ ローカルネットワークへのVPNブリッジ 📻 🤛🏿 🕘

トピックhabrahabr.ru/blogs/linux/67209を読んで、ここに私の記事を投稿することにしました。これは以前は非公開の企業Wikiでのみ表示されていました。

通常、VPNの作成時には、特定のサブネットがトンネルに割り当てられているポイントツーポイント接続がサーバーに使用されるか、イーサネットトンネルがサーバーにインストールされます。 VPNサーバーは同時に、トラフィックをルーティングおよびフィルタリングする機能を実行して、VPNを介してローカルネットワークにアクセスします。

この記事では、リモートシステムが既存のローカルサブネットに含まれ、VPNサーバーがイーサネットゲートウェイとして機能する、仮想ネットワークを作成する別のアプローチを検討します。このアプローチを使用すると、接続方法に基づいてトラフィックをフィルタリングする機能がまだあります（たとえば、ローカルネットワークとリモートユーザーに異なるフィルターを使用します）。追加設定なしでブロードキャストメッセージを使用します。このVPNを介して、ローカルWindowsネットワーク上のすべてのコンピューター、XDMCPブロードキャストを使用可能なすべてのXDMCPサーバーなどを表示します。

ネットワーク構造とサーバーのセットアップ

ローカルネットワークのあるオフィスがあるとします。IPサブネット192.168.168.0/24が使用されます。このローカルネットワークには、ホームユーザーが含まれます。つまり、同じサブネットのアドレスを持ちます。自宅にこのサブネットがないこと、およびローカルネットワーク上のシステムにリモートユーザーに割り当てる範囲内のアドレスがないことを確認する必要があります。

コアブリッジのサポート

この手法が機能するには、いくつかのカーネルドライバーが必要です。これは、ユニバーサルtun仮想ネットワークドライバーであり、イーサネットブリッジドライバーです。それらをカーネルに含めるか、モジュールでアセンブルできます。

     ->ネットワーキング
       ->ネットワーキングサポート（NET [= y]）
         ->ネットワークオプション
           <*> 802.1d Ethenetブリッジング（BRIDGE [= y]）
     ->デバイスドライバー
       ->ネットワークデバイスのサポート（NETDEVICES [= y]）
         <*>ユニバーサルTUN / TAPデバイスドライバーのサポート（TUN [= y]）

モジュールによって組み立てられている場合、カーネルでモジュールの自動ロードを有効にするか、VPN接続をセットアップする前に自分でロードする必要があります。

ソフトウェア

サーバーは、ブリッジにサービスを提供するためにOpenVPNとユーティリティを必要とします。 Gentooでは、次のように組み立てられます。

   emerge net-misc / bridge-utils net-misc / openvpn

> = sys-apps / baselayout-1.12.6を使用する場合はこれで十分です。古いバージョンでは、tunデバイスをタップまたはタップするために特別なユーティリティが必要です。

   emerge sys-apps / usermode-utilities

ネットワーク設定

eth2がローカルネットワークが接続されているインターフェイスであり、割り当てられたアドレス192.168.168.254であるとします。彼のセットアップは次のようになりました。

   config_eth2 =（ "192.168.168.254/24"）

彼はブリッジに参加するため、アドレスを割り当てる必要はありません。また、新しく作成された仮想インターフェイスtap0はブリッジに関係し、ブリッジにもアドレスが割り当てられていません。 eth2が使用するアドレスは、br0ブリッジに割り当てられています。

   config_eth2 =（ "null"）
  
   tuntap_tap0 = "タップ"
   config_tap0 =（ "null"）
  
   depend_br0（）{
     net.tap0 net.eth2が必要です
   }
  
   ＃既存のインターフェースを指定し、それらをブリッジに結合
   bridge_br0 = "eth2 tap0"
   ＃どちらか、そこに新しく現れるインターフェースを動的に接続できます
   ＃bridge_add_eth2 = "br0"
  
   config_br0 =（ "192.168.168.254/24"）

また、指定されたインターフェイスの構成スクリプトを作成する必要があります。

   cd /etc/init.d
   ln -s net.lo net.eth2
   ln -s net.lo net.tap0
   ln -s net.lo net.br0

br0インターフェースのみを自動的にロードするだけで十分です。 depend_br0（）は、動作に必要な他のすべてを自動的に発生させます。

   rc-update add net.br0 default
   /etc/init.d/net.eth2 stop
   /etc/init.d/net.br0 start

OpenVPNキーの作成

OpenSSLのRSAキーを使用してクライアントを承認します。プロセスを簡素化するために、いくつかの初期化スクリプトを用意しました。

   cd / usr / share / openvpn / easy-rsa /

一般的な値を追加するvarsファイルがあります。

  ナノバー

このファイルの最後に、変数を入力します。

  エクスポートKEY_COUNTRY = "RU"
   export KEY_PROVINCE = "Voronezh oblast"
  エクスポートKEY_CITY = "Boguchar"
   export KEY_ORG = "OrganiZationnAme"
   export KEY_EMAIL = "root@oza.ru"

このファイルから変数をロードし、CA（認証局）を構築します。

  ソース./vars
   ./clean-all
   ./build-ca

サーバーキー

officeという名前のサーバーキーを生成するには、次のコマンドを使用します。

   ./build-key-server office

「Common Name」という質問には、サーバー名（この場合はoffice）で答える必要があります。「証明書に署名しますか？」の最後の2つの質問 [y / n]「および」1つの証明書要求のうち1つが認証され、コミットしますか？ [y / n]「答えます」y "。

必要に応じて、追加のサーバーキーを作成できます。たとえば、システムの信頼性を高めるバックアップアクセスサーバーにすることができます。それらは、ソース./varsを実行する必要がある前に、同じコマンドによって作成されます。

Diffie Hellmanパラメーター

ここで追加することはありませんが、待つ必要があります。

   ./build-dh

このファイルはサーバー上でのみ必要です。

顧客キー

各クライアントは、独自のキーを提供する必要があります。 clientという名前のクライアントの場合、キーはコマンドによって作成されます

   ./build-keyクライアント

「Common Name」という質問には、クライアント（この場合はクライアント）の名前で回答します。最後に、同意して2つの質問に答えます。

生成されたキーと証明書を安全なチャネルを介してクライアントに送信します。必要に応じて、同じコマンドでさらにキーを作成できます。開始する前に、環境をロードする必要があります-source ./varsを実行します。

OpenVPNサービスのセットアップと開始

開始するには、次のサーバー構成を使用します（ファイル/etc/openvpn/openvpn.conf）：

   ＃このポートは、OpenVPN用にIANAによって推奨されています。 別のポートに転送できますが、機密性は向上しません。OpenPVNであることが最初に認識されます。
  ポート1194
  
   ＃OpenVPNはトランスポートプロトコルとしてtcpとudpを使用できますが、udpが望ましい
  プロトUDP
  
   ＃ブリッジに含めた仮想インターフェイスは、確かにタップタイプです（イーサネット経由でイーサネットをエミュレートすることはできません）
   dev tap0
  
   ＃ルート自己署名CA証明書
   ca /etc/openvpn/keys/ca.crt
  
   ＃証明書とサーバーの秘密鍵。  crtにはモード644、キー-600が必要です
   cert /etc/openvpn/keys/office.crt
  キー/etc/openvpn/keys/office.key
  
   ＃Diffie-Hellmanパラメータを含むファイル。 キーの長さが異なる場合は、名前を修正してください:)
   dh /etc/openvpn/keys/dh1024.pem
  
   ＃この範囲内のこのサブネット内のアドレスをリモートクライアントに配布します（注-サブネットはネットワークカード構成のようにEVERYTHINGに設定され、範囲はサブネットの一部です）
   server-bridge 192.168.168.254 255.255.255.0 192.168.168.128 192.168.168.159
  
   ＃クライアントが相互に対話できるようにします（そうでない場合は、サーバーと「ブリッジの背後」のネットワークセグメントとのみ対話します）
  クライアント間
  
   ＃これにより、クライアントは、ビジーでない場合、以前に与えられたのと同じアドレスを与えることができます
   ifconfig-pool-persist /etc/openvpn/ipp.txt
  
   ＃DHCPを介してDNSサーバーアドレスも転送したくない場合は、次の行を削除できます。
   push "dhcp-option DNS 192.168.168.254"
  
   ＃圧縮
   comp-lzo
   ＃クライアントの最大数-サーバーブリッジ範囲内のアドレス数以下にすることは理にかなっています
  最大クライアント数32

   ＃これらのキーの詳細は、OpenVPNのドキュメントにあります
  キープアライブ10120

   ＃tunを再初期化せず、再接続時にキーを再読み取りしないでください。  rootとしてではなく、誰としても働いていない場合、これを行うことはできません。したがって、これらのオプションのすべて、またはどれも
  ユーザーなし
  グループなし
  永続キー
  持続する

   ＃OpenVPNは毎分ここで現在の状態（クライアント、ルートなどのリスト）をリセットします
  ステータス/tmp/openvpn-status.log
  
   ＃非常にノイズの多いログ、通常の操作-動詞2
  動詞6
   log-append /var/log/openvpn.log

キーoffice.keyにはモード600 （所有者のみへのアクセス）が必要です。ファイルoffice.crtおよびdh1024.pemのモードは644です。

フィルター設定

ブリッジを使用するため、パケットフィルタリングを整理するための機能がいくつかあります。たとえば、すべての通過パケットがIPv4であるとは限りません。カーネルでブリッジの動作を構成するには、いくつかのパラメーターがあります。

このグループの変数は、/ proc / sys / net / bridge /ディレクトリのファイルに保存されます。 また、/ etc / sysctl.confで構成することもできます。その場合、すべて「net.brigde」というプレフィックスが付きます。

bridge-nf-call-arptables

ブール変数bridge-nf-call-arptablesは、arptablesパケットフィルターのFORWARDチェーンへのARPトラフィックの転送を制御します。デフォルト値の1はフィルターへのパケットの送信を許可し、0-禁止します。
bridge-nf-call-iptables

ブール変数bridge-nf-call-iptablesは、ブリッジを通過するIPv4トラフィックのiptablesチェーンへの転送を制御します。デフォルト値の1はフィルタリングのためのパケットの送信を許可し、0-禁止します。
bridge-nf-call-ip6tables

アクションは前のアクションと似ていますが、ip6tablesチェーンでのフィルタリングのためにIPv6トラフィックの送信を構成するだけです。
bridge-nf-filter-vlan-tagged

ブール変数bridge-nf-filter-vlan-taggedは、VLANタグ付きのIP / ARPトラフィックをパケットフィルタリングプログラム（arptables / iptables）に送信するかどうかを決定します。値1（デフォルトで設定）は、VLANタグ付きのパケットのフィルタリングプログラムへの送信を許可します。0-禁止します。

ブリッジを通過するパケットをフィルタリングするために、physdevマッチングが使用されます。これは、パケットがどのポートとどのブリッジを通過するかを区別します。カーネルで有効にします：

 ->ネットワーキング
   ->ネットワーキングサポート（NET [= y]）
     ->ネットワークオプション
       ->ネットワークパケットフィルタリングフレームワーク（Netfilter）（NETFILTER [= y]）
         ->コアNetfilter設定
           -> Netfilter Xtablesサポート（ip_tablesに必要）（NETFILTER_XTABLES [= y]）
             ->「physdev」一致サポート（NETFILTER_XT_MATCH_PHYSDEV [= y]）

さらに、カーネル構成では、パケットをiptablesフィルタリングに転送できるようにする必要があります。 bridge-nf-call-iptables = 1およびbridge-nf-call-ip6tables = 1（IPv6を使用している場合）。

たとえば、フィルタリングに次のルールを使用できます。

   iptables -A FORWARD -p tcp --dport 22 -m physdev --physdev-in eth1 --physdev-out eth0 -j ACCEPT

Linuxでブリッジを構築するの記事で投稿ポート間のフィルタリングの設定の詳細を読むことができます。

LANユーザーとブリッジVPNユーザーを区別したくない場合は、カーネルでこれらのオプションをオフにするだけで済みます（デフォルトで有効になっています）。

   echo "net.bridge.bridge-nf-call-iptables = 0" >> /etc/sysctl.conf echo "net.bridge.bridge-nf-call-ip6tables = 0" >> /etc/sysctl.conf

お客さま

クライアントで、次の内容のOpenVPN構成ファイルを作成する必要があります。

  クライアント
  ノバインド
  開発者タップ
  プロトUDP
   ＃接続先。 複数のリモートオプションを指定できます-最初に使用可能なサーバーが使用されます。  server.example.netのAレコードが複数ある場合、それらの選択はランダムです。
  リモートserver.example.net 1194
   ＃決してあきらめず、無限に接続してみてください。
  無限の解決と再試行
   ＃すべてのオプションを一緒に使用するか、どれも使用しない
  永続キー
  持続する
  ユーザーなし
  グループnogroup
   comp-lzo
   ns-cert-typeサーバー
   ca ca.crt
   cert client.crt
  キーclient.key

サーバーが複数のプロバイダーを介して接続されている場合、障害に対するネットワークの回復力を高めることができます。これを行うには、クライアントは複数のリモートオプションを「優先される」順序でサーバーごとに1つ登録する必要があります。

ca、cert、およびkeyパラメーターで指定されたファイル名は、安全なチャネルを介して転送されるファイルです。キーファイルのアクセス許可は600に設定する必要があります。

Linux

カーネルまたはモジュールでは、ユニバーサルtun / tapドライバーが必要ですが、ロードされています。

ジェンツー

net-misc / openvpnをインストールすると、スクリプト/etc/init.d/openvpnが作成されます。このスクリプトは、構成ファイル/etc/openvpn/openvpn.confを使用してopenvpnを開始します。ただし、/ etc / init.d / openvpn.network-name-> /etc/init.d/openvpnの形式のシンボリックリンクを作成すれば、複数のOpenVPN構成を同時にサポートできます。このような各スクリプトは、構成ファイル/ etc / openvpnでOpenVPNを起動します/network-name.conf。

したがって、上記の設定をそこに配置し、シンボリックリンクを作成し、スクリプトを/ etc / openvpn /のサブディレクトリに配置します。設定で、キーと証明書へのフルパスを登録します。不快な影響を避けるために、構成内のファイル名が重複しないようにしてください！

ネットワークの開始と停止は、/ etc / openvpn.network-nameサービスの管理を通じて行われます。

窓

構成ファイルは、ディレクトリ「C：\ Program Files \ OpenVPN \ config \」に「office.ovpn」などの名前で配置され、残りのファイル-キーと証明書もそこに配置されます。それらをサブディレクトリに配置する場合（たとえば、複数の仮想ネットワークを使用し、それらすべてが同じ名前ca.crtのファイルを提供する場合）、ファイルへのフルパスを示します。

ネットワークを開始するには、OpenVPNサービスを開始するか（config \にあるすべての* .ovpn構成が起動されます）、個別に-.ovpnファイルを右クリックして[この構成でOpenVPNを実行]を選択します。

考えられる問題

サーバーがTCPで実行されている場合は、サーバーの可用性を確認し、通常のtelnetを使用できます。

窓

無料のTAP仮想アダプターはありません

 2008年12月31日10:43:51 2008 88.83.201.253:1194でTCP接続が確立されました 
 Wed Dec 31 10:43:51 2008 TCPv4_CLIENT link local：[undef] 
水12月31日10:43:51 2008 TCPv4_CLIENTリンクリモート：88.83.201.253:1194 
 Wed Dec 31 10:44:51 2008 TLS Error：TLSキーネゴシエーションは60秒以内に発生しませんでした（ネットワーク接続を確認してください） 
 2008年12月31日水曜日10:44:51 TLSエラー：TLSハンドシェイクに失敗しました 
 2008年12月31日水曜日10:44:51 2008致命的なTLSエラー（check_tls_errors_co）、再起動中 
 2008年12月31日水曜日10:44:51 2008 SIGUSR1 [soft、tls-error]を受信し、プロセスを再起動しています 
 Wed Dec 31 10:44:56 2008重要：OpenVPNのデフォルトのポート番号は、IANAによる公式のポート番号割り当てに基づいて1194になりました。  OpenVPN 2.0-beta16以前では、デフォルトポートとして5000が使用されていました。 
 Wed Dec 31 10:44:56 2008 SSL / TLSコンテキストの再利用 
水12月31日10:44:56 2008 LZO圧縮が初期化されました 
 Wed Dec 31 10:44:56 2008 88.83.201.253:1194とTCP接続を確立しようとしています 
水12月31日10:44:56 2008 TCP接続は88.83.201.253:1194で確立されました 
水12月31日10:44:56 2008 TCPv4_CLIENTリンクローカル：[undef] 
 Wed Dec 31 10:44:56 2008 TCPv4_CLIENT link remote：88.83.201.253:1194 
水12月31日10:45:11 2008 [オフィス] 88.83.201.253:1194で開始されたピア接続 
 Wed Dec 31 10:45:13 2008このシステム上のすべてのTAP-Win32アダプターは現在使用中です。 
 2008年12月31日水曜日10:45:13 2008終了 
続行するには任意のキーを押してください...

OpenVPNログは、クライアントがサーバーに正常に接続し、ログインしたが、仮想ネットワークを仮想アダプターにバインドできなかったことを示しています。おそらく、他のいくつかのプロセスが、システム内のすべてのTAP-Win32アダプターにすでに影響を及ぼしています。 OpenVPN自体がハングし、アダプターを放棄しない可能性があります。

再起動するか、これらがどのようなプロセスであるかを見つけて強制的に終了することで処理されます。

参照資料

この記事を書くとき、次のソースが使用されました。

PS一部のソースは休みました。リンクは削除しませんが、覚えておく価値はあります。

ローカルネットワークへのVPNブリッジ