Press "Enter" to skip to content

A VPN konfigurálása a Linuxon

Mint a Linuxban, hogy csatlakozzon egy vállalati VPN-hez az OpenTonnect és a VPN-szelet használatával

Szeretné használni a Linuxot a munkahelyen, de a vállalati VPN nem ad? Ez a cikk segíthet, bár nem pontosan. Előre szeretnék figyelmeztetni arra, hogy rosszul értem a hálózati adminisztráció kérdéseit, ezért nem kizártam, hogy mindent rosszul tettem. Másrészt lehetséges, hogy írhatok egy kézikönyvet, hogy világossá váljon a hétköznapi embereknek, ezért azt tanácsolom, hogy próbálja meg.

A cikkben sok információ van, de ez a tudás nélkül nem tudtam megoldani azokat a problémákat, amelyeket váratlanul megjelentek a VPN konfigurációjával. Úgy gondolom, hogy bárki, aki megpróbálja alkalmazni ezt az útmutatót, problémái lesznek, hogy nem voltam, és remélem, hogy ez a többlet információ segíti ezeket a problémákat megoldani.

A kézikönyvben használt legtöbb parancsot a sudo-on kell elvégezni, amely tájékoztató jellegű. Tartsd észben.

A legtöbb IP-cím a heves obsuscations, így ha látja a címet, mint például – valamilyen normál IP-nek kell lennie, az Ön esetére specifikus.

Van ubuntu, de azt hiszem, a kis irányú menedzsment alkalmazható más disztribúciókra. Ebben a szövegben azonban Linux == Ubuntu.

Cisco Connect

Azok, akik Windows vagy Macos-on ülnek, csatlakozhatnak vállalati VPN-hez a Cisco Connect segítségével, amelyet meg kell adnia a lánc címét, és minden egyes alkalommal, amikor a Google hitelesítő által generált rögzített részből és kódból származó jelszó megadásához csatlakozik.

Linux esetében a Cisco Connect nem működött, de kiderült, hogy leállt az ajánlásra, hogy használja az OPECONNECT-t, amely kifejezetten a Cisco Connect helyettesítésére készült.

OpenConnect

Elméletileg az Ubuntban van egy különleges grafikus felület az OpenConnect számára, de nem dolgoztam nekem. Talán jobb.

Az Ubuntban az OpenConnect egy kötegelt menedzserből kerül elhelyezésre.

A telepítés után azonnal megpróbálhat csatlakozni a VPN-hez

A Hab a fiktív VPN címe
Poxvuibring – A fiktív felhasználó neve

Az OpenTonnect megkéri, hogy adjon meg egy olyan jelszót, amely emlékeztet, egy rögzített részből és kódból áll a Google hitelesítőtől, majd próbálja meg csatlakozni a VPN-hez. Ha ez megtörténik, gratulálok, biztonságosan kihagyhatod a közepét, amelyben sok fájdalom van, és az OpenConnect munkájáról szóló elemre léphet a háttérben. Ha nem keres, folytathatja. Bár ha kiderült, amikor csatlakozik, például a WAIFA-tól a munkahelyen, akkor is örülhet és korai, meg kell próbálnia megismételni az eljárást a házból.

Bizonyítvány

Nagy valószínűséggel semmi sem indul el, és az OpenTonnect kipufogója valami ilyesmit fog kinézni:

Egyrészt kellemetlen, mert nem volt kapcsolat a VPN-hez, de másrészt, hogyan kell meghatározni ezt a problémát elvben.

Itt a szerver nem küldött nekünk egy bizonyítványt, amelyre meg lehet határozni, hogy a kapcsolat lép fel pontosan a szerver a natív vállalat, és nem a gonosz csaló, és ez a bizonyítvány ismeretlen. És így nem ellenőrizheti, igazi szerver vagy sem. És csak abban az esetben, ha megáll.

Annak érdekében, hogy az OPECTONNECT Ugyanazt a kiszolgálóhoz csatlakozzon, kifejezetten meg kell mondania, hogy mely tanúsítványnak kell lennie a VPN-kiszolgálóból a Kservercert billentyű segítségével

És hogy megtudja, milyen tanúsítványt küldött a kiszolgálónak, hogy közvetlenül a nyomtatott nyomtatott. Itt van ebből a darabból:

Itt van egy ilyen csapat, amit megpróbálhat újra csatlakozni

Talán most már dolgozott, akkor megy végig. De én személy szerint Ubunta megmutatta az ábrát itt egy ilyen formában

/ etc / Hab

/ Run / Resolvconf / Hab

A Hab elpusztul, de lehetetlen lesz oda. A Hab típusú címek egyáltalán nem találkoznak.

Mi történt itt, nem értem. De a kísérlet azt mutatja, hogy ha / etc / Hab karakterláncot ad hozzá

Ezután a VPN belsejében lévő címek mágikus módon indulnak el, hogy megsemmisüljenek, és lehetséges lesz járni rájuk, vagyis mit keres, amit a DNS-nek van a címe, úgy néz ki / etc / Hab, és nem valahol máshol.

Ez a kapcsolat a VPN és működik, akkor biztos lehet benne, anélkül, hogy az / etc / hab, elég belépni a böngésző nem szimbolikus nevét az erőforrás a VPN a böngésző, és az IP-cím

Két probléma után

  • Ha VPN-hez csatlakozik, a DNS nem veszi fel
  • Minden forgalom egy VPN-n keresztül megy, amely nem teszi lehetővé, hogy online

Mit mondok most, de először egy kis automatizálást.

A jelszó rögzített részének automatikus bemenete

Az aktuális pillanatig, valószínűleg legalább öt alkalommal lépett be a jelszóval, és ez az eljárás már meglehetősen fáradt. Először is, mert a jelszó hosszú, másodszor, mert amikor belépsz, meg kell felelnie egy meghatározott időintervallumban

A cikkben szereplő probléma végső megoldása nem szerepel, de megtehető, hogy a jelszó rögzített része ne legyen sok tekintetben.

Tedd, fix része a jelszó – FixedPassword, és része a Google Hitelesítő Az egész OpenConnect jelszó átvihetők a standard input felhasználásával –passwd-on-stdin érv .

Most folyamatosan visszatérhet az utolsó belépett csapatba, és csak a Google Hitelesítő részét képezi.

A vállalati vpn nem teszi lehetővé online.

Nem túl kényelmetlen egyáltalán, amikor a HABR-hez való menni kell egy külön számítógépet. Nem képes másolni a Stackoverfow-ra, általában megbéníthatja a munkát, így valamit kell tennie.

Szükséges, hogy valahogy szervezzen, amikor a belső hálózatból származó erőforrásra kell mennie, a Linux a VPN-hez ment, és amikor Habr-be kell mennie – elment az internetre.

OpenConnect Miután elindította és telepíti a kapcsolatok VPN-t, végrehajt egy speciális szkriptet, amely a / usr / share / vpnc-scripts / vpnc-script. Néhány változó továbbítódik a bemeneti szkripthez, és ez teszi a VPN beállítást. Sajnos nem tudtam kitalálni, hogyan oszthatom meg a forgalmi áramlást a vállalati VPN és az internet többi részé között egy natív forgatókönyv segítségével.

Nyilvánvalóan különösen azért, mint például a VPN-szelet segédprogram által kifejlesztett, amely lehetővé teszi, hogy két csatornán keresztül irányítsa a forgalmat a tambourinnal tánc nélkül. Nos, vagyis meg kell táncolnod, de a sámán nem feltétlenül.

A forgalom elválasztása a VPN-szelet használatával

Először is, a VPN-szelet kell tennie, ezzel függetlenül kell megértenie. Ha vannak kérdések a megjegyzésekben, írok erről a különálló bejegyzésről. De ez a Python rendszeres program, így nincs nehézség. Virtualenv-vel helyeztem.

És akkor a segédprogram kell alkalmazni a –Script kulcs megadásával OpenConnect hogy ahelyett, hogy a szokásos forgatókönyvet akkor kell használni a VPN-szelet

–Script átmegy egy parancsot, amelyet egy parancsfájl helyett hívnak. ./ BIN / VPN-szelet – A VPN-szelet / 24 futtatható fájl elérési útja – a címmaszk, amelyre a VPN-be kell mennie. Itt azt jelentik, hogy ha a cím az erőforrással kezdődik, akkor meg kell néznie a VPN-ben

Most a helyzetnek szinte normálisnak kell lennie. Majdnem. Most mehetsz a HABR-ba, és az intracorporate erőforráshoz az IP-n, de nem tudsz menni a szimbolikus névre a belső vállalati erőforrásra. Ha regisztrálja a szimbolikus név és a fogadó címének megfelelőségét – mindent meg kell keresni. És addig, amíg az IP nem változik. A Linux az IP-tól függően az internetre vagy a belső vállalati hálózatba tud menni. De még mindig nem vállalati DNS a cím meghatározásához.

A probléma még mindig nyilvánulhat meg önmagában ebben az űrlapon – minden rendben van a munkahelyen, és otthon az intracorporate erőforrásoknál. Ez azért van, mert amikor csatlakozik a vállalati Wi-Fi, a DNS is használható vállalati és ez a szimbólum címek VPN lesz ellenállni, annak ellenére, hogy még mindig nem lehet átmenni ezen a címen használata nélkül VPN.

A Hosts fájl automatikus módosítása

Ha a VPN-szeletet udvariasan megkérdezi, akkor a VPN növelése után a DNS-hez való elindulása után a szükséges erőforrások IP-címe van a szimbolikus nevükkel, és szórakoztatja őket a házigazdákban. A VPN kikapcsolása után ezek a címek eltávolításra kerülnek a házigazdákból. Ehhez a szimbolikus neveket VPN-szeletben kell átvinnie, mint argumentumok. Mint ez.

Most mindent kell dolgoznia az irodában és a strandon.

A DNS összes aldomainjének keresési címe, melyet vpn adott

Ha a hálózaton belüli címek egy kicsit, akkor a Hosts fájl automatikus módosításával rendelkező megközelítés meglehetősen munkavállaló. De ha sok erőforrás van a hálózaton, akkor mindig hozzá kell adnia a szkript vonalhoz, mint például a Hab Zoidberg.

De most, amikor megértünk egy kicsit, amit ez szükséges lehet megszüntetni.

Ha a VPN növelése után az / etc / hosts, akkor láthatja ezt a sort

HAB0 # VPN-szelet-tun0 autokráciat

Igen, és egy új vonalat adtak hozzá a Habhoz. Röviden, a VPN-szelet valahogy meghatározva, ahol a DNS-kiszolgáló a VPN-hez szól.

Most meg kell tenni annak érdekében, hogy meg kell tenni annak érdekében, hogy megtanulják a domain név IP-címét, a HAB-nál kumulálva, a Linux a vállalati DNS-hez ment, és ha valami másra van szükség, akkor az alapértelmezett.

Van egy hosszú Google, és megállapította, hogy az ilyen funkcionalitás az Ubunta-ban van a dobozból. Ez arra utal, hogy a helyi DNS-kiszolgáló DNSMASQ használata a Resav számára.

Ez azt jelenti, hogy meg lehet csinálni úgy, hogy az IP-címek Linux mindig elmentem a helyi DNS szerver, ami viszont, attól függően, hogy a domain név, megkeresi az IP a megfelelő külső DNS-kiszolgáló.

A hálózatokhoz és hálózati kapcsolatokhoz kapcsolódó összes vezérléséhez a NetworkManager az Ubuntban és a grafikus felületen, például a Wi-Fi kapcsolat kiválasztására szolgál – csak az elöl.

Meg kell másznunk a konfigurációba.

  1. Fájl létrehozása az / etc / networkManager / dnsmasq.D / Evilcorp

Cím = / Hab

Figyeljen az Evilcorp előtt. Ez jelzi a DNSMASQ-t, hogy minden aldomain-t kell találni a vállalati DNS-ben.

  1. Mondja, hogy a NetworkManager, hogy megoldja a neveket, amiket a DNSMASQ-t kell használni

A hálózati kezelő konfigurációja az / etc / networkManager / Hab-ban van hozzá, amit hozzá kell adni:

[Fő]
DNS = DNSMASQ

  1. Indítsa újra a NetworkManager programot

Most, miután csatlakoztunk a VPN-hez az OpenTonnect és a VPN-szelet csomag segítségével, az IP rendben lesz, még akkor is, ha nem adsz szimbolikus címeket a vpnslice argumentumaihoz.

Hogyan kell sétálni VPN-en külön szolgáltatásokban

Miután kiderült, hogy csatlakoztassa a VPN-hez, nagyon boldog voltam a napról, majd kiderült, hogy ha csatlakozik a VPN-hez, nem az irodai hálózatból, akkor a levél nem működik. A Tünet ismerős nem igaz?

Az USA-nak a Hab-ban van, ami azt jelenti, hogy nem tartozik a DNSMASQ szabály alá, és az e-mail cím címe a nyilvános DNS-en keresztül történik.

Nos, az irodában mindent a DNS továbbra is használnak, amelyben ez a cím. Ez azt gondoltam. Valójában, miután hozzáadta a vonalakat a DNSMASQ-hoz

Cím = / Hab

A helyzet nem változott. Az IP ugyanaz maradt. Munka kellett mennem.

Aztán, amikor egy helyzetbe mélyítettem, és kitaláltam egy kicsit egy problémát, egy okos személy azt javasolta nekem, hogyan oldja meg. Szükséges volt csatlakozni a postai kiszolgálóhoz, nem csak így, hanem vpn segítségével

ÉN használ VPN-SLICIC séta VPN címekre kezdeni egy e-mail szerver nem csak a karakter címe nem altartománya Evilcorp, ez is szintén nem indul el, és a teljes hálózat nem engedi, hogy bárki magát.

Annak érdekében, hogy a Linux átmenjen VPN-re és a levélkiszolgálóra, hozzá kell adnia a VPN-szelethez és annak hozzáadásához. Mondjuk el a postai címet-

Script a VPN felemelésére egy argumentummal

Mindez természetesen nem túl kényelmes. Igen, megmentheti a szöveget a fájlba és másolhatja a konzolra, és nem kapja meg a kezét, de még mindig kellemes kis. A folyamat megkönnyítése érdekében a parancsot a parancsfájlba írhatja, amely az útvonalon lesz. És akkor csak be kell írnia a Google Hitelesítőtől kapott kódot

Ha a forgatókönyvet összekapcsolja ~ Evilcorp ~, akkor csak a konzolban írható

De most akkor még mindig van néhány ok, hogy tartsa a konzol, amely OpenConnect fut nyitott

Futó openfonnect a háttérben

Szerencsére az OpenTonnect szerzői gondoskodtak rólunk, és hozzáadott egy speciális kulcsot a program – kb. Ha ezt úgy futtatja, akkor a konzol elindítása után zárható le

Most csak érthetetlen, ahol a naplók mennek. Naplók általában nem szükségesek, de nem. Az OpenConnect átdolgozhatja őket a Syslogba, ahol az integritásban és a biztonságban tárolják őket. Hozzá kell adnia a parancsot a –syslog parancshoz

És így kiderül, hogy az OpenConnect valahol a háttérben működik, és nem zavarja senkit, de hogyan lehet megállítani érthetetlen. Ez azt jelenti, hogy lehetséges, persze, kiszűri a kipufogó PS Gplem és keresse meg a folyamatot, amelynek nevében van OpenConnect, de ez valahogy Murotno. Köszönet a szerzőknek, akik gondoltak rá. Az OpenConnect-ban van egy kulcs -pid fájl, amellyel utasíthatja az OpenConnect-ot, hogy írja az Ön folyamatának azonosítóját a fájlra.

Most mindig megölheti a csapatfolyamatot

Ha nincs folyamat, ölje meg a szőnyeget, de nem tetszik a hiba. Ha nincs fájl, akkor nem fog semmi szörnyű, így biztonságosan megölheti a folyamatot a szkript első karakterláncában.

Most bekapcsolhatja a számítógépet, nyissa meg a konzolt, és futtassa a parancsot a Google Hitelesítőből történő átadásával. Konzol, akkor köröm.

Értsd meg, hogyan kell élni anélkül, hogy VPN-szelet kiderült, hogy nagyon nehéz. Sokat és a Google-t el kellett olvasnom. Szerencsére, amikor annyi időt töltött egy problémával, technikai kézikönyvekkel, és még az ember openkonnect izgalmas regényként olvasható.

Ennek eredményeként kiderült, hogy a VPN-szelet, mint egy natív szkript, módosítja az útválasztási táblát a hálózatépítéshez.

Útválasztási táblázat

Ez egyszerű beszéd, mint egy táblázat első oszlopában, amely tartalmazza, amelyből a címet kell kezdeni, amely szerint a Linux akar menni, és a második, amelyen keresztül a hálózati adaptert, hogy menjen át ezt a címet. Valójában az oszlopok nagyobbak, de nem változtatja meg a lényeget.

Az útválasztási táblázat megtekintéséhez az IP útvonal parancsot kell végrehajtania

Itt minden sor felelős azért, hogy hová menjen egy üzenet küldéséhez. Az első a leírás, ahol a cím megkezdődik. Annak érdekében, hogy megértsük, hogyan kell meghatározni, hogy / 16 azt jelenti, hogy a címnek meg kell kezdenie a Google-nak, mi az IP-címmaszk. A Dev után az adapter neve, amelyben üzenetet kell küldenie.

A VPN Linux virtuális adapterhez készült – Tun0. Annak biztosítása érdekében, hogy a forgalom minden címre kezdve sétáljon rajta egy karakterlánc

Az útválasztási táblázat aktuális állapotát is megtekintheti a parancs segítségével Útvonal -N (IP-címek tehetséges anonimizáltak) Ez a parancs problémái egy másik űrlapot eredményeznek, és általában elavultak, de a kipufogója gyakran az interneten található kézikönyveken keresztül történik, és képesnek kell lennie olvasni.

Hol kell elkezdeni az útvonal IP-címét, megértheti a rendeltetési hely és a Genmask hangszórók kombinációját. Az IP-cím e részei, amelyek a Genmask-ban megfelelnek a számoknak, figyelembe veszik, és azok, ahol 0 – nem. Ez az, hogy a cél és a genmask kombináció azt jelenti, hogy ha a cím kezdődik, akkor a kérés ezen az útvonalon megy. És ha a rendeltetési hely, hanem Genmask, akkor ez az útvonal megkezdi a címeket

Annak érdekében, hogy kitaláljuk, hogy ténylegesen VPN-szeletet készítek, úgy döntöttem, hogy megnézem az asztalok állapotát, mielőtt és utána

A vpn beilleszkedés előtt

Miután hívta az OpenConnect-t a VPN-szelet nélkül

És az OpenConnect-ot követően a VPN-szelet kombinálva

Látható, hogy ha nem használja a VPN-szelet, majd OpenConnect kifejezetten azt írja, hogy az összes címet, kivéve a megadott megadva, meg kell járni VPN-en keresztül.

Pont itt:

Van egy másik módja annak, hogy más módon használhassanak, amelyet akkor kell használni, ha az a cím, amelyre a Linux megpróbál áthaladni, nem egyezik az asztalról származó maszkkal.

Itt már írta, hogy ebben az esetben a szabványos Wi-Fi adapteren kell járnia.

Úgy vélem, hogy a VPN elérési útját használják, mert az első útválasztás táblázatában van.

És elméletileg, ha eltávolítja ezt az alapértelmezett útvonalat az útválasztó asztalról, akkor a kötegben a DNSMASQ openkonnect-nak normál működést kell biztosítania.

megpróbáltam

És minden dolgozott.

Útválasztási kérelmek a VPN-szelet nélkül

De van egy másik címkiszolgáló, amelynek címe van, amelyre szüksége van a VPN-en keresztül is. Útközben is hozzá kell adnia a kezét.

És most az összes szabály. Tehát VPN-szelet nélkül tehetsz, de már jól kell tudni, amit csinálsz. Most gondolom, hogy nem tesz hozzá az utolsó sor a natív script OpenConnect törlését az alapértelmezett útvonalat, és adjunk hozzá egy útvonalat a postázó csatlakoztatása után a VPN, csak, hogy a mozgó alkatrészek a motorom lett kisebb.

Valószínűleg valaki, hogy megértsük, hogyan kell létrehozni a VPN-t, elég lenne ehhez a következőszón. De én, miközben megpróbáltam megérteni, hogy mit és hogyan csinálok, sok ilyen útmutatót olvastam, amelyek a szerzővel dolgoznak, de valamilyen oknál fogva nem dolgozom velem, és úgy döntöttem, hogy hozzáadom az összes talált darabot. Nagyon örülnék ezzel.

Comments are closed, but trackbacks and pingbacks are open.