Конфигурация VPN доступа к сети SIPNET в Linux (Debian)
SIPNET VPN поддерживает протоколы SoftEther, OpenVPN, L2TP/IPSec и MS-SSTP.
Авторизация осуществляется по имени пользователя и паролю SIPNET.
Метод SoftEther VPN Client
Достоинства:
- передача данных через порт 443/tcp
- шифрование TLS
- возможна работа через HTTPS Proxy
- режим UDP Acceleration
- максимальная совместимость с VPN сервером
- высокая скорость
- минимальное потребление ресурсов
Недостатки:
- отсутствие стандартного установочного пакета
Для работы клиента SoftEther VPN требуется наличие в системе универсального TAP/TUN устройства. Если устройство не обнаружено, необходима пересборка ядра, что выходит за рамки данного руководства.
% ls /dev/net/tun
VPN клиент поставляется в бинарном виде, но нуждается в привязке к имеющимся системным библиотекам. Для этого требуются make(1) и gcc(1). В подавляющем большинстве Linux-систем эти пакеты уже присутствуют.
% make --version
% gcc --version
В худшем случае их установка не будет лишней (root)
# apt-get install make
# apt-get install gcc
Загрузить подходящую версию VPN клиента и распаковать дистрибутив.
% tar xzf softether-vpnclient-*
Перейти в директорию vpnclient, выполнить make(1) и ответить на вопросы. </syntaxhighlight>
% cd vpnclient % make
</syntaxhighlight> Создать рабочую системную директорию и скопировать необходимые файлы (root)
# mkdir /usr/local/vpnclient
# install vpnclient vpncmd hamcore.se2 /usr/local/vpnclient
Запустить VPN клиента (root)
# /usr/local/vpnclient/vpnclient start
Подключиться к VPN клиенту и произвести начальную конфигурацию.
Директива NicCreate создаёт сетевой адаптер vpn_spnt.
Директива AccountCreate требует ввода имени пользователя в формате username@sipnet.ru.
Директива AccountPasswordSet требует ввода пароля; зашифрованный пароль хранится в конфигурации VPN клиента.
% /usr/local/vpnclient/vpncmd localhost /CLIENT
VPN Client>NicCreate spnt
VPN Client>AccountCreate sipnet /SERVER:vpn.sipnet.ru:443 /HUB:CommuniGate /NICNAME:spnt
VPN Client>AccountPasswordSet sipnet /TYPE:radius
VPN Client>AccountStartupSet sipnet
VPN Client>exit
Разрешить автоконфигурацию для сетевого адаптера vpn_spnt (root)
# cat >> /etc/network/interfaces
allow-hotplug vpn_spnt
iface vpn_spnt inet dhcp
Создать файл автозагрузки (root)
# cat > /etc/init.d/vpnclient
#!/bin/sh
#
### BEGIN INIT INFO
# Provides: vpnclient
# Required-Start: $network
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: VPN Client init
# Description: Start SoftEther VPN Client
### END INIT INFO
case "$1" in
start)
echo "Starting VPN Client"
/usr/local/vpnclient/vpnclient start
;;
stop)
echo "Stopping VPN Client"
/usr/local/vpnclient/vpnclient stop
;;
*)
echo "Usage: /etc/init.d/vpnclient {start|stop}" >&2
exit 1
;;
esac
Разрешить исполнение (root)
# chmod +x /etc/init.d/vpnclient
Разрешить автозагрузку (root)
# update-rc.d vpnclient defaults
Проверить конфигурацию
# /etc/init.d/vpnclient start
Starting VPN Client
The SoftEther VPN Client service has been started.
% ip addr show vpn_spnt
3: vpn_spnt: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 500
link/ether 00:ac:0e:92:69:7e brd ff:ff:ff:ff:ff:ff
inet 172.16.82.31/18 brd 172.16.127.255 scope global vpn_spnt
inet6 fe80::2ac:eff:fe92:697e/64 scope link
valid_lft forever preferred_lft forever
% ip route
default via 192.168.33.1 dev eth0
172.16.64.0/18 dev vpn_spnt proto kernel scope link src 172.16.82.31
192.168.33.0/24 dev eth0 proto kernel scope link src 192.168.33.45
212.53.40.0/25 via 172.16.82.1 dev vpn_spnt
Метод OpenVPN
Достоинства:
- стандартный установочный пакет
- шифрование TLS
Недостатки:
- сервер реализует протокол OpenVPN в режиме эмуляции
- значительное потребление ресурсов
Установить стандартный пакет (root)
# apt-get install openvpn
Указать данные для авторизации - свои SIP ID и пароль (root)
# cat > /etc/openvpn/sipnet.credentials
username@sipnet.ru
password
Ограничить доступ к файлу (root)
# chmod 600 /etc/openvpn/sipnet.credentials
Создать конфигурацию соединения (root)
# cat > /etc/openvpn/sipnet.conf dev tun proto udp remote vpn.sipnet.ru 1194 remote-cert-tls server cipher AES-128-CBC auth SHA1 resolv-retry infinite nobind persist-key persist-tun client verb 3 auth-user-pass /etc/openvpn/sipnet.credentials auth-nocache
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
Если в папке /etc/ssl/certs/ установлены корневые сертификаты, то вместо указания корневого сертификата 'in-line' (<ca>...</ca>), можно просто сослаться на системные сертификаты:
capath /etc/ssl/certs/
В указанной папке программе OpenVPN нужен не bundle (ca-bundle.crt), а индивидуальные корневые сертификаты (CA), имеющие имена вида <hash>.<n>.
Разрешить автозагрузку (root)
# update-rc.d vpnclient defaults
Проверить конфигурацию
# /etc/init.d/openvpn start
Starting virtual private network daemon: sipnet.
% ip addr show tun0
5: tun0: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/none
inet 172.16.82.13 peer 172.16.82.14/32 scope global tun0
% ip route
default via 192.168.33.1 dev eth0
172.16.82.14 dev tun0 proto kernel scope link src 172.16.82.13
192.168.33.0/24 dev eth0 proto kernel scope link src 192.168.33.45
212.53.40.0/25 via 172.16.82.14 dev tun0
% uname -a
Linux debian 3.2.0-4-amd64 #1 SMP Debian 3.2.63-2 x86_64 GNU/Linux