Jak uruchomić i skonfigurować zaporę sieciową i VPN jako usługi w NSIS
Informacja
Niniejszy przewodnik przedstawia przykładowy proces konfiguracji VPN jako usługi. Nie należy go traktować jako jedynego sposobu konfiguracji tego rozwiązania.
To start the VPN as a service, it is necessary to configure and start the Firewall as a service. The sequence of steps will be described below.
Tworzenie infrastruktury FWAAS
Tworzenie i konfigurowanie sieci lokalnych
Zaloguj się do pulpitu nawigacyjnego OpenStack i wybierz kartę Network, a następnie wybierz sekcję Networks.
Kliknij przycisk „Create Network”.
Zdefiniuj nazwę sieci jako „Gateway” i przejdź na kartę Subnet.
Zdefiniuj nazwę podsieci jako „Gateway_subnet,. adres sieci 10.100.100.0/24 i adres IP bramy 10.100.100.1.
W sekcji Subnet Details podsieci zaznacz Enable DHCP. Pozostałe pola pozostaw puste i kliknij przycisk Create.
Powtórz tę procedurę od punktów 2-5, używając innych danych:
Nazwa sieci: „Internal „.
Nazwa podsieci: „Internal_subnet”
Adres sieci: 10.200.200.0/24
IP bramy: 10.200.200.1
Kliknij przycisk Create router.
Nazwij swoje urządzenie na przykład „Router_Fwaas „. Wybierz sieć external na karcie External Network. Kliknij Create router.
Kliknij nowo utworzony router (na przykład o nazwie „Router_Fwaas”).
Wybierz Interfaces i kliknij przycisk Add Interface.
Wybierz z menu Subnet podsieć Gateway i kliknij przycisk Submit.
Po wyuborze Network -> Network Topology topologia sieci powinna wyglądać następująco.
Tworzenie i konfigurowanie maszyny wirtualnej z zainstalowanym klientem zapory sieciowej
Otwórz kartę Compute -> Instances i wybierz polecenie Launch instance.
Nazwij instancję maszyny wirtualnej (na przykład Firewall_VM) i przejdź na kartę Source.
Znajdź obraz opnsense i dodaj go do swojej maszyny wirtualnej. Przejdź na kartę Flavor.
Wybierz specyfikację swojej maszyny wirtualnej. Wymagania wstępne do uruchomienia zapory sieciowej:
Minimalne: CPU 1 Core, 2 GB pamięci RAM, dysk SSD 8 GB (eo1.xmedium flavor)
Optymalne: CPU 2 Core, 4 GB pamięci RAM, dysk SSD 16 GB (eo1.medium flavor)
Przejdź na kartę Networks.
Dodaj utworzone sieci lokalne w odpowiedniej kolejności:
Sieć wewnętrzna
Sieć bramy
Usuń wszystkie grupy zabezpieczeń i otwórz kartę Configuration.
Wklej skrypt konfiguracyjny przedstawiony poniżej:
#cloud-config
runcmd:
- |
address=$(curl http://169.254.169.254/latest/meta-data/local-ipv4)
first=$(echo "$address" | /usr/bin/cut -d'.' -f1)
second=$(echo "$address" | /usr/bin/cut -d'.' -f2)
third=$(echo "$address" | /usr/bin/cut -d'.' -f3)
sed -i '' "s/<ipaddr>192.168.*.*<\/ipaddr>/<ipaddr>$first.$second.$third.1<\/ipaddr>/" /conf/config.xml
sed -i '' '/<disablefilter>enabled<\/disablefilter>/g' /conf/config.xml
reboot
Wybierz polecenie launch instance.
Po utworzeniu maszyny wirtualnej kliknij jej nazwę na karcie instancji.
Wybierz kartę interfaces i kliknij edit port obok każdego portu.
Wyłącz port security i kliknij update.
Przejdź do menu Network -> Floating IPs i wybierz polecenie Allocate IP to project.
Wybierz Allocate IP.
Kliknij przycisk Associate obok nowo wygenerowanego Floating IP i przypisz go do portu Firewall_VM.
Po utworzeniu maszyny z zaporą sieciową adres LAN vtnet0 powinien mieć wartość 10.200.200.1 (można to sprawdzić za pomocą konsoli w Horizon).
Konfiguracja usługi VPN
Wymagania wstępne: aby skonfigurować serwer VPN za pomocą interfejsu graficznego, potrzebujesz maszyny wirtualnej z preinstalowanym GUI (na przykład MINT, XFCE itp.) podłączonej do sieci wewnętrznej. Kliknij tutaj, aby uzyskać instrukcje dotyczące instalacji GUI na maszynie wirtualnej Ubuntu 20.04: /cloud/How-to-use-GUI-in-Linux-VM-on-NSIS-and-access-it-from-local-Linux-computer.
W domyślnej przeglądarce internetowej otwórz adres IP 10.200.200.1.
Użytkownik: root
Hasło: opnsense
Kliknij VPN -> OpenVPN -> Servers po lewej stronie. Na dole nowej strony kliknij ikonę różdżki Użyj kreatora, aby skonfigurować nowy serwer.
Na stronie Authentication Type Selection upewnij się, że opcja Type of Server jest ustawiona na Local User Access i kliknij przycisk Next.
Ustaw pola w następującej kolejności:
Decriptive name: Nazwa twojego certyfikatu serwera VPN (na przykład OPNsense-CA)
Key length: 2048 bit
Lifetime: ** Czas ważności certyfikatu serwera VPN w dniach** (na przykład 825)
Contry code: ** Dwuliterowy kod kraju ISO**
State or Province: Pełna nazwa stanu lub prowincji, nie skrócona.
City: Nazwa miasta lub innej miejscowości
Organization: Nazwa organizacji, często nazwa firmy lub grupy.
E-mail: Adres e-mail osoby kontaktowej w sprawie certyfikatu
Kliknij Add new CA, aby kontynuować i Add new Certificate na następnej stronie.
Na stronie Add a Server Certificate ustaw nazwę opisową na serwer, pozostaw długość klucza na 2048 bitów i ustaw czas życia na 3650.
Kliknij Create new Certificate, aby kontynuować.
Następną stroną powinna być Konfiguracja serwera, ustaw następujące opcje:
Ustaw interfejs WAN
Upewnij się, że protokół to UDP, a port to 1194.
Ustaw opis, na przykład „VPN Server”.
Zmień długość parametrów DH na 4096.
Zmień algorytm szyfrowania na „AES-256-CBC (klucz 256-bitowy, blok 128-bitowy)”.
Zmień algorytm Auth Digest na „SHA512 (512-bitowy)”.
W polu IPv4 Tunnel Network wpisz «10.0.8.0/24».
Aby zezwolić na dostęp do komputerów w sieci lokalnej, wprowadź lokalny zakres adresów IP w ustawieniu Local Network. Powinien on mieć postać 10.200.200.0/24.
Ustaw kompresję na „”No Preference”.
Ustaw serwer DNS 1 na 10.0.8.1.1.
Wszystkie pozostałe opcje można pozostawić bez zmian. Kliknij przycisk Next.
W sekcji Firewall Rule Configuration zaznacz pola wyboru Firewall Rule i OpenVPN, a następnie kliknij przycisk Next.
Teraz serwer VPN został pomyślnie utworzony.
Konfiguracja użytkownika
Tworzenie nowego użytkownika
Kliknij System -> Access -> Users po lewej stronie i wybierz ikonę Add po lewej stronie strony Users.
Wprowadź nazwę użytkownika, hasło i zaznacz pole „Click to create user certificate” poniżej. Wypełnij dowolne inne pola, ale nie jest to wymagane. Wybierz Click to create user certificate.
Nastąpi przekierowanie na stronę Certificate. Wybierz opcję „Create an internal Certificate” w polu rozwijanym Method. Strona zmieni swój układ.
Upewnij się, że Certificate Authority to nazwa, którą utworzyliśmy w kreatorze, czyli „**OPNsense-CA **”, a Type to „Client Certificate ”.
Zmień okres ważności certyfikatu (w dniach) i kliknij przycisk Save.
Nastąpi przekierowanie z powrotem do strony Create User, pole User Certificates powinny teraz zawierać wpis, kliknij ponownie przycisk Save na dole.
Konfiguracja klienta Open VPN Do połączenia z serwerem VPN potrzebny jest klient VPN. Możesz użyć jednego z zalecanych programów, takich jak OpenVPN lub Viscocity. Poniżej znajdują się instrukcje, jak używać klienta Open VPN do łączenia się z serwere
Eksportowanie połączenia z OPNsense.
Kliknij VPN -> OpenVPN -> Client Export po lewej stronie. Zmień nazwę hosta na Floating IP przypisany do serwera VPN.
Kliknij ikonę chmury obok nazwy użytkownika lub nazwy serwera, aby pobrać certyfikat i pliki konfiguracyjne.
Rozpakuj pobrane pliki konfiguracyjne i znajdź plik konfiguracyjny Open VPN.
Komputery z systemem Windows:.
Pobierz i zainstaluj najnowszą wersję Open VPN. Można ją znaleźć na stronie https://openvpn.net/community-downloads/
Zapisz wszystkie pliki konfiguracyjne w folderze C:Program FilesOpenVPNconfig i spróbuj połączyć się przy użyciu wstępnie skonfigurowanych poświadczeń.
Komputery z systemem Linux (Ubuntu)
Otwórz terminal w katalogu zawierającym pliki konfiguracyjne.
Użyj poleceń przedstawionych poniżej:
sudo apt update
sudo nmcli connection import type openvpn file nameofyourovpnconffile.ovpn
Spróbuj połączyć się z VPN za pomocą paska konfiguracji Ubuntu (prawy górny róg) i odpowiednich poświadczeń.