Поддержка пользователей!

Передовые знания в области IT

  • Наши контакты

    Страна:
    Город:
    Адрес:
    Телефон:
    Email:

    Офис

    Sophos Astaro UTM 9 или халявный Open VPN на 50 клиентов.

    Или уникальный метод установки Sophos Astaro c флешки


      Если у вас есть машина на VDS или просто есть белый IP адрес и задача стоит в создании территориально распределенной защищенной ЛВС (вычислительной сети), имеет смысл использовать продукт от Sophps - Astaro UTM 9. Сам по себе Sophos UTM 9 не бесплатный, однако home edition для домашнего использования, которую они дают скачать у себя на сайте, если не полениться зарегаться, вполне решит вопрос с 50-тью подключениями клиентов Open VPN. У них на сайте надо будет запросить домашнюю лицензию и она придет на почту в виде текстового файла. На самом деле, Astaro UTM - это комплексное сетевое решение, и описывать все его возможности в данной статье задачи не стоит, поэтому ограничимся только решением вышепоставленной задачи.


      Начнем с установки. Установочный iso файл, который вы скачаете с сайта Sophos представляет из себя линуксовый установщик. Небольшое примечание: надо качать образы "UTM v9 software appliance", название начинается на asg номер версии, намомент написания статьи это asg-9.506-2.1.iso. Проблем не возникнет, если мы ставим Astaro на виртуалку. В этом случае просто подключаем виртуальный CD-DVD привод, загружаем туда наш установочный образ iso, запускаем с этого привода нашу ВМ и следуем простым инструкциям установщика. Дело усложнится, если мы решим поставить Astaro на реальную железку типа PC, и нам ну совершенно не хочется записывать CD из нашего образа, затем искать где-то привод и т. д. Странно это писать, но CD-DVD технологии уходят в прошлое, как ушли магнитные накопители. Сделать из образа загрузочную флешку, используя софт типа Ultra ISO тоже не представляется сложной задачей, однако это не решит всех проблем. Установщику нужен смонтированный установочный образ в каталоге /install. Поэтому мы, загрузившись с созданной нами из образа флешки, НЕ запускаем сразу процесс установки, а уходим в консоль alt+F2 или alt+F3. И там набираем:
    host@user:$modprobe loop (это для монтирования iso файлов в систему)
    host@user:$mount /dev/hdb1 /mnt
    ( это может быть диск /dev/hdb2 или /dev/hdc1, т.е. диск, где лежит установочный образ Astaro UTM 9). Для проверки успешного выполнения можно набрать в терминале что-нибудь типа:
    host@user:$ls -la /mnt | grep iso
    В листинге мы должны увидеть файл нашего образа Ну и последним шагом монтируем наш установочный образ в каталог /install
    host@user:$mount -t iso9660 /mnt/'имя файла образа'.iso /install
    Проверка успешного выполнения:
    host@user:$ls -la /install
    Мы увидим содержимое установочного диска. Далее, возвращаемся в окно установщика alt+F1 и запускаем установку. Проблем больше не будет. В конце установки нам сообщат, что дальнейшая настройка Astaro UTM 9 будет производится через вэб интерфейс по адресу https://наша машина:4444 (см рисунок)


    Рисунок


      Теперь непосредственно о настройке Open VPN
    Заходим через вэб интерфейс, через https по адресу нашего сервера на порт 4444. Все настройки сервера OpenVPN находятся в разделе Remote Access -> SSL (см рис)


    Рисунок

     Там необходимо будет создать новый профайл для соединений. Приблизительно с такими настройками (рис)


    Рисунок

     Вкладка settings указывается внешний интерфейс для входа, порт соединения (стандартный 443). Virtual IP Pool, необходимо создать виртуальную сеть, адреса которой будут использовать удаленные клиенты нашего сервера, например 192.168.77.0/24. Идея в том, что бы наша виртуальная сеть была уникальной по адресу конкретно в нашей IP инфраструктуре. Ну и во вкладке Advanced настраиваются параметры шифрования. Примерная настройка на рисунке ниже. Хочется отметить, что длина ключа вполне достаточна и 1024 bit. 2048 - это уже, как говорится, для параноиков.


    Рисунок

     Далее создаем группу пользователей с разрешением Access to SSL VPN, впоследствии каждого нового пользователя-клиента мы просто будем добавлять в эту группу (рис)


    Рисунок

     Если все было сделано правильно, мы создаем нового пользователя, заводим его в группу и заходим под ним в user portal, https://astaro-server:443. Обратите внимание на порт 443. И видим следующее (рисунок)


    Рисунок

     Для установки клиентов с ОС Windows мы выбираем первый раздел и загружаем установочный пакет клиента Open VPN со всеми необходимыми ключами. Сложнее дело будет обстоять с пользователями Linux и роутерами Mikrotik. Там нам прелагается загрузить текстовый файл имя клиента.ovpn, который нам необходимо будет ручками разбить на три файла в любом текстовом редакторе. Файлы будут называться ca.crt, client.crt, client.key. Содержимое для этих файлов мы выкусываем из нашего *.ovpn файла, оно находится там между соответствующими тэгами , и .Созданные нами файлы необходимо внедрить в хранилище сертификатов нашего Линукс бокса или Mikrotik. Open VPN client будет соединяться с сервером используя эти сертификаты. Для настройки Ovpn соединения останется только указать адрес сервера, порт, имя пользователя и пароль. Ну и настройки шифрования что бы совпадали с настройкми на нашем сервере.

    Вот в принципе и вся настройка, как говорится Have Fun!!


    Обратная связь

    Ваше имя:
    Ваш E-mail:
    Сообщение: