Bueno
Cada empresa, tarde o temprano, de repente, necesita acceso remoto.
Prácticamente todos los especialistas de TI se enfrentan a la necesidad de organizar el acceso remoto a sus redes en la empresa.
Yo, como muchos, esta necesidad cubierta con el sello "ayer". Después de analizar todos los pros y los contras, además de recoger toneladas de información y excavar un poco en teoría, decidí continuar con la instalación.
Por razones de seguridad, elegí OpenVPN en la siguiente implementación: se instaló una máquina virtual en un servidor que ejecuta Windows Server 2012, también se instaló Windows Server 2012 y, a su vez, un servidor OpenVPN que emitió y firmó certificados.
Por conveniencia, lo llamaremos un "servidor de certificación". Además, tomó un certificado de servidor, lo introdujo en Mikrotik y, en el enrutador, Mikrotik levantó OpenVPN con cuentas y perfiles. También utilicé un servidor de certificación para emitir un certificado de cliente.
La implementación, por supuesto, es horrible, y aunque en ese momento mi experiencia en tales cosas era, por ejemplo, insuficiente, en materia de seguridad, esta no fue una mala decisión.
Este paquete funcionó durante un tiempo y me dieron una nueva introducción: transferir el servidor de certificación a Linux, manteniendo la conexión con Mikrotik, los clientes no deberían sufrir.
Mi conocimiento de Linux en ese momento terminó en Ubuntu 16.04LTS con una interfaz gráfica que se utilizó como terminal para conectarse a través de RDP a un servidor de Windows. Es decir, sudo apt-get -f install -y, y no un centímetro más.
Después de estudiar la pregunta de qué sistema operativo de la familia Linux es más estable y prometedor para mi organización, me decidí por CentOS 7 Minimal.
Para empezar, decidí profundizar un poco en la teoría, para entender cómo funciona y funciona en general. Vi los videos tutoriales en el canal
www.youtube.com/channel/UCKdRgZWgy42YxoFcTJ30LTA (Generalmente no es un anuncio, solo me atraparon primero). La chica con una voz agradable me presentó los conceptos básicos para trabajar en el sistema operativo seleccionado.
Para comenzar, inicié Hyper-V en mi computadora, instalé CentOS 7 Minimal allí, durante la instalación creé el usuario Administrador y cerré completamente ssh para root. Despidiéndose de una hermosa pantalla multicolor, sumergida en el mundo blanco y negro de la terminal.
Creo que no tiene sentido describir el proceso de instalación del software, es mejor enfocarse en los problemas que surgieron durante el proceso y resolver que tuve que escribir un pequeño script (está bajo un gato. La descripción de cada una de las utilidades se puede encontrar en Internet, pero en ese momento cuando estoy todo lo hice, este script aún no estaba allí, todo se hizo por primera vez, al tacto y al azar).
En el script, traté de automatizar la instalación de las utilidades mínimas necesarias para el servidor, deshabilitar Selinux, conectar el repositorio de Epel, instalar OpenVPN, etc. A continuación se encuentra el script en sí, es simple, pero se puede usar. No lo desmontaré, pero si alguien lo necesita, escriba una respuesta.
Después de usar el script, aparecerá un servidor OpenVPN ya configurado, parpadeando con un ojo verde.
UPD: Hizo algunos ajustes al guión, sacando conclusiones de los comentarios. No comenzó a eliminar sus errores, sino que simplemente comentó para que el hilo de comentarios no se perdiera. Se agregaron líneas empujadas hacia atrás para mayor visibilidad.
La instalación de OpenVPN no fue completamente exitosa.
Sin conocer las características de la política de derechos en los sistemas Linux, pasé mucho tiempo estudiando registros y asignando a todos los archivos los derechos requeridos.
Cuando el botón OpenVPN se puso verde, quedé muy contento, pero resultó que esto era solo el comienzo. En aras de la simplicidad, esperaba reemplazar los certificados raíz y el archivo crl.pem, esperando que todo funcionara. Como resultado, necesitaba transferir los siguientes archivos del servidor a Windows:
Serv.crt - Certificado de servidor
Serv.key - Clave del servidor
Ca.crt - Certificado raíz
Ca.key - Clave de raíz
Crl.pem - Archivo de revocación de certificado
Dh.pem - Clave Diffie-Hellman
Index.txt: archivo con información sobre los certificados actuales
Serie: también es responsable de la relevancia de los certificados
También requería la carpeta certs_by_serial, el archivo vars y todas las claves y certificados del cliente.
En Mikrotik, los certificados permanecieron en su lugar, por lo que funcionó.
Los problemas aparecieron cuando intenté revocar el certificado, no funcionó de la palabra en absoluto: el archivo index.txt necesitaba convertirse al formato unix, pero no lo hice de inmediato. Usó la utilidad dos2unix.
Ahora los certificados fueron revocados, pero continuaron funcionando sin ningún problema, porque Mikrotik no sabía que fueron revocados y necesitaba informar de alguna manera al respecto.
Después de leer las instrucciones, así como de consultar con Alexander ERI (¡muchas gracias!), Tomé un simple servidor http Apache en el servidor de certificación y publiqué un archivo de certificados revocados. Acceso completamente cerrado a él, excepto el archivo publicado desde una ip.
En el terminal Mikrotik, en la pestaña / System / Certificates / CRL, indicaba la ruta a la crl.pem publicada. Aquí debe aclararse que Mikrotik acepta solo http y una dirección absoluta para la pestaña CRL, es decir Debería verse más o menos así:
127.0.0.1/crl/1.crlTodo funcionó, al menos para las versiones 6.4.2.x de RouterOS, pero tuve que crear configuraciones de cliente con mis manos, y esto fue desafortunado para mí y me causó muchos inconvenientes. Cuando en una semana necesitaba crear configuraciones para unos 50 clientes, decidí acelerar este proceso y para esto utilicé un fragmento del script de otra persona que se encuentra en Internet.
El script funciona así: después del inicio, especifique "nombre del cliente", responda la pregunta "establecer una contraseña o no", luego recogemos el archivo de configuración "client.ovpn", con certificados y configuraciones integrados. Para usarlo, debe tener / etc / openvpn. Firmaré un centenar de líneas en las que el camino debe ser reemplazado por el tuyo. También es necesario crear un archivo con la configuración del cliente para que el script los sustituya en el proceso de creación de la configuración.
Después de un tiempo, una nueva prohibición introductoria del acceso remoto obligó a matar tanto a este servidor como al paquete de trabajo con Mikrotik. Se creó un nuevo servidor OpenVPN para el departamento de TI, que ahora funciona completamente en CentOS. Pero esta es una historia completamente diferente.
Expreso mi gratitud a Ivan y Pavel por su ayuda en la edición del artículo.