» VPN: вся информация в этой теме

Alexey777555

Цитата:

можете описать алгоритм настройки с сертификатами ? хотя бы в общем.

ну в общем - там все по доке делаетсо...

для облегчения жизни - через веб интерфейс...
сначала у себя на компе с помощью OpenSSL поднимаещь удостоверяющий центр(СА).
потом на нетскрине генеришь запрос на сертификат(для самого нетскрина) и подписываещь его в своем СА(важно чтоб при подписании у него был nsCertType server). Затем загружаешь сертификат и корневой сертификат на нетскрин. И собственно конфигуришь на нетскрине L2TP, создаешь необходимых пользователей(тип учеткам даешь IKE, L2TP).
На этом с нетскрином и его настройками всё...

Следующий шаг - под каждого пользователя в своем СА генеришь сертификаты, подписываешь их с типом nsCertType client.
И собственно настраиваешь виндового клиента.

конфиг для опенссля могу дать.

Цитата:

ну в общем - там все по доке делаетсо...

для облегчения жизни - через веб интерфейс...
сначала у себя на компе с помощью OpenSSL поднимаещь удостоверяющий центр(СА).
потом на нетскрине генеришь запрос на сертификат(для самого нетскрина) и подписываещь его в своем СА(важно чтоб при подписании у него был nsCertType server). Затем загружаешь сертификат и корневой сертификат на нетскрин. И собственно конфигуришь на нетскрине L2TP, создаешь необходимых пользователей(тип учеткам даешь IKE, L2TP).
На этом с нетскрином и его настройками всё...

Следующий шаг - под каждого пользователя в своем СА генеришь сертификаты, подписываешь их с типом nsCertType client.
И собственно настраиваешь виндового клиента.

конфиг для опенссля могу дать.

А OpenSSL обязятельно использовать? У меня просто поднять stand alone CA на win2k3.

Alexey777555
ну типа можно и
Цитата:

stand alone CA

но я пользуюсь OpenSSL так как могу сам управлять всем... Не доверяю я мелкомягкому...

возникла проблема при создании VPN на ISA 2004
Подключение от пользователя до ИСЫ я организовал, но остается проблема маршрутизации, а может быть и еще в чем, но при подключении пользователь не видит мою сеть, хотя со свой стороны я его пингую

структура подключения примерно следующая

пользователь ИСА (VPN сервер) сеть офиса
192.168.0.1 -----> 192.168.4.5 -------> 192.168.6.0

смысл в том чтобы пользователь подключился к офисной сети и смог достучаться до компов офисов по IP

сейчас получаетя следующее: пользователь подключается но не видит ни одного IP, я же его вижу только с ИСЫ
Как я понимаю просто не настроин маршрут
Вопросы в следующем:
Имеет ли значение установка пула адресов раздающееся от исы криентам ВПН?
Как организовать маршрутизацию от клиента ВПН до офисной сети?

fantome, а при настройке виндового l2tp vpn клиента вы реестр редактировали ?

Alexey777555
в реестре я ничего не менял... А вот после генерации запроса и подписания сертификата клиента я всё упаковывал в PKCS12 и импортировал в хранилище сертификатов винды...
А потом в свойствах подключения указывал использовать сертификат при аутентификации...

Настроил Juniper и win клиента (по этой статье http://kb.juniper.net/kb/documents/public/ApplicationNotes/Technical/ScreenOS%204.0.0/VPN-400-003.htm) ,и во время коннекта виндоый клиент выдает ошибку 786...

Обязательно ли (и для чего ?) при генерации запроса на сертификат на джунипере заполнять поле FQDN ?

Alexey777555

Цитата:

Обязательно ли (и для чего ?) при генерации запроса на сертификат на джунипере заполнять поле FQDN ?

это типа сетевое имя самого нетскрина... Желательно заполнить.

fantome


Цитата:

это типа сетевое имя самого нетскрина...

Это понятно. Но как это используется при аутефикации ?
У меня wan интерфейс на juniper имеет маршрутизоруемый ip, но для него нету записи в DNS. Прорезолвить FQDN по IP не получиться.

Alexey777555

Цитата:

Прорезолвить FQDN по IP не получиться.

да я не уверен, что это вообще потребуется... У нас также не резолвится... Но все работает...

fantome

А какого криптопровайдера вы использовали при генерации сертификатов и какой тип сертификатов: CMC или PKCS10 ?

Alexey777555
ну вапще то ключ должен быть RSA, длиной не менее 2048 бит... Желательно 4096...

Цитата:

какой тип сертификатов: CMC или PKCS10 ?

pkcs10.
Клиентские же сертификаты после генерации лучше перевести в формат pkcs12 для того, чтобы их было удобнее импортировать в хранилище сертификатов винды...

fantome

Что то у меня никак не хочет Juniper работать с сертификатами полученными от Standart stand alone CA...
то клиент выдает 786 ошибку, то на Juniper:

Rejected an IKE packet on untrust from xxx.xxx.xxx.xxx:3712 to xxx.xxx.xxx.xxx:4500 with cookies fd08c867e33aa639 and 61b7fc730b0cbf4c because Phase-1: no user configuration was found for the received IKE ID type: ASN1_DN,9.

Посему думаю поставить OPEN SSL.

Где можно сие взять ?

Alexey777555

Цитата:

Посему думаю поставить OPEN SSL.

openssl.org

А ставить на какую ось будешь???
Я бы советовал на какую-нить *nix-платформу...
вот примерный конфиг для опенссля... У меня с ним все работает...
[more=Читать дальше..]#
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#

# This definition stops the following lines choking if HOME isn't
# defined.
HOME            = /etc/ssl/ca
RANDFILE        = /etc/ssl/ca/private/random.rand    # $ENV::HOME/.rnd

# Extra OBJECT IDENTIFIER info:
#oid_file        = $ENV::HOME/.oid
oid_section        = new_oids

# To use this configuration file with the "-extfile" option of the
# "openssl x509" utility, name here the section containing the
# X.509v3 extensions to use:
# extensions        =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)

[ new_oids ]

# We can add new OIDs in here for use by 'ca' and 'req'.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6

####################################################################
[ ca ]
default_ca    = CA_default        # The default ca section

####################################################################
[ CA_default ]

dir        = /etc/ssl/ca                # Where everything is kept
certs        = $dir/certs                # Where the issued certs are kept
crl_dir        = $dir/crl                # Where the issued crl are kept
database    = $dir/index.txt            # database index file.
unique_subject    = yes                    # Set to 'no' to allow creation of
                            # several certificates with same subject.
new_certs_dir    = $dir/new_certs            # default place for new certs.

certificate    = $dir/certs/ca.crt             # The CA certificate
serial        = $dir/serial/serial.txt         # The current serial number
crlnumber    = $dir/serial/crlnumber.txt        # the current crl number
                            # must be commented out to leave a V1 CRL
crl        = $dir/crl/ca.crl             # The current CRL
private_key    = $dir/private/ca.key            # The private key
RANDFILE    = $dir/private/random.rand        # private random number file

x509_extensions    = v3_req                # The extentions to add to the cert
#copy_extensions = copy

# Comment out the following two lines for the "traditional"
# (and highly broken) format.
name_opt     = ca_default        # Subject Name options
cert_opt     = ca_default        # Certificate field options

# Extension copying option: use with caution.
# copy_extensions = copy

# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
# so this is commented out by default to leave a V1 CRL.
# crlnumber must also be commented out to leave a V1 CRL.
# crl_extensions    = crl_ext

default_days    = 3650            # how long to certify for
default_crl_days= 30            # how long before next CRL
default_md    = sha1            # which md to use.
preserve    = no            # keep passed DN ordering

# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that
policy        = policy_anything

# For the CA policy
[ policy_match ]
countryName        = match
stateOrProvinceName    = supplied
organizationName    = supplied
organizationalUnitName    = supplied
commonName        = supplied
emailAddress        = optional

# For the 'anything' policy
# At this point in time, you must list all acceptable 'object'
# types.
[ policy_anything ]
countryName        = optional
stateOrProvinceName    = optional
localityName        = optional
organizationName    = optional
organizationalUnitName    = optional
commonName        = supplied
emailAddress        = supplied

####################################################################
[ req ]
default_bits        = 4096

default_keyfile     = /etc/ssl/ca/private/ca.key     #private_key

distinguished_name    = req_distinguished_name

req_extensions        = v3_req
x509_extensions        = v3_ca            # The extentions to add to the self signed cert

string_mask = nombstr

# Passwords for private keys if not present they will be prompted for
# input_password = secret
# output_password = secret

# This sets a mask for permitted string types. There are several options.
# default: PrintableString, T61String, BMPString.
# pkix     : PrintableString, BMPString.
# utf8only: only UTF8Strings.
# nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
# MASK:XXXX a literal mask value.
# WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
# so use this option with caution!

[ req_distinguished_name ]

countryName            = Country Name (2 letter code)
countryName_min            = 2
countryName_max            = 2

stateOrProvinceName        = State or Province Name (full name)

localityName            = Locality Name (eg, city)

0.organizationName        = Organization Name (eg, company)
0.organizationName_default    = my company.

# we can do this but it is not needed normally
#1.organizationName        = Second Organization Name (eg, company)
#1.organizationName_default    = World Wide Web Pty Ltd

organizationalUnitName        = Organizational Unit Name (eg, section)
organizationalUnitName_default    = my company Certification Services

commonName            = Common Name (eg, YOUR name)
commonName_default        = my company Root CA
commonName_max            = 64

emailAddress            = Email Address
emailAddress_default        = support@domain.org
emailAddress_max        = 64

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints        = CA:FALSE
crlDistributionPoints        = URI:http://domain.org/crl/ca.crl
authorityInfoAccess        = caIssuers;URI:http://domain.org/cert/ca.crt
keyUsage            = nonRepudiation, digitalSignature, keyEncipherment
nsComment            = "OpenSSL Certificate"

[ v3_req_server ]
basicConstraints        = CA:FALSE
crlDistributionPoints        = URI:http://domain.org/crl/ca.crl
authorityInfoAccess        = caIssuers;URI:http://domain.org/cert/ca.crt
nsCertType            = server
nsComment            = "OpenSSL Certificate for SSL-server"
extendedKeyUsage        = serverAuth
keyUsage            = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectKeyIdentifier        = hash
authorityKeyIdentifier        = keyid:always, issuer:always

[ v3_req_https ]
basicConstraints        = CA:FALSE
crlDistributionPoints        = URI:http://domain.org/crl/ca.crl
authorityInfoAccess        = caIssuers;URI:http://domain.org/cert/ca.crt
nsCertType            = server, client
nsComment            = "OpenSSL Certificate for SSL-server"
extendedKeyUsage        = serverAuth, clientAuth
keyUsage            = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectKeyIdentifier        = hash
authorityKeyIdentifier        = keyid:always, issuer:always

[ v3_req_client ]
basicConstraints        = CA:FALSE
crlDistributionPoints        = URI:http://domain.org/crl/ca.crl
authorityInfoAccess        = caIssuers;URI:http://domain.org/cert/ca.crt
nsCertType            = client
nsComment            = "OpenSSL Certificate for SSL-client"
extendedKeyUsage        = clientAuth
keyUsage            = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectKeyIdentifier        = hash
authorityKeyIdentifier        = keyid:always, issuer:always

[ v3_req_codesign ]
basicConstraints        = CA:FALSE
crlDistributionPoints        = URI:http://domain.org/crl/ca.crl
authorityInfoAccess        = caIssuers;URI:http://domain.org/cert/ca.crt
nsCertType            = objsign
nsComment            = "OpenSSL Certificate for Codesigning"
extendedKeyUsage        = codeSigning, timeStamping
keyUsage            = digitalSignature, nonRepudiation
subjectKeyIdentifier        = hash
authorityKeyIdentifier        = keyid:always, issuer:always


[ v3_ca_self ]
basicConstraints        = critical, CA:TRUE
crlDistributionPoints        = URI:http://domain.org/crl/ca.crl
authorityInfoAccess        = caIssuers;URI:http://domain.org/cert/ca.crt
subjectKeyIdentifier        = hash
nsCertType            = objsign, sslCA, emailCA
keyUsage            = digitalSignature, nonRepudiation, keyCertSign, cRLSign
nsComment            = "OpenSSL CA Certificate"

[ v3_ca ]


# Extensions for a typical CA


# PKIX recommendation.

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid:always,issuer:always

crlDistributionPoints        = URI:http://domain.org/crl/ca.crl
authorityInfoAccess        = caIssuers;URI:http://domain.org/cert/ca.crt

# This is what PKIX recommends but some broken software chokes on critical
# extensions.
#basicConstraints = critical,CA:true
# So we do this instead.
basicConstraints = CA:true

# Key usage: this is typical for a CA certificate. However since it will
# prevent it being used as an test self-signed certificate it is best
# left out by default.
# keyUsage = cRLSign, keyCertSign

# Some might want this also
# nsCertType = sslCA, emailCA

# Include email address in subject alt name: another PKIX recommendation
# subjectAltName=email:copy
# Copy issuer details
# issuerAltName=issuer:copy

# DER hex encoding of an extension: beware experts only!
# obj=DER:02:03
# Where 'obj' is a standard or added object
# You can even override a supported extension:
# basicConstraints= critical, DER:30:03:01:01:FF

[ crl_ext ]

# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.

# issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always,issuer:always

[ proxy_cert_ext ]
# These extensions should be added when creating a proxy certificate

# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.

basicConstraints=CA:FALSE

# Here are some examples of the usage of nsCertType. If it is omitted
# the certificate can be used for anything *except* object signing.

# This is OK for an SSL server.
# nsCertType            = server

# For an object signing certificate this would be used.
# nsCertType = objsign

# For normal client use this is typical
# nsCertType = client, email

# and for everything including object signing:
# nsCertType = client, email, objsign

# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment

# This will be displayed in Netscape's comment listbox.
nsComment            = "OpenSSL Generated Certificate"

# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always

# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy
# An alternative to produce certificates that aren't
# deprecated according to PKIX.
# subjectAltName=email:move

# Copy subject details
# issuerAltName=issuer:copy

#nsCaRevocationUrl        = http://www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName

# This really needs to be in place for it to be a proxy certificate.
proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo[/more]

fantome

Цитата:

А ставить на какую ось будешь???
Я бы советовал на какую-нить *nix-платформу...
вот примерный конфиг для опенссля... У меня с ним все работает...

Вообще планировал на win2k3. Но можно и на Linux.

Open SSL насколько я понимаю , это далеко не только CA ?

Alexey777555

Цитата:

Open SSL насколько я понимаю , это далеко не только CA ?

не только... Но в качестве шифрующей системы его в голую никто не использует...

В основном используют для создания сертификатов...

Такой вопрос назрел замучился уже сам искать - прошу Вашей помощи.
Нужно VPN (RRAS под Win2k3) + IAS(RADIUS)+EAP(сертификаты без смарт карт) .+Cert Autority

такую связку без проблем реализовывал под Enterprice CA + Active Directory

а вот без домена в той же связке только вместо Enterprise CA у меня сейчас Stand Alone CA ничего не получается.
когда пытаюсь на IAS сервере указать EAP + сертификат он мне сообщает что не найден сертификат для аутентификации EAP - как побороть?
если это вообще возможно.

fantome
У вас VPN клиент находится за NAT ?

Можете привести пример как у вас настроен policy ?

Удалось таки заставить работать L2TP/IPSec VPN (DialUp users). Но пока работает если клиент находится не за НАТ. Мне говорили, что Juniper вообще не умеет работать через NAT, если в качестве VPN клиента не использовать родной Netscreen.

fantome, у вас Juniper и VPN клиенты разделены NAT ?

Alexey777555
как тока появлюсь в инете на своем компе отпишусь полнее...
клиент за натом...

Доброго времени суток, есть проблема..
Нужно поставить VPN сервер на комп под управлением Win2003sp1 но не ее "родными спобобами" т.к нужен, по возможности учет трафа и многопользовательское подключение + ужим скорости, пользователь с локальной сети подкрючается к данному VPN серверу после чего получает инет

на компе стоит две сетевухи

локалка
172,20,115,74
255,255,254,0

инет
10,0,0,100
255,255,255,0

инет получается через adsl мопед, который в свою очередь стоит роутером

если кому легче вот ася 249275142

Как раз таки родные способы лучше. Настраиваешь VPN. А дальше например Traffic Inspector.

killmanusr911,
chairday дело говорит - штатных средств для впн достаточно. А трафик учитывай/раздавай хоть самописным перлом - не суть важно.

Други! чета савсем кирдык
"ипитаблез" режет все удп, есть токабродкасты 137, 138 (внутри лана), снаружи тока 53, тцп все заняты
при попытке заюзать 137, 138 - пишет порты заняты... почему так? для удп же вроде пофиг кто их юзает, иль я чего путаю...

и еще.... можноли все ето "завернуть" в ицмп...???!
похоже это единственное, что у меня работает..., пардон, может заработать...
полагаю, опенвпн в этом не помошник, есть ли "альтернативный" сабж? куда думать?

хорошо, вытянул я тот трафик инспектор + сконфигурирывал, но я никак не могу понять, как трафик инспектор будет следить за впн трафом и урезом скорости и ессь надо то как его настроить ... ?
иначе говоря как связать этот прокси с впн ?
и после установки проги у мну мул (eMule) начал выдавать LowID вместо HighID при этом брандмауер служба не запущена, других фаерволов нима

Как подключить комп с dial up модемом к сети с adsl

Купив модем aDSL

Добавлено:
Но vpn причём тут...

Есть железный рутер D-Link с поддержкой VPN, в него включен провайдер. От Длинка идёт кабель в сервак на Win2003 с Kerio VPN WinRoute, который уже раздаёт инет в сетку через отдельный интерфейс.
Вопрос: где лучше настраивать VPN, на Длинке или всё-таки на Kerio?

Доброго времени суток, господа!
Помогите, пожалуйста, ссылками (сам хочу научиться) или советами!

Есть пять офисов в разных городах, торговля. Надо связать офисы по инету в VPN. А именно нужно связать всех клиентов (офисы) с одной базой 1С:Бухгалтерия-восьмерка.

Вопрос в том, какую аппаратуру надо докупить или как поднять VPN-сервер под WIn2003?

Вообще как грамотно и надежно это организовать?


Буду рад даже ссылочкам, сам почитал бы с удовольствием. Или жду советов =)

AdUser
У меня стоят роутеры линуховые в каждом офисе...на них OpenVPN...все хорошо работает.

Если есть много денег, то можно купить решение CISCO, но тогда на форуме можно ничего не спрашивать