Комментарии 36
Конечно ipsec ike v2
Mikrotik его умеет с аппаратным ускорением
Вот если что репозиторий со скриптом, реализующим базовые потребности в настройке openVPN-сервера и генерации клиентских ключей и конфигов
Второй сниппет с кодом очень сильно напоминает часть кода из репозитория.
Серьёзно. Хватит. Не нужно отключать системы безопасности только по той причине, что вам лень их настраивать.
Другой вопрос — что мешало взять вам какой-нибудь pfsense/opnsense и настраивать vpn с пользователями, сертификатами и прочим в красивых окошках веб-интерфейса?
Вопрос номер три — вы уверены, что с «proto udp» у вас всё заработает? Насколько помню, mikrotik не умеет openvpn через udp, только через tcp.
«sudo chown -R Admin:Admin /var/log»
А вот это вообще ад. Привет поломанным логам всего подряд. Пожалуйста, не надо создавать статьи из вредных советов, вы — не Григорий Остер.
ещё на центосах включен жесткий firewalld по умолчанию
cat <<EOF > /etc/firewalld/services/openvpnextra.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<port protocol="udp" port="8080"/>
<port protocol="tcp" port="8080"/>
</service>
EOF
firewall-cmd --permanent --zone=public --add-service=openvpnextra
По selinux
semanage port -a -t openvpn_port_t -p tcp 8080
semanage port -a -t openvpn_port_t -p udp 8080
И смотреть аудит дальше какого параметра ещё не хватило…
semanage port -m -t openvpn_port_t -p tcp 8080
semanage port -m -t openvpn_port_t -p udp 8080
Про firewalld хорошее замечание (я про него постоянно забываю). В принципе указанного вами должно хватить, у меня так и настроено. Идущие в комплекте права на selinux дают все необходимое из коробки.
но если не запущен на 1194, то на второй строчке нужно всетаки -a чтоб не перетереть tcp версию.
-a не сработает, если порт уже используется другим правилом
[root@server]# semanage port -l | grep ssh
ssh_port_t tcp 22
[root@server]# semanage port -a -t ssh_port_t -p tcp 443
ValueError: Port tcp/443 already defined
[root@server]# semanage port -m -t ssh_port_t -p tcp 443
[root@server]# semanage port -l | grep ssh
ssh_port_t tcp 443, 22
Включаем аудит
semodule -DB
Ищем что нужно добавить
ausearch -ts today | audit2allow
Добавляем разрешений в модуль
ausearch -ts today | audit2allow -M module_name
Собираем и применяем модуль
semodule -i module_name.pp
Проверяем установку
semodule -l | grep module_name
Повторить сначала, если не помогло
Выключаем аудит
semodule -B
И так до победного, потом делаем результирующий модуль, в котором есть все нужные разрешения, а лишнее, конечно, удаляем. Полдня превращаются в полчаса
А вот это вообще ад.
Я и сейчас не вижу ничего плохого в этой строке. Можете объяснить?
Пользователей у Вас не один и не два. Тут имеются ввиду системные записи.
cat /etc/group | wc -l
После таких изменений прав обычно первым страдает Xserver. Правда сейчас многогие сервисы перешли на лог в журнале
sudo chown -R Admin:Admin /etc/sysctl.conf
chmod 755 /etc/sysctl.conf
echo net.ipv4.ip_forward=1 >>/etc/sysctl.conf
Можно же просто использовать sudo с echo, зачем ломать права на файлы и папки. И chown без sudo в данном случае все равно не сработает. Ну и echo без одинарных кавычек не по феншую, можно нарваться на выполнение непойми какой команды или интерпретации спецсимвола, вместо вывода текста. Далее такие же ошибки.
Согласен, учту. Это верно.
И chown без sudo в данном случае все равно не сработает
Срабатывает. Прежде чем отправить я проверил скрипт в машине на CentOS.
Ну и echo без одинарных кавычек не по феншую,
Если можно подробнее, я мог что-то упустить
Организовывать шлюз на базе pfsense если на обоих концах статические адреса. Или opensense если на одном конце адрес есть, а на точках нет. Ddns адреса тоже будут работать — проверенно. Мне пришлось искать помощи что бы дописали pfsense под работу без статики на конечных точках, но теперь всё работает. Отличный гибкий фаеврвол для защиты сети офиса. Openvpn и ipsec сервер с gui, менеджером сертификатов и т.д. все что нужно и не нужно в нем есть. Работает на базе китайского мини ПК с 2 Гб ОЗУ и 30 Гб m.ssd. легко создаются резервные копии, администрирование через web gui. У меня работает для обмена данными с магазинами через openvpn, объединение удаленных сегментов сетей через ipsec, раздача интернета внутри офиса
Общее количество подключений около 70.
cat << EOF > file
. так удобней.Закрывать доступ к списку отзыва не понятно. Сертификаты (открытая часть) и список отзыва должны быть доступны для чтения всем на мой взгляд. Их можно открыть виндовой (и линуксовой) утилитой и посмотреть.
п.с. О, я в телевизоре)
Связка OpenVPN на Windows Server и Mikrotik с миграцией этого добра в Linux