Последнее изменение файла: 2009.06.11
Скопировано с www.bog.pp.ru: 2024.04.20

Bog BOS: Реализация VPN с помощью PPP через SSH

В статье описывается метод объединение сетей по закрытому каналу с помощью протокола PPP в сессии SSH с использованием выделенного канала (или Интернет). Суть метода состоит в установлении SSH соединения между реальными интерфейсами (аутентификация и шифрование) и запуске PPP серверов на обоих концах канала с созданием виртуального канала (маршрутизация сетей). Не подходит, если ожидается большой поток UDP (скорость сильно падает и очень большая загрузка ЦП). Рекомендуется ознакомиться с предварительными сведениями о VPN.

Последовательность действий:

• предварительная подготовка
• создание выделенных под SSH сессию пользователей на обоих шлюзах
• настройке выделенного ssh-сервера на приёмном шлюзе
• настройка ppp (маршрутизация на шлюзах)
• настройка sudo на обоих шлюзах
• тестовое соединение вручную
• автоматизация соединения
• обработка падений канала и неудачного первого соединения
• настройка маршрутов и DNS

Пусть нам предстоит объединенить сети 192.168.0.0/23 и 10.101.0.0/16 с помощью программных маршрутизаторов на основе CentOS 5 и CentOS 4. Маршрутизаторы соединены выделенным каналом с окончаниями Ethernet. Первый маршрутизатор имеет интерфейс локальной сети eth1 (192.168.1.96) и интерфейс выделенного канала eth2 (192.168.179.6), будущий интерфейс ppp0 (192.168.254.253). Второй маршрутизатор имеет интерфейс локальной сети eth2 (10.101.0.6) и интерфейс выделенного канала eth4 (192.168.4.6), будущий интерфейс ppp0 (192.168.254.254). Предполагается, что узлы соединяемых сетей настроены на использование 192.168.1.96 (или 10.101.0.6) в качестве шлюза по умолчанию.

Предварительная подготовка заключается в планировании работ и некоторых подготовительных действиях:

• убедиться, что маршрутизация включена (в /etc/rc.d/rc.local команду "echo 1 > /proc/sys/net/ipv4/ip_forward")
• запретить маршрутизацию через выделенный канал на обоих концах (в /etc/rc.d/rc.local команду "echo 0 > /proc/sys/net/ipv4/conf/ethX/forwarding")
• заблокировать всё (кроме ping) в iptables для выделенного канала и будущего туннеля, подключить eth4, для интерфейса 192.168.4.6
  -A OUTPUT -p ALL -s 192.168.4.6 -j ACCEPT
  -A OUTPUT -p ALL -s 192.168.254.253 -j ACCEPT
  -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  -A INPUT -p icmp -j icmp_packets
  -A INPUT -i eth4 -j DROP
  -A INPUT -i ppp0 -j DROP
  -A FORWARD -i ppp0 -j DROP
• заблокировать всё (кроме ping) в iptables для выделенного канала и будущего туннеля, подключить eth2, для интерфейса 192.168.179.6
  -A OUTPUT -p ALL -s 192.168.179.6 -j ACCEPT
  -A OUTPUT -p ALL -s 192.168.254.254 -j ACCEPT
  -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  -A INPUT -p icmp -j icmp_packets
  -A INPUT -i eth2 -j DROP
  -A INPUT -i ppp0 -j DROP
  -A FORWARD -i ppp0 -j DROP
• обеспечить маршрутизацию между концами выделенного канала (route add -net 192.168.179.0 netmask 255.255.255.0 gw 192.168.4.6
  и
  route add -net 192.168.4.0 netmask 255.255.255.0 gw 192.168.179.6)
• мониторинг работоспособности выделенного канала

Для создания SSH соединения желательно использовать выделенных пользователей с ограниченными правами:

• создать группу vpn (groupadd vpn) на обоих шлюзах
• создать пользователя vpnuser1 в группе vpn с фиктивным паролем ('*' в /etc/shadow, но не '!!') на обоих шлюзах
• создать беспарольный ssh-ключ на 192.168.4.6 в ~vpnuser1/.ssh/vpn:
  ssh-keygen -t dsa -N '' -f ~vpnuser1/.ssh/vpn (права доступа к .ssh - 700, к .ssh/vpn - 600)
• настроить клиента на 192.168.4.6 в ~vpnuser1/.ssh/config

        Host vpn1
        HostName 192.168.179.6
        Port 23
        PreferredAuthentications publickey
        Protocol 2
        IdentityFile ~/.ssh/vpn
  

• публичный ключ скопировать в ~vpnuser1/.ssh/authorized_keys на 192.168.179.6 с указанием выполняемой команды (для начала "uname -a") и запретом перенаправления портов, агента и X (права доступа к .ssh - 700, к authorized_keys - 600), но с разрешением pty

Для нашей SSH сессии желательно использовать выделенный SSH сервер, настроенный более жёстко, чем обычный. В частности, соединение будет осуществляться только по ассиметричным ключам, выделенному пользователю будет закрыт обычный вход в систему. Этот сервер запускается на нестандартном порту, обслуживает только пользователя vpnuser1, /etc/ssh/sshd_config_vpn1:

Port 23
ListenAddress 192.168.179.6
AllowUsers vpnuser1
AllowTcpForwarding no
ChallengeResponseAuthentication no
ClientAliveInterval 20
Compression yes
GatewayPorts no
HostbasedAuthentication no
IgnoreRhosts yes
IgnoreUserKnownHosts yes
TCPKeepAlive yes
LogLevel INFO
PasswordAuthentication no
PermitEmptyPasswords no
PermitUserEnvironment no
PermitRootLogin no
PrintMotd no
Protocol 2
PubkeyAuthentication yes
UseDNS no
RhostsRSAAuthentication no
RSAAuthentication no
SkeyAuthentication no
StrictModes yes
#Subsystem       sftp    /usr/libexec/openssh/sftp-server
SyslogFacility AUTHPRIV
UsePAM no
X11Forwarding no
X11UseLocalhost no

Создаём сервис ssh_vpn1 по образу и подобию сервиса ssh

• /etc/sysconfig/sshd_vpn1
• /etc/init.d/sshd_vpn1 (надо немножко отредактировать внутри)
• /etc/ssh/sshd_config_vpn1 (см. выше)
• chkconfig --add sshd_vpn1
• chkconfig --level 345 sshd_vpn1 on
• в iptables на сервере разрешить доступ к порту 23 через eth2 только с 192.168.4.6
• service ssh_vpn1 start
• обменяться ключами серверов в /etc/ssh/ssh_known_hosts
• тестирование подключения клиента (должны получить вывод "uname -a"):
  vpnuser1@клиент$ ssh -t vpn1

• установить все требуемые программы (пакет ppp)
• при создании интерфейса на шлюзах должны быть автоматически подняты маршруты для доступа в соседнюю подсеть, для этого надо создать скрипты /etc/ppp/ip-up.local (и дать права на выполнение):
  клиент: route add -net 192.168.0.0/24 gw 192.168.254.254
  сервер: route add -net 10.101.0.0/16 gw 192.168.254.253
  
• вспомогательный скрипт /etc/ppp/vpn1 (u+x) на клиентском шлюзе:
  #!/bin/bash
  sudo -u vpnuser1 ssh -t -t -enone -oBatchMode=yes vpn1

Наш непривилегированный пользователь vpnuser1 должен иметь возможность запускать сервер pppd на обоих шлюзах (в автоматическом режиме только на приёмном конце). Для предоставления ему таких полномочий используем подсистему sudo, /etc/sudoers (используется exempt_group, т.к. NOPASSWD не работает; обязательно использовать visudo):

клиент (CentOS 4)
Defaults    mail_always
Defaults    path_info
Defaults    !requiretty
Defaults    root_sudo
Defaults    exempt_group = vpn
Defaults    !lecture
vpnuser1    имя-хоста-клиента = /usr/sbin/pppd

сервер (CentOS 5)
Defaults    mail_always
Defaults    path_info
Defaults    !requiretty
Defaults    !root_sudo
Defaults    exempt_group = vpn
Defaults    lecture = never
vpnuser1    имя-хоста-клиента = /usr/sbin/pppd

Необходимо протестировать работу VPN при ручном запуске:

• меняем в ~vpnuser1/.ssh/authorized_keys на 192.168.179.6 команду "uname -a" на
  sudo /usr/sbin/pppd noauth 192.168.254.254:192.168.254.253
• поднимаем PPP-соединение поверх SSH:
  sudo /usr/sbin/pppd nodetach noauth pty /etc/ppp/vpn1
• проверка связи между концами (ifconfig, ping, route) на обеих сторонах
• проверка связи между узлами сетей (ping, предполагается, что шлюзы VPN настроены как шлюзы для клиентов (default route)

После того, как мы убедились в работоспособности VPN, обеспечим возможность автоматического соединения при загрузке ОС, создав новую службу vpn1, например из службы syslog, /etc/init.d/vpn1 (права доступа на выполнение):

#!/bin/bash
#
# vpn1        Starts PPP over SSH (vpn1)
#
#
# chkconfig: 2345 13 87
# description: Starts PPP over SSH (vpn1)
### BEGIN INIT INFO
# Provides: $vpn1
# Required-Start: $network $local_fs
# Required-Stop: $network $local_fs
# Default-Start:  2 3 4 5
# Default-Stop: 0 1 6
### END INIT INFO

# Source function library.
. /etc/init.d/functions

RETVAL=0

umask 077

start() {
        echo -n $"Starting vpn1: "
        daemon /usr/sbin/pppd updetach noauth pty /etc/ppp/vpn1
        RETVAL=$?
        echo
        [ $RETVAL -eq 0 ] && touch /var/lock/subsys/vpn1
        return $RETVAL
}
stop() {
        echo -n $"Shutting down vpn1: "
        killproc ppp0
        echo
        RETVAL=$?
        [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/vpn1
        return $RETVAL
}
rhstatus() {
        status vpn1
}
restart() {
        stop
        start
}

case "$1" in
  start)
        start
        ;;
  stop)
        stop
        ;;
  status)
        rhstatus
        ;;
  restart|reload)
        restart
        ;;
  condrestart)
        [ -f /var/lock/subsys/vpn1 ] &∓ restart || :
        ;;
  *)
        echo $"Usage: $0 {start|stop|status|restart|condrestart}"
        exit 1
esac

exit $?

Созданный нами сервис необходимо опробовать командой "service vpn1 start" (опробовать также stop и status) и добавить в процесс автоматического запуска при загрузке ОС: "chkconfig --add vpn1".

Для обработки неудачных соединений (например, если клиентский шлюз загрузился раньше серверного) и падений выделенного канала необходимо написать скрипт, проверяющий наличие соединения /etc/ppp/vpn1_restart.sh (u+x) и вызывать его с помощью cron, например, каждые 5 минут:

#!/bin/bash
if [ `/sbin/ip r|grep 192.168.254.254|wc -l` -lt 1 ]
then
  /etc/init.d/vpn1 start
fi

В Fedore 10 начали ограничивать доступ к портам и системным функциям

semanage port -a -t pppd_t -p tcp номер-порта
ещё штук 20 ограничений - плюнул и перевёл в режим Permissive