Openv**

Openv**Openv**1.需求由于公司做登保三,做系统渗透需要登录内网的机器如下:10网段用来做外网IP172网段用来做内网IP机器内网IP外网IPvpn1172.16.1.1110.0.0.11vpn2172.16.1.1210.0.0.12(搭建完成后,会ifdown掉进行测

大家好,欢迎来到IT知识分享网。Openv**"

Openv**


1.需求

由于公司做登保三,做系统渗透需要登录内网的机器
如下:10网段用来做外网IP
      172网段用来做内网IP
机器 内网IP 外网IP
vpn1 172.16.1.11 10.0.0.11
vpn2 172.16.1.12 10.0.0.12(搭建完成后,会if down掉进行测试)

2.实现过程

服务端

1.使用easy-rsa秘钥生成工具生成证书

[root@m01 ~]# yum install easy-rsa -y

2.生成秘钥证书前,需要准备vars文件

[root@m01 ~]# mkdir /opt/easy-rsa
[root@m01 ~]# cd /opt/easy-rsa/
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/easy-rsa/3.0.8/* ./
[root@m01 easy-rsa]# /usr/bin/cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example ./vars
[root@m01 easy-rsa]# vim vars
if [ -z "$EASYRSA_CALLER" ]; then
        echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
        echo "This is no longer necessary and is disallowed. See the section called" >&2
        echo "'How to use this file' near the top comments for more details." >&2
        return 1
fi
set_var EASYRSA_DN	"cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Beijing"
set_var EASYRSA_REQ_CITY "Shanghai"
set_var EASYRSA_REQ_ORG "ols"
set_var EASYRSA_REQ_EMAIL "xuliangwei@foxmail.com"
set_var EASYRSA_NS_SUPPORT "yes"

3.初始化生成证书

#1.初始化,在当前目录创建PKI目录,用于存储证书
[root@m01 easy-rsa]# ./easyrsa init-pki

#2.创建根证书,会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他可默认
[root@m01 easy-rsa]# ./easyrsa build-ca

#3.创建server端证书和私钥文件,nopass表示不加密私钥文件,其他可默认
[root@m01 easy-rsa]# ./easyrsa gen-req  server nopass

#4.给server端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码
[root@m01 easy-rsa]# ./easyrsa sign server  server

#5.创建Diffie-Hellman文件,秘钥交换时的DiffieHellman算法
[root@m01 easy-rsa]# ./easyrsa gen-dh

#6.创建client端证书和私钥文件,nopass表示不加密私钥文件,其他可默认
[root@m01 easy-rsa]# ./easyrsa gen-req  client nopass

#7.给client端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码
[root@m01 easy-rsa]# ./easyrsa sign client client

4.安装openvpn服务

[root@m01 ~]# yum install openvpn -y

注意:一定要调时间,与当前时间一致!!!!

时间问题解决:

date -R
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
ntpdate ntp1.aliyun.com
#这三步应该就可以解决

5.配置openvpn服务

[root@m01 ~]# cp /usr/share/doc/openvpn-2.4.9/sample/sample-config-files/server.conf  /etc/openvpn/
[root@web01 openvpn]# vim server.conf
port 1194                               #端口
proto udp                               #协议
dev tun                                 #采用路由隧道模式tun
ca ca.crt                               #ca证书文件位置
cert server.crt                         #服务端公钥名称
key server.key                          #服务端私钥名称
dh dh.pem                               #交换证书
server 10.8.0.0 255.255.255.0           #给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
push "route 172.16.1.0 255.255.255.0"   #允许客户端访问内网172.16.1.0网段
ifconfig-pool-persist ipp.txt           #地址池记录文件位置
keepalive 10 120                        #存活时间,10秒ping一次,120 如未收到响应则视为断线
max-clients 100                         #最多允许100个客户端连接
status openvpn-status.log               #日志记录位置
verb 3                                  #openvpn版本
client-to-client                        #客户端与客户端之间支持通信
log /var/log/openvpn.log                #openvpn日志记录位置
persist-key     #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun     #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
duplicate-cn

6.根据配置需要文件中定义,需要拷贝openvpnServer端用到 的证书至/etc/openvpn目录中

[root@vpn easy-rsa]#cd /etc/openvpn/     
[root@vpn openvpn]# cp /opt/easy-rsa/pki/ca.crt ./
[root@vpn openvpn]# cp /opt/easy-rsa/pki/issued/server.crt ./
[root@vpn openvpn]# cp /opt/easy-rsa/pki/private/server.key ./
[root@vpn openvpn]# cp /opt/easy-rsa/pki/dh.pem ./

7.开启内核转发功能。否则会出现无法启动openvpn请求

[root@m01 ~]# echo "net.ipv4.ip_forward = 1"  >> /etc/sysctl.conf
[root@m01 ~]# systemctl restart network

8.启动openvpn服务并加入开机自启

[root@m01 ~]# systemctl -f enable openvpn@server.service #设置启动文件


[root@m01 ~]# systemctl start openvpn@server.service     #启动openvpn服务

客户端

Linux客户端:

1.首先在linux端安装openvpn

[root@openvpn-client ~]# yum install openvpn -y

2.下载服务端上的客户端公钥与私钥以及Ca证书至客户端

[root@openvpn-client ~]# cd /etc/openvpn/
[root@openvpn-client openvpn]# scp root@172.16.1.61:/opt/easy-rsa/pki/ca.crt ./
[root@openvpn-client openvpn]# scp root@172.16.1.61:/opt/easyrsa/pki/issued/client.crt ./
[root@openvpn-client openvpn]# scp root@172.16.1.61:/opt/easyrsa/pki/private/client.key ./

3.客户端有了公钥和私钥后,还需要准备对应的客户端配置 文件

[root@openvpn-client openvpn]# vim /etc/openvpn/clinet.ovpn
client                  #指定当前VPN是客户端
dev tun                 #使用tun隧道传输协议
proto udp               #使用udp协议传输数据
remote 10.0.0.201 1194   #openvpn服务器IP地址端口号
resolv-retry infinite   #断线自动重新连接,在网络不稳定的情况下非常有用
nobind                  #不绑定本地特定的端口号
ca ca.crt               #指定CA证书的文件路径
cert client.crt         #指定当前客户端的证书文件路径
key client.key          #指定当前客户端的私钥文件路径
verb 3                  #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key     #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun     #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup

4.启动Linux的openvpn客户端

[root@openvpn-client ~]# openvpn --daemon --cd /etc/openvpn --config client.ovpn --logappend /var/log/openvpn.log

# --daemon:openvpn以daemon方式启动。
# --cd dir:配置文件的目录,openvpn初始化前,先切换到此目录。
# --config file:客户端配置文件的路径。
# --log-append file:日志文件路径,如果文件不存在会自动创建。

Windows客户端:

1.首先在Windows端安装openvpn

2.下载服务端生成的客户端密钥文件和ca文件至windows指定 C:\Program Files\OpenVPN\config 目录中

[root@openvpn ~]# cd /etc/openvpn/
[root@openvpn openvpn]# sz /opt/easyrsa/pki/ca.crt
[root@openvpn openvpn]# sz /opt/easyrsa/pki/issued/client.crt
[root@openvpn openvpn]# sz /opt/easyrsa/pki/private/client.key

3.在C:\Program Files\OpenVPN\config 创建一个客户端配置 文件,名称叫client.ovpn,内容如下

client                  #指定当前VPN是客户端
dev tun                 #使用tun隧道传输协议
proto udp               #使用udp协议传输数据
remote 10.0.0.201 1194   #openvpn服务器IP地址端口号
resolv-retry infinite   #断线自动重新连接,在网络不稳定的情况下非常有用
nobind                  #不绑定本地特定的端口号
ca ca.crt               #指定CA证书的文件路径
cert client.crt         #指定当前客户端的证书文件路径
key client.key          #指定当前客户端的私钥文件路径
verb 3                  #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key     #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun     #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup

4.双击运行openvpn,然后连接即可

5.查看openvpn服务推送过来的路由信息

#windows查看推送过来的路由信息
# route print -4

6.如果客户端是MacOS,则进行如下操作

#https://www.jianshu.com/p/a5fd8dc95ad4
#如果是mac电脑,需要将所有的文件放入一个文件夹中,然后将文件夹的名称修改为tblk

3.5.OpenVPN访问内网网段

  • 抓包分析数据包能抵达openvpn的内网地址,但无法与 OpenVPN服务同内网网段主机进行通信,因为后端主机没有 回10.8.0.0的路由,所以会导致无法ping通,可以在后端主机 增加一条抵达10.8.0.0的路由.
[root@web01 ~]# ping 172.16.1.7
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
#在后端的主机上抓包分析,发现能接收到数据包,但没有回去的路由所以还是无法通信


[root@web01 ~]# tcpdump -i eth1
01:12:29.394601 IP 10.8.0.6 > web01: ICMP
echo request, id 61147, seq 107, length 64
01:12:30.298996 IP 10.8.0.6 > web01: ICMP
echo request, id 61147, seq 108, length 64

解决办法一:在后端主机添加抵达去往10.8.0.0网段的走 openvpn 的内网地址即可

#指定添加去往10.8.0.0网段走openvpn内网
[root@web01 ~]# route add -net 10.8.0.0/24 gw  172.16.1.201


#添加完路由后在抓包查看
[root@web01 ~]# tcpdump -i eth1
17:51:36.053959 IP 172.16.1.7 > 10.8.0.10:
ICMP echo reply, id 1, seq 420, length 40
17:51:37.057545 IP 10.8.0.10 > 172.16.1.7:
ICMP echo request, id 1, seq 421, length 40

PS:如上的配置需要在所有后端主机添加,如果机器量过多,那 么添加起来非常的麻烦,建议使用firewalld防火墙的NAT转发 功能(也叫ip地址伪装)

解决办法二:在vpn服务器上配置防火墙转发规则
[root@m01 ~]# systemctl start firewalld
[root@m01 ~]# firewall-cmd –addservice=openvpn –permanent
[root@m01 ~]# firewall-cmd –add-masquerade –permanent
[root@m01 ~]# firewall-cmd –reload

4.OpenVPN双重认证方式

  • OpenVPN秘钥+用户名密码双重验证登录
  • 为什么使用“OpenVPN秘钥+用户名密码双重验证登录”
    • 因为很多人使用密匙和证书,公司员工离职,不能吊销证书,其仍然可以登服务器,会造成安全隐患。那么,以我们就 需要秘钥加用户名密码,这样就可以多个用户使用同一个证 书,使用不同的用户名和密码。新用户加入的时候,只需要添加一个用户名和密码,如果有 人不需要VPN的时候,直接删除用户名和密码就可以。

首先需要确保能使用秘钥成功连接OpenVPN服务,然后在配 置秘钥+用户名密码验证登录方式。

配置如下:

1.修改Server端配置文件(server.conf),添加以下三行代码,使其服务端支 持密码认证方式

script-security 3 #允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env
username-as-common-name #用户密码登陆方式验证

#注:如果加上client-cert-not-required则代表只使用用户名密码方式验证登录,如果不加,则代表需要证书和用户名密码双重验证登录!

2.在/etc/openvpn/目录下创建check.sh文件,直接复制粘贴以 下代码也可以

[root@m01 ~]# vim /etc/openvpn/check.sh
#!/bin/sh
###########################################################
PASSFILE="/etc/openvpn/openvpnfile"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`

	if [ ! -r "${PASSFILE}" ]; then
	  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
	  exit 1
	fi

	CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`

	if [ "${CORRECT_PASSWORD}" = "" ]; then
	  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
	  	  exit 1
	  	  fi
	if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
	  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
	  exit 0
	fi
	echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1


#记得给脚本添加可执行权限
[root@m01 ~]# chmod +x /etc/openvpn/check.sh

3.创建check.sh脚本中定义openvpn需要使用的用户和密码认 证文件

[root@m01 ~]# cat /etc/openvpn/openvpnfile 
old 123456 #前面是用户名称,后面是密码(格式严谨)

4.重启OpenVPN服务,客户端测试登陆

[root@m01 ~]# systemctl restart openvpn@server

5.修改客户端配置文件client.ovpn,添加如下代码

auth-user-pass #用户密码认证

6.使用客户端登陆测试是否需要密码认证

7.用户登陆后,可通过日志查看什么时间登陆,什么用户

[root@openvpn ~]# tail -f /var/log/openvpn-password.log
2019-01-19 18:24:30: Successful
authentication: username="old".
2019-01-19 18:26:58: User does not exist:
username="old", password="123456"

Ansible实现openvpn(未测试过)

#ansible实现openvpn

- name: YUM INSATLL easy
  yum:
    name: "{{ item }}"
    state: present
  loop:
    - openvpn
    - easy-rsa
    - pexpect

- name: Create Openvpn Key Directory
  file:
    path: /opt/easy-rsa
    state: directory

- name: Copy Easyrsa All Configure
  copy:
    remote_src: yes
    src: /usr/share/easy-rsa/3/
    dest: /opt/easy-rsa

- name: configure vars
  template:
    src: '{{ item.src }}'
    dest: '{{ item.dest }}'
  loop:
    - { src: vars.j2, dest: /opt/easy-rsa/vars }
    - { src: openvpn_server.conf.j2, dest: /etc/openvpn/server.conf }

- name: Easyrsa Init-pki
  expect:
    command: ./easyrsa init-pki
    chdir: /opt/easy-rsa/
    responses:
      (?i)Confirm removal: "\n"

- name: Easyrsa build-ca
  expect:
    command: ./easyrsa build-ca
    chdir: /opt/easy-rsa/
    responses:
      (?i)Enter New CA: "123456\n"
      (?i)Re-Enter New CA: "123456\n"
      (?i)Common Name:  "\n"

- name: Easyrsa gen-req server nopass
  expect:
    command: ./easyrsa gen-req server nopass
    chdir: /opt/easy-rsa/
    responses:
      (?i)Common Name: "\n"
      (?i)Overwrite: "\n"

- name: Easyrsa sign server
  expect:
    command: ./easyrsa sign server server
    chdir:  /opt/easy-rsa/
    responses:
      (?i)Confirm request details: "yes\n"
      (?i)Enter pass phrase: "123456\n"

- name: Easyrsa gen-dh
  expect:
    command: ./easyrsa gen-dh
    chdir: /opt/easy-rsa/
    responses:
      (?i) Overwrite?: "\n"
    timeout: null
  
- name: Easyrsa gen-req client nopass
  expect:
    command: ./easyrsa gen-req client nopass
    chdir: /opt/easy-rsa/
    responses:
      (?i)Common Name : "\n"
      (?i)overwrite: "\n"

- name: Easyrsa sign client client
  expect:
    command: ./easyrsa sign client client
    chdir: /opt/easy-rsa/
    responses:
      (?i)Confirm request details: "yes\n"
      (?i)Overwrite: "\n"
      (?i)Enter pass phrase: "123456\n"

- name: COPY openvpn
  copy:
    src: "/opt/easy-rsa/pki/{{ item }}"
    dest: /etc/openvpn
    remote_src: yes
  loop:
    - ca.crt
    - dh.pem
    - private/server.key
    - issued/server.crt

- name: Create backup
  file:
    path: /backup
    state: directory

- name: COPY openvpn
  copy:
    src: "{{ item.src }}"
    dest: /backup
    remote_src: yes
  loop:
    - {src: /opt/easy-rsa/pki/private/client.key }
    - {src: /opt/easy-rsa/pki/issued/client.crt }
    - {src: /opt/easy-rsa/pki/ca.crt }

- name: systemd openvpn
  systemd: 
    name: openvpn@server.service
    state: started
    enabled: yes

- name: systemd firewalld
  systemd:
    name: firewalld
    state: started

- name: add openvon_server
  firewalld:
    port: 1194/udp
    permanent: yes
    immediate: yes
    state: enabled

- name: OPen firewalld
  firewalld:
    masquerade: yes
    state: enabled
    permanent: yes
    immediate: yes
    zone: public

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/33251.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信