10.5 Настройка OpenVPN-ГОСТ

Подготовка системы.          

Для установки пакетов менеджером yum необходимо иметь права суперпользователя. Убедитесь, что ваш пользователь имеет доступ к sudo. Выполните команду:

# sudo su

Если выдаст ошибку, то добавьте пользователя в группу wheel. Итак, если текущим является root, введите:

# gpasswd -a username wheel

Если текущим является пользователь с привилегиями sudo:

# sudo gpasswd -a username wheel

Теперь новый пользователь имеет возможность запускать команды с правами администратора.

Для того, что бы не приходилось при каждой команде писать sudo выполните:

# sudo su

Обновите систему командой:

# sudo yum update

Для отключения SeLinux в файле /etc/selinux/config замените строку SELINUX=enforcing на SELINUX=disabled. Для редактирования воспользуйтесь любым текстовым редактором. Для начинающих будет удобен редактор nano. Установить его можно командой:

# nano /etc/selinux/config

SELINUX=disabled

И выполните команду

setenforce 0

Установка “МагПро OpenVPN-ГОСТ” сервер

Нужно установить все зависимости.

# yum –y install perl
# yum –y install perl-WWW-Curl

И непосредственно сам vpn клиент-сервер:

# rpm –ihv centos-openvpn/packages-x86_64/openssl-r-1.0.1c-cc1_around.x86_64.rpm
# rpm –ihv centos-openvpn/packages-x86_64/libcryptopro-openssl-r-1.0.1c-cc1_around.x86_64.rpm
# rpm –ihv centos-openvpn/packages-x86_64/openvpn-2.1.4-1cc_around.x86_64.rpm

Скиньте файл лицензии сервера  cryptocom.lic в /opt/cryptopack2/ssl

Создание сертификатов

Скопируйте папку с утилитой easy-gost в /etc/openvpn-gost.

Теперь для удобства зайдите в каталог /etc/openvpn-gost/easy-gost:

# cd /etc/openvpn-gost /easy-gost

Проверьте, имеют ли файлы  easy-gost.sh,  mkkey_32,  mkkey_64 ключ выполнения. Если нет, то выполните команду

# chmod +x mkkey_32 && chmod +x mkkey_64 && chmod +x easy-gost.sh

Выполните скрипт генерации ключей.

# ./easy-gost.sh

Следуйте инструкциям скрипта:

  • нажмите p для выбора пункта «p. Сгенерировать ключи УЦ» и следуйте инструкциям;
  • далее сгенерируйте комплект ключей сервера и клиента выбирая пункты «s. Сгенерировать комплект ключей сервера» и «u. Сгенерировать комплект ключей клиента»;
  • сгенерируйте затравку для ДСЧ.

У вас в текущем каталоге появится папка demoCA. В ней файл cacert.pem является корневым сертификатом созданного центра сертификации. Переименуйте его в ca.crt и скопируйте в папку  /etc/openvpn-gost.

# cp /etc/openvpn-gost/easy-gost/demoCA/cacert.pem  /etc/openvpn-gost /ca.crt

Так же скопируйте сертификат и ключ сервера в /etc/openvpn-gost

# cp /etc/openvpn-gost/easy-gost/demoCA/private/server.key  /etc/openvpn-gost /server.key 
# cp /etc/openvpn-gost/easy-gost/demoCA/newcerts/server.crt  /etc/openvpn-gost /server.crt

Отредактируйте конфиг сервера приведя его к следующему виду

# tap or tun
dev             tap
# Which TCP/UDP port should OpenVPN listen on?
port            1194
# tcp or udp. If GOST - TCP only
proto           tcp
# Log-file
log-append      /var/log/openvpn-gost.log
# Verbosity 0-11
verb            4
# Ping every 10 seconds, assume that remote peer
# is down if no ping received during a 120 second
# time period.
keepalive       10 120
#persist-key
#persist-tun

#comp-lzo       yes
#push comp-lzo  yes

# Server mode, ip pool and netmask
server  10.9.0.0 255.255.255.0

# Engine gost if demo
# engine gost

# Engine cryptocom if commercial
engine          cryptocom
auth            gost-mac
cipher          gost89
tls-cipher      GOST2001-GOST89-GOST89
ca              /etc/openvpn-gost/ca.crt
cert            /etc/openvpn-gost/server.crt
key             /etc/openvpn-gost/server.key

Запустите сервер и добавтье его в автозапуск.

service openvpn-gost start
chkconfig openvpn-gost on

Установка “МагПро OpenVPN-ГОСТ” клиент

Для отключения SeLinux в файле /etc/selinux/config замените строку SELINUX=enforcing на SELINUX=disabled.

# nano /etc/selinux/config

SELINUX=disabled

И выполните команду

setenforce 0

Нужно установить все зависимости.

# yum –y install perl
# yum –y install perl-WWW-Curl

И непосредственно сам vpn клиент-сервер:

# rpm –ihv centos-openvpn/packages-x86_64/openssl-r-1.0.1c-cc1_around.x86_64.rpm
# rpm –ihv centos-openvpn/packages-x86_64/libcryptopro-openssl-r-1.0.1c-cc1_around.x86_64.rpm
# rpm –ihv centos-openvpn/packages-x86_64/openvpn-2.1.4-1cc_around.x86_64.rpm

Скиньте файл лицензии клиента  cryptocom.lic в /opt/cryptopack2/ssl

Сгенерируйте затравку для ДСЧ, для этого выполните скрипт # ./easy-gost.sh и выберите соответствующий пункт.

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.