Основа настройки S-terra NME-RVPN часть 2

В прошлой части нам удалось получить доступ на RVPN, научиться в него входить и выходить. Поехали дальше.

Так как RVPN это компьютер на базе Linux, когда вы заходите на него, вы видите стандартное приглашение Linux и можете выполнять большинство необходимых для работы команд. Например, там есть ssh сервер с поддержкой scp, программы find, vi, grep и так далее. Но самое главное у RVPN есть cisco like interface, чтобы мы могли набрать sh run и wr mem.

Переход в CLI осуществляется по команде cs_console.

# cs_console

После входа в консоль необходимо получить привилегии (дефолтный пароль «csp» ):

RVPN>en

Далее делаем sh run и видим что в системе нет ни одного сетевого интерфейса. Смешно, но решение есть. Выходим из cs_console командой exit смотрим список интерфейсов RVPN:

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1D:A2:EC:4B:0B
          inet addr:10.10.40.2  Bcast:10.10.40.3  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:536410367 errors:0 dropped:0 overruns:0 frame:0
          TX packets:535197469 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4212121041 (3.9 GiB)  TX bytes:1918048430 (1.7 GiB)
          Base address:0xcc00 Memory:c0100000-c0120000

eth1      Link encap:Ethernet  HWaddr 00:1D:A2:EC:4B:0A
          inet addr:10.10.10.1  Bcast:10.10.10.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Base address:0xc800 Memory:c0120000-c0140000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:17850 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17850 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3164474 (3.0 MiB)  TX bytes:3164474 (3.0 MiB)

eth1 смотрит во внутрь шасси cisco,  eth0 торчит наружу из самого RVPN. Добавляем интерфейс следующей командой:

if_mgr add -n eth0 -l FastEthernet0/0

После этого в CLI интерфейс eth0 становится виден как FastEthernet0/0.

Следующее что нам потребуется сделать, это получить из корпоративного центра безопасности несколько файлов (рассматриваем случай когда в компании не используются CRL, списки отзыва сертификатов):

  1. Корневой сертификат удостоверяющего центра ЭЦП (УЦ или CA), с помощью которого будет определяться валидность ключей других модулей RVPN участвующих в обмене.
  2. Сертификат (открытый ключ) для вашего модуля RVPN
  3. Ключевую дискетку, или образ таковой, на которой находится закрытый ключ вашего RVPN
  4. Пароль на ключевую информацию на ключевой дискетке.

Нужно ли говорить что пункты 3 и 4 должны передаваться до доверенным каналам связи?

Следующее, что нужно сделать, через CLI назначить IP на сетевой адрес RVPN,  и добиться, чтобы он стал доступен из сети.

Потом, необходимо поставить любого SCP клиента, например WinSCP и зайти на RVPN с пользователем root. Создать в корне файловой системы папку /certs и залить туда корневой сертификат и сертификат RVPN.

Дальше, необходимо переписать ключи с дискетки в RVPN, а это значит, нужно найти дисковод в случае с физическим диском или эмулятор floppy диска в случае с образом. Мне просто, у меня есть виртуалка на ESXi 4.1 к которой я просто добавил образ как устройство «А» и переписал файлы.

На дискетке есть папочка с именем вида "34f1c891.000". Всю эту папку  необходимо переместить в папку RVPN в которой хранятся HDIMAGE (то-есть образы дискеток). HDIMAGE = /var/opt/cprocsp/keys/

Таким образом у вас появится папочка /var/opt/cprocsp/keys/34f1c891.000 в которой будут находиться файлы:

header.key  masks.key  masks2.key  name.key  primary.key  primary2.key

Теперь дело за малым все это прицепить к конфигурации. Добавляем сертификат УЦ

cert_mgr import –t –f /certs/[имя сертификата CA].cer

Добавить сертификат RVPN и ключ RVPN:

cert_mgr import -f /certs/[имя сертификата].cer -kc 'HDIMAGE\\<code>34f1c891.000</code>' -kcp [пароль ключей]

На сегодня все. Напоследок несколько полезных команд:

cert_mgr show

Просмотр установленных сертификатов

cert_mgr check -i 2

Проверка сертификата №2 из списка, полученного через show

cert_mgr show -i 2

Просмотр сертификата №2

/opt/cprocsp/bin/ia32/csptest -keyset -check -cont '\\.\HDIMAGE\34f1c891.000'

Проверка ключевого носителя на ошибки

/opt/cprocsp/sbin/ia32/cpconfig

Полезнейшая утилита для управления шифрованием в RVPN, я ей пользовался в части касающейся ключа -hardware (Management of of readers, generators of random numbers and media)

 /etc/init.d/vpngate stop|start

Это понятно. Презапуск криптошлюза.

Настройка сетевого взаимодействие RVPN в следующей части. Продолжение следует.

Запись опубликована в рубрике Cisco. Добавьте в закладки постоянную ссылку.

2 комментария: Основа настройки S-terra NME-RVPN часть 2

  1. Andrey говорит:

    Добрый день
    Большое спасибо за статью!
    При вводе команды cs_console для перехода в CLI, выдается ошибка:

    [root@nme-rvpn-kd ~]# cs_console
    ERROR: Could not establish connection with daemon.
    Press ENTER to exit…

    В руководстве говориться, что наиболее вероятная причина – попытка запуска
    cs_console при остановленном сервисе.

    Не подскажите что имеется ввиду и как можно запустить сервис?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>