В прошлой части нам удалось получить доступ на RVPN, научиться в него входить и выходить. Поехали дальше.
Так как RVPN это компьютер на базе Linux, когда вы заходите на него, вы видите стандартное приглашение Linux и можете выполнять большинство необходимых для работы команд. Например, там есть ssh сервер с поддержкой scp, программы find, vi, grep и так далее. Но самое главное у RVPN есть cisco like interface, чтобы мы могли набрать sh run и wr mem.
Переход в CLI осуществляется по команде cs_console.
# cs_console
После входа в консоль необходимо получить привилегии (дефолтный пароль «csp
» ):
RVPN>en
Далее делаем sh run и видим что в системе нет ни одного сетевого интерфейса. Смешно, но решение есть. Выходим из cs_console командой exit смотрим список интерфейсов RVPN:
# ifconfig eth0 Link encap:Ethernet HWaddr 00:1D:A2:EC:4B:0B inet addr:10.10.40.2 Bcast:10.10.40.3 Mask:255.255.255.252 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:536410367 errors:0 dropped:0 overruns:0 frame:0 TX packets:535197469 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:4212121041 (3.9 GiB) TX bytes:1918048430 (1.7 GiB) Base address:0xcc00 Memory:c0100000-c0120000 eth1 Link encap:Ethernet HWaddr 00:1D:A2:EC:4B:0A inet addr:10.10.10.1 Bcast:10.10.10.255 Mask:255.255.255.0 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Base address:0xc800 Memory:c0120000-c0140000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:17850 errors:0 dropped:0 overruns:0 frame:0 TX packets:17850 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3164474 (3.0 MiB) TX bytes:3164474 (3.0 MiB)
eth1 смотрит во внутрь шасси cisco, eth0 торчит наружу из самого RVPN. Добавляем интерфейс следующей командой:
if_mgr add -n eth0 -l FastEthernet0/0
После этого в CLI интерфейс eth0 становится виден как FastEthernet0/0.
Следующее что нам потребуется сделать, это получить из корпоративного центра безопасности несколько файлов (рассматриваем случай когда в компании не используются CRL, списки отзыва сертификатов):
- Корневой сертификат удостоверяющего центра ЭЦП (УЦ или CA), с помощью которого будет определяться валидность ключей других модулей RVPN участвующих в обмене.
- Сертификат (открытый ключ) для вашего модуля RVPN
- Ключевую дискетку, или образ таковой, на которой находится закрытый ключ вашего RVPN
- Пароль на ключевую информацию на ключевой дискетке.
Нужно ли говорить что пункты 3 и 4 должны передаваться до доверенным каналам связи?
Следующее, что нужно сделать, через CLI назначить IP на сетевой адрес RVPN, и добиться, чтобы он стал доступен из сети.
Потом, необходимо поставить любого SCP клиента, например WinSCP и зайти на RVPN с пользователем root. Создать в корне файловой системы папку /certs
и залить туда корневой сертификат и сертификат RVPN.
Дальше, необходимо переписать ключи с дискетки в RVPN, а это значит, нужно найти дисковод в случае с физическим диском или эмулятор floppy диска в случае с образом. Мне просто, у меня есть виртуалка на ESXi 4.1 к которой я просто добавил образ как устройство «А» и переписал файлы.
На дискетке есть папочка с именем вида "34f1c891.000"
. Всю эту папку необходимо переместить в папку RVPN в которой хранятся HDIMAGE (то-есть образы дискеток). HDIMAGE = /var/opt/cprocsp/keys/
Таким образом у вас появится папочка /var/opt/cprocsp/keys/34f1c891.000
в которой будут находиться файлы:
header.key masks.key masks2.key name.key primary.key primary2.key
Теперь дело за малым все это прицепить к конфигурации. Добавляем сертификат УЦ
cert_mgr import –t –f /certs/[имя сертификата CA].cer
Добавить сертификат RVPN и ключ RVPN:
cert_mgr import -f /certs/[имя сертификата].cer -kc 'HDIMAGE\\<code>34f1c891.000</code>' -kcp [пароль ключей]
На сегодня все. Напоследок несколько полезных команд:
cert_mgr show
Просмотр установленных сертификатов
cert_mgr check -i 2
Проверка сертификата №2 из списка, полученного через show
cert_mgr show -i 2
Просмотр сертификата №2
/opt/cprocsp/bin/ia32/csptest -keyset -check -cont '\\.\HDIMAGE\34f1c891.000'
Проверка ключевого носителя на ошибки
/opt/cprocsp/sbin/ia32/cpconfig
Полезнейшая утилита для управления шифрованием в RVPN, я ей пользовался в части касающейся ключа -hardware
(Management of of readers, generators of random numbers and media)
/etc/init.d/vpngate stop|start
Это понятно. Презапуск криптошлюза.
Настройка сетевого взаимодействие RVPN в следующей части. Продолжение следует.
Добрый день
Большое спасибо за статью!
При вводе команды cs_console для перехода в CLI, выдается ошибка:
[root@nme-rvpn-kd ~]# cs_console
ERROR: Could not establish connection with daemon.
Press ENTER to exit…
В руководстве говориться, что наиболее вероятная причина – попытка запуска
cs_console при остановленном сервисе.
Не подскажите что имеется ввиду и как можно запустить сервис?
/etc/init.d/vpngate stop|start
Думаю так.