Организация SSL VPN на базе продукта SSL Explorer
11 Dec 2014 | Автор: dd |Решил я тут повозиться с SSL VPN, чтобы был свой с бриджем и блудницами. Расписывать по технологии особо не буду, ибо вся инфа гуглится, но основное преимущество SSL VPN перед вcякими IPsec и иже с ними, в том, что для установления соединения через SSL VPN не нужен никакой дополнительный клиент, а достаточно браузера и наличия виртуальной машины Java и выполнения ActiveX, т.е установить соединение с нужным VPN можно с какой угодно машины – хотя в интернет кафе, хоть на вашем ноутбуке. К тому же соединение инкапсулируется в https, т.ч не требуется открытия каких то дополнительных портов, т.ч компьютеру необходимо только доступ в интернет и стандартный порт HTTPS, который частенько открыт даже в самых параноидальных конторах.
Пробовать я решил начать с достаточно древнего пакета SSL Explorer от компании 3sp, версия 1.0.0 RC17 которого была зарелизена аж в 2008 году. На данный момент контора, как я понимаю, ушла под Barracuda Network, которые занимаются разработкой всяческих кирогазов для информационной безопасности, в том числе и SSL VPN appliance, начинающиеся от штуки грина.
Понятно что пакет не новый, поэтому при попытке установки на CentOS 7 возникли некоторые грабли, которые я и распишу, т.к саму установку расписывать нечего, ибо продукт ставится всего в несколько команд.
Берем актуальный пакет с Sourceforge.net и его и качаем, т.ч урл подставите тот что будет на тот момент.
# wget downloads.sourceforge.net/project/sslexplorer/SSL-Explorer
# tar -xzvf sslexplorer-1.0.0_RC17-src.tar.gz
# yum install ant
# mv sslexplorer-1.0.0_RC17 /usr/local/sslexplorer
# ant install
Пакет инициализируется, компилится, после чего предлагается пройти к браузеру чтобы довести установку до конца:
http://IP:28080
На этом этапе у меня возникла ошибка движка Java, о котором я расписал отдельно, т.ч победив её, переходим далее к браузерной установке.
Если вам не нужно затачивать пользователей под AD, скажем для крупного офиса, то рекомендую выбирать хранение пользователей в базе, т.е Built-in. Редактировать пользователей и группы можно будет потом из администраторского аккаунта, т.к пакет предоставляет полноценную админку для администрирования VPN сервера.
Остальное просто следование по пунктам, после чего пакет устанавливается, установщик в терминальной сессии завершается и мы перегружаем сервер.
Перегрузившись говорим
# cd /usr/local/sslexplorer
# ant run
На этом этапе, в процессе инициализации запуска, у меня вывалилась ошибка: Missing or invalid location in wrapper.java.library.path.1. Wrapper executable cannot be found
Решил было что за обертку отвечает libwrapper.so в каком либо его проявлении, поэтому начал плясать от его местонахождения
# find / -name *libwrapper*
/usr/local/sslexplorer/sslexplorer/install/platforms/freebsd/libwrapper.so
/usr/local/sslexplorer/sslexplorer/install/platforms/linux/x86-64/libwrapper.so
/usr/local/sslexplorer/sslexplorer/install/platforms/linux/x86/libwrapper.so
/usr/local/sslexplorer/sslexplorer/install/platforms/mac/libwrapper.jnilib
/usr/local/sslexplorer/sslexplorer/install/platforms/solaris/libwrapper.so
Но оказалось что его наличие в расшаренных папках проблему не устраняет, т.к пошел с от конфига, в котором собственно и нашел ответы на вопрос кто за что отвечает:
# cat /usr/local/sslexplorer/sslexplorer/conf/wrapper.conf | grep wrapper.java.library.path.1
# wrapper.java.library.path.1=lib
эту строку я поменял на
wrapper.java.library.path.1=/usr/lib
после чего организовал в папке обертку
# cp /usr/local/sslexplorer/sslexplorer/install/platforms/linux/x86/wrapper /usr/lib/
# chmod 755 /usr/lib/wrapper
После этого при сборке появилась следуюшая ошибка: lib/ld-linux.so.2: bad ELF interpreter: No such file or directory
фиксим установкой нужного пакета
# yum provides ld-linux.so.2
# yum install glibc-2.17-55.el7_0.1.i686
После этого запускаем снова сервер SSLExplorer и логинимся в панель черех https:
https://IP/
Для того чтобы сервер не падал при закрытии панели или отрубании сессии, загоняем сервак демоном:
# /usr/local/sslexplorer/sslexplorer/install/platforms/linux/install-service
# chkconfig –level 23 sslexplorer on
# chmod 755 /usr/local/sslexplorer/sslexplorer/install/platforms/linux/x86-64/wrapper
# service sslexplorer start
Админка не сложная, т.ч там особо расписывать нечего – все настраивается в лет, т.ч добавляем нужного пользователя и логинимся к нашему VPN.
