Выключатель нагрузки внп 16: ВНП-16 выключатель нагрузки — Разъединители, отделители, короткозамыкатели и ВН

Содержание

Выключатели Нагрузки Внп Нальчик — Что Где Когда — Каталог статей

выключатели нагрузки внп нальчик

Выключатель нагрузки ВНП-М1-10/630-20

Автогазовый трехполюсный выключатель нагрузки типа ВНП-М1-10/630-20 со встроенным пружинным приводом, ручным заводом, дистанционным и местным включением и отключением для многократных коммутационных операций, предназначен для коммутации под нагрузкой цепей трехфазного тока частотой 50 — 60 Гц номинальным напряжением от 3 до 10 кВ и номинальным током 630 А в сетях с заземленной и изолированной нейтралью, используется в шкафах комплектных распределительных устройств (КРУ), в камерах стационарных одностороннего обслуживания (КСО), в комплектных трансформаторных подстанциях (КТП).

По заказу выключатель может поставляться для установки на передней или задней стенках шкафа с контактной системой, повернутой к оператору.

Исполнение по ГОСТ 15150: обычное — У2 экспортное — У2 тропическое — Т3

Конструктивные отличия выключателей ВНП-М1-10

ВНП-М1-10/630-20 — выключатель с пружинным приводом
ВНП-М1-10/630-20з — то же с заземляющими ножами
ВНП-М1-10/630-20зп3 — то же с заземляющими ножами, с устройством для установки предохранителей и с устройством для подачи команды на отключение при перегорании предохранителя.

Особенности и преимущества выключателей ВНП-М1-10

Термическая стойкость — 3 секунды ( по ГОСТу — 1 секунда )

Отключение переходных токов 1000 А при cos = 0,23

Конструкция выключателя позволяет с незначительными затратами заменить старые, находящиеся в эксплуатации, выключатели ВНз — 16, ВНр -10 и ВНП -10 на высоконадежные с повышенными параметрами и безопасными выключателями типа ВНП-М1-10/630-20.

В заказе необходимо указать: тип выключателя, напряжение цепей управления, напряжение и ток предохранителей, расположение выключателя ( на передней или задней стенке шкафа ).

Технические характеристики выключателей ВНП-М1-10

Номинальное напряжение, кВ: 10
Номинальное рабочее напряжение кВ: 12
Номинальный ток, А: 630
Номинальный ток отключения при cos 0,7. А. 630
Наибольший ток отключения при cos 0,7. А. 1000
Номинальный переходный ток отключения при cos = 0,23. А 1000
Сквозной ток короткого замыкания, кА. 20
Номинальное напряжение вспомогательных цепей при постоянном токе, В: 100,110,220
Номинальное напряжение вспомогательных цепей при переменном токе, В. 100,127,220
Время протекания тока короткого замыкания, с. 3

Возможные спецификации

ВНП-М1-10/630-20зп3, ВНП-М1-10/630-20з, ВНП-М1-10/630-20

Выключатель нагрузки ВНП-М1-10/630-20 имеет следующие метки:

ВЫКЛЮЧАТЕЛИ НАГРУЗКИ ПЕРЕМЕННОГО ТОКА серии ВНП-16, ВНП-17/400-630, ВНПп-16-17/400-630

Описание

ВНП-16. ВНП-17/400-630, ВНПП-16. ВНПП-17/400-630

Выключатели нагрузки ВНП-16. ВНПп-16 являются улучшенной модификацией выключателя нагрузки ВНП-16-17 / 400. Выключатели предназначены для коммутации под нагрузкой цепей трехфазного переменного тока частоты 50Гц напряжением 10 кВ с изолированной или заземленной нейтралью. Устанавливаются в качестве камерах одностороннего комплектующих изделий в ячейки КРУ. камеры КСО. трансформаторные подстанции. а также для замены выключателей в перечисленных устройствах, находящихся в эксплуатации.

Выключатели относятся к коммутационным аппаратам, снабженным автогазовым дугогасительным устройством. Климатическое исполнение У по ГОСТ 15150, категория размещения 3.

ОСОБЕННОСТИ:

+ Дугогасящий нож из меди с напайкой из тугоплавких сплавов

Выключатели нагрузки ВНП

Назначение выключателя нагрузки ВНП

Выключатель нагрузки ВНП – устройство, которое предназначается для снятия нагрузки с цепи, находящейся под высоким напряжением. После этого персонал может приступать к обслуживанию цепи или электрооборудования, которое цепь питает электроэнергией. Выключатели нагрузки ВНП также используются для заземления и для обеспечения видимого разрыва цепи, что повышает безопасность электриков.

Устройство выключателя нагрузки ВНП

Подобно большинству выключателей нагрузки, ВНП состоит из рамы, на которую монтируются изоляторы (всего их 6, по 3 с верхней и нижней части рамы). В верхней части рамы устанавливаются неподвижные главные, а также дугогасительные контакты и дугогасительная камера. В нижней части рамы установлены подвижные контакты. Изоляционные тяги передают к контактным ножам движение от вала. Кроме того, выключатели ВНП снабжены двумя пружинами для отключения и предохранителем. Выключатель оснащен блоком управления, на котором располагаются электромагниты управления приводом, переключатель дистанционного управления и индикаторы положения привода и выключателя.

Принцип работы выключателя нагрузки ВНП

Принцип работы выключателя нагрузки ВНП, как и принцип действия других автогазовых выключателей, основан на том, что дуга, возникающая при размыкании контактов, которые находятся под нагрузкой, гасится в специальной дугогасительной камере. Это происходит благодаря тому, что под воздействием высокой температуры, которая возникает из-за дуги, вкладыш из органического стекла, находящийся в камере, начинает активно выделять газы, которые прерывают дугу. Моментально гашение дуги позволяет свести к минимуму негативный эффект, которые она может оказать на токонесущий проводник.

Сфера использования выключателя нагрузки ВНП

Выключатели нагрузки ВНП устанавливаются в распределительных устройствах. Выключатели данного типа можно увидеть в комплектных трансформаторных подстанциях, в камерах одностороннего обслуживания, в распределительных щитах и в шкафах управления. Выключатели ВНП используются как в промышленных, так и в городских электросетях.

Товар просмотрен сегодня 2 раз(a)

всего 924 раз(a)

Автогазовый трехполюсный выключатель нагрузки типа ВНП-М1-10/630-20 со встроенным пружинным приводом, ручным заводом, дистанционным и местным включением и отключением для многократных коммутационных операций, предназначен для коммутации под нагрузкой цепей трехфазного тока частотой 50 – 60 Гц номинальным напряжением от 3 до 10 кВ и номинальным током 630 А в сетях с заземленной и изолированной нейтралью, используется в шкафах комплектных распределительных устройств (КРУ), в камерах стационарных одностороннего обслуживания (КСО), в комплектных трансформаторных подстанциях (КТП).

Выключатель может работать от сигналов в схемах АВР. По заказу выключатель может поставляться для установки на передней или задней стенках шкафа с контактной системой, повернутой к оператору.

Технические характеристики

Номинальное напряжение, кВ 10

Наибольшее рабочее напряжение, кВ 12

Номинальный ток, А 630

Номинальный ток отключения при cos #61546 #61619 0,7. А 630

Наибольший ток отключения при cos #61546 #61619 0,7. А 1000

Номинальный переходный ток отключения при cos #61546 #61501 0,23. А 1000

Сквозной ток короткого замыкания, кА 20

Номинальное напряжение переменного тока вспомогательных цепей, В: 100. 127, 220

Время протекания тока короткого замыкания, с 3

Механический ресурс, циклов 2000

Количество коммутаций тока нагрузки при cos #61546 #61501 0,7 без ревизии, не менее, циклов:

Ток нагрузки 630 400 300 200 100 63

Количество коммутаций 200 320 420 630 1260 2000

Выключатель имеет следующие конструктивные отличия:

ВНПп-М1-10/630 — выключатель с расположением на передней стенке шкафа.

ВНПз-М1-10/630 — выключатель с расположением на задней стенке шкафа.

ВНПп-М1-10/630-20, ВНПз-М1-10/630-20 — выключатель с пружинным приводом

(базовая модель)

ВНПп-М1-10/630-20з, ВНПз-М1-10/630-20з — то же с заземляющими ножами

ВНПз-М1-10/630-20 2з — то же с двумя заземляющими ножами и

сигнализацией положения заземлителей

ВНПп-М1-10/630-20зп3, ВНПз-М1-10/630-20зп3 — то же с заземляющими ножами, с устройством для установки предохранителей и с устройством для подачи команды на отключение при перегорании предохранителя.

Схемы расположения выключателя в шкафу указаны на рис. 1 — 3.

Конструкция выключателя позволяет с незначительными затратами заменить старые, находящиеся в эксплуатации, выключатели ВНз — 16, ВНр –10, ВНП –10, ВНП-17 на высоконадежные с повышенными параметрами и безопасными выключателями типа ВНП-М1-10/630-20.

ОАО “Н3ВА” окажет помощь в замене старых выключателей в ячейках КСО, КРУ, КТП новыми выключателями ВНП-М1-10/630-20.

В заказе необходимо указать: тип выключателя ( на передней или задней стенке шкафа ), напряжение цепей управления.

ВНИМАНИЕ!

Последняя модернизация выключателя нагрузки ВНП-М1-10/630-20, подтвержденная испытаниями во Всероссийском Электротехническом институте им. Ленина в г. Москве, дала результаты по техническим параметрам, соответствующим требованиям Международной Энергетической Комиссии ( МЭК ), в частности:

— термическая стойкость — 3 секунды ( по ГОСТу — 1 секунда )

— отключение переходных токов 1000 А при cos #61546 = 0,23 в случае перегорания

в одной из фаз предохранителя ( по ГОСТу — отсутствует ).

Технические условия на выключатель ВНП-М1-10/630-20 согласованы с Департаментом стратегии и научно-технической политики РАО «ЕЭС России» письмом № 02-01-2-4/146 от 12.02.98 г.

ВЫКЛЮЧАТЕЛИ НАГРУЗКИ АВТОГАЗОВЫЕ ТИПА ВНП-М1-1-/630

Общие сведения

Выключатели нагрузки автогазовые обычного применения типа ВНП-М1-10/630-20 и ограниченного применения ВНПу-М1-10/630-31,5 предназначены для коммутации под нагрузкой цепей трехфазного тока частотой 50-60 Гц номинальным напряжением от 3 до 10 кВ и номинальным током 630 А с заземленной или изолированной нейтралью. Выключатели используются в шкафах комплектных распределительных устройств (КРУ), в камерах стационарных одностороннего обслуживания (КСО), в комплектных трансформаторных подстанциях (КТП).

П — со встроенным пружинным приводом

у — с усиленной контактной системой

М1 — модернизированный

10 — номинальное напряжение, кВ

630 — номинальный ток, А

Х — номинальная периодическая составляющая сквозного тока

короткого замыкания (20 31,5), кА

з — с заземляющими ножами

п — со встроенными предохранителями и заземляющими ножами,

расположенными за предохранителями

З — с устройством для подачи команды на отключение при

перегорании предохранителей

Х — климатическое исполнение и категория размещения (У2, Т3).

nbspnbspТИПОИСПОЛНЕНИЕ

nbspnbspВыключатели общего применения:

nbspnbspВНП-М1-10/630-20У2(Т3)

nbspnbspВНП-М1-10/630-20зУ2(Т3)

nbspnbspВНП-М1-10/630-20зпУ2(Т3)

nbspnbspВыключатели указанных типов имеют следующие основные конструктивные отличия:

nbspnbspВНП-М1-10/630-20 — выключатель со встроенным пружинным приводом

nbspnbspВНП-М1-10/630-20з — имеет ножи заземления

nbspnbspВНП-М1-10/630-20зпЗ — имеет дополнительно полурамы для предохранителей и устройство для подачи команды на отключение при перегорании предохранителя.

nbspnbspВыключатели ограниченного применения:

nbspnbspВНПу-10/630-31,5У2

nbspnbspВНПу-10/630-31,5зУ2

nbspnbspВНПу-10/630-31,5зп3У2

Условия эксплуатации

Наибольшая высота над уровнем моря 1000 м.

nbspnbspВерхнее рабочее значение температуры окружающего воздуха: для исполнения У2 35°С (предельное значение 55°С со снижением номинального тока до 50%), для исполнения Т3 55°С.

nbspnbspНижнее рабочее значение температуры окружающего воздуха: для исполнения У2 — 45°С, для исполнения Т3 — 10°С.

nbspnbspТип атмосферы II по ГОСТ 15150-69.

nbspnbspОкружающая среда невзрывоопасная.

nbspnbspРабочее положение в пространстве — на вертикальной плоскости, допускается отклонение до 5° в любую сторону.

nbspnbspВыключатели соответствуют ТУ16-94 ИБЦЖ. 674212.001 ТУ. ТУ 16-94 ИБЦЖ.674212.001 ТУ

Технические характеристики

Номинальное напряжение, кВ — 10 Наибольшее рабочее напряжение, кВ — 12 Номинальный ток, А — 630 Наибольший ток отключения при соs j. 0,7, А — 800 Нормированные параметры сквозного тока короткого замыкания — среднеквадратичное значение тока за время его протекания (ток термической стойкости), кА: для ВНП-М1-10/630-20 — 20 для ВНПу-М1-10/630-31,5 — 31,5 Время протекания тока (время короткого замыкания), с — 1 Нормированные параметры тока включения, кА: наибольший пик — 51 начальное действующее значение периодической составляющей — 20 Номинальное напряжение вспомогательных электрических цепей отключения и включения, В: при постоянном токе — 100, 110, 220 при переменном токе — 100, 127, 220 Износостойкость выключателя, циклов: механическая — 2000 коммутационная — 200 Количество коммутаций тока нагрузки при соs j. 0,7 без ревизии, циклов, не менее: 630 А — 200 400 А — 320 300 А — 420 200 А — 630 100 А — 1260 50 А — 2520 Срок службы выключателя до списания, лет — 30

Конструкция и принцип действия

Выключатель относится к коммутационным аппаратам, снабженным автогазовым дугогасительным устройством. Принцип работы выключателя основан на гашении электрической дуги, возникающей при размыкании дугогасительных контактов, потоком газа, образующегося в результате воздействия высокой температуры дуги на газогенерирующие материалы.

nbspnbspПри включении выключателя сначала замыкаются главные контакты, а затем дугогасительные.

nbspnbspПри отключении выключателя также сначала размыкаются главные контакты, а затем дугогасительные.

nbspnbspВыключатель типа ВНП-М1-10/630-20 (рис. 1) состоит из рамы, на которой установлены шесть опорных изоляторов. На трех изоляторах, расположенных в нижней части рамы, крепятся шарнирно главные подвижные контакты совместно с подвижными дугогасительными контактами, а в верхней части — главные контакты, дугогасительные неподвижные контакты и дугогасительная камера.

nbspnbspОбщий вид, габаритные и установочные размеры выключателя ВНП-М1-10/630 20зпЗУ2

nbspnbsp1 — рама 2 — изолятор опорный

nbspnbsp3 — контакт главный неподвижный

nbspnbsp4 — контакт дугогасительный неподвижный

nbspnbsp5 — камера дугогасительная 6 — тяги изоляционные

nbspnbsp7 — пластина 8 — контакт главный подвижный

nbspnbsp9 — контакт дугогасительный подвижный 10 — система тяг

nbspnbsp11 — вал 12 — указатель механический

nbspnbsp13 — электромагнит дистанционного управления на включение

nbspnbsp14 — электромагнит дистанционного управления на отключение

nbspnbsp15 — контактор 16 — вал промежуточный

nbspnbsp17 — ножи заземляющие 18 — полурама 19 — предохранитель

nbspnbsp20 — устройство для подачи команды при перегорании предохранителя 21 — полурама 22 — пластина

nbspnbspДля включения и отключения выключателя имеется энергоноситель в виде пружины кручения. Для передачи движения к подвижным контактам служат изоляционные тяги.

nbspnbspДля управления выключателем на раме установлен блок с электромагнитами дистанционного управления на включение и отключение соответственно, а также контактор с микропереключателями, как элементы дистанционного указателя.

nbspnbspВ конструкции выключателя нагрузки предусмотрен местный указатель. Надписи, указывающие положение выключателя и привода, располагаются на валу и механическом указателе. Дистанционный указатель, сигнализирующий синхронно о положении выключателя и привода, устанавливается на выносном пульте управления согласно схеме электрической (рис. 2).

nbspnbspВ выключателях типа ВНП-М1-10/630-з дополнительно присоединяются заземляющие ножи с помощью боковых пластин, промежуточного вала и системы тяг. Заземляющие ножи устанавливаются на полураме, которая крепится на задней стенке камеры. Заземляющие ножи управляются съемной рукояткой.

nbspnbspВыключатели типа ВНП-М1-10/630зпЗ дополнительно имеют предохранители, установленные на полураме. Заземляющие ножи расположены за предохранителями. Выключатели данного типа содержат устройство для подачи команды на отключение при перегорании предохранителя. Устройство закреплено на полураме.

nbspnbspВ конструкции выключателя предусмотрены блокировки, которые обеспечивают:

nbspnbspневозможность включения выключателя при не полностью заведенной пружине привода

nbspnbspневозможность включения заземляющих ножей при включенном положении выключателя

nbspnbspневозможность включения выключателя при включенных заземляющих ножах

nbspnbspневозможность включения заземляющих ножей при взведенном приводе

nbspnbspневозможность взведения привода при включенных заземляющих ножах

nbspnbspневозможность повторного взведения привода при включенном выключателе.

nbspnbspВыключатели ограниченного применения ВНПу-М1-10/630-31,5 дополнительно снабжены пластинами (магнитными замками) на главных подвижных контактах.

В комплект поставки входят: выключатель нагрузки рукоятка для завода пружины привода и оперирования приводом ножей заземления

Источники: http://all-energo.ru/store/auto/switch_load/vnp-m1-10, http://energostroi-kru.ru/vykluchateli/vnp-16-17.html, http://velsnab.ru/catalog/elektrooborudovanie/vyklyuchateli_nagruzki/vyklyuchateli_nagruzki_vnp/, http://www.stroyportal.su/production/Vyklyuchatelyu_nagruzki_VNP_M1_10_630/474187, http://www.laborant.ru/eltech/02/0/3/02-96.htm

Выключатели нагрузки — Энциклопедия по машиностроению XXL

Выключатели нагрузки типов ВН-16 и ВН-17. Принцип действия и конструкция. Назначение. [c.299]

До подключения нагрузочного кабеля нужно проверить исправность заземления и убедиться, что рубильник или выключатель нагрузки находится в положении выключено . [c.471]

Если при возвращении рукоятки пускового механизма к своему нормальному положению выключатель нагрузки работает настолько резко, что вызывает заметное изменение положения стрелки индикатора, то для смягчения этого удара под рукоятку следует положить войлочную или резиновую прокладку. Иначе при сильных ударах разница в отсчетах может выразиться несколькими единицами твердости. [c.241]

При наличии нагрузок первой категории на вторичной стороне подстанции в цепях трансформаторов и между секциями главных шин устанавливаются автоматические воздушные выключатели 4 и 5. Выключатель 5 нормально разомкнут и автоматически соединяет обе секции главных шин при выходе из работы одного из трансформаторов. При этом автоматические выключатели минимального напряжения 7 отключают цепи потребителей второй и третьей категории. Выключатели 6 в первичных цепях цеховых трансформаторов (рис. 11-7, а) применяются при номинальной мощности трансформаторов, большей 750 ква. При трансформаторах меньшей мощности выключатели заменяются плавкими предохранителями 8 (рис. 11-7, б). На неответственных подстанциях возможен также отказ от установки выключателей мощности в первичных денях и при мощности трансформаторов больше 750 ква замена их выключателями нагрузки с плавкими предохранителями. [c.225]

В менее мощных и менее ответственных цепях, отходящих от шин станции, возможно устанавливать вместо выключателей высокого напряжения 1 и разъединителей 2 выключатели нагрузки 3 с плавкими предохранителями 4. Во всех отходящих со станции Цепях высокого напряжения устанавливаются линейные разъединители 5, необходимые для устранения опасности подачи напряжения с шин станции или со стороны сети в отключенную цепь при ее ремонте или ремонте выключателей 1. [c.158]

Такие каркасные сборные распределительные устройства изготовляются на напряжения 6 и 10 /се с малообъемными, т. е. взрывобезопасными, масляными выключателями ВМГ-133 или с выключателями нагрузки и плавкими предохранителями. Они получили большое применение на промышленных подстанциях средней и малой мощности. [c.318]

Первый габарит камер применяется для присоединения цепей без выключателей и для присоединений с выключателями нагрузки [c. 318]

Заключительные операции подготовки отключают АВ в тех зарядных группах, в которых будет производиться заряд АБ полностью вводят сопротивления резисторов в этих группах подключают цепь последовательно соединенных АБ к зажимам + 3 —Р и —3 зарядной группы, соблюдая соответствующую полярность, подсоединяют агрегат к генераторным зажимам панели ЗРУ и устанавливают выключатель нагрузки агрегата в положение Откл. [c.182]

Заряд АБ начинают с перемещения вправо ручки резистора БУ агрегата, устанавливая необходимое напряжение по вольтметру, затем переводят выключатель нагрузки агрегата в положение Вкл. После этого включают АБ соответствующих зарядных групп и с помощью резисторов выставляют требуемые значения токов заряда в группах. При заряде АБ следят за тем, чтобы значения токов заряда не превышали допустимые токи зарядных групп. Если сопротивление гасящего резистора зарядной группы недостаточно, используют резисторную приставку из комплекта ЗИП станции, которую включают последовательно с резистором зарядной группы. [c.182]

Остановка станции состоит из четырех операций отключение автоматических выключателей ЗРГ отключение выключателя нагрузки агрегата, перевод ручки резистора БУ агрегата в крайнее левое положение, перекрытие краника ТБ. [c.183]

Обрыв в цепи нагрузки Неисправен амперметр или выключатель нагрузки (ВН) [c.186]

Блок приборов заключен в металлическую коробку. В правой нише размещены амперметр, вольтметр и лампа освещения приборов, прикрытая колпаком с окном. Для удобства наблюдения за показаниями приборов дно ниши расположено наклонно. В левой нише помещены выключатель нагрузки и панель с выводными зажимами для подключения кабеля нагрузки. Корпус блока приборов через резиновые амортизаторы крепится к блоку аппаратуры. Амортизаторы смягчают вибрацию блока приборов при работе агрегата. [c.190]

Выключатели нагрузки типов ВН-16, ВНП- 16 (рис. 16) и В П-17 устроены аналогично разъединителям для внутренней уста- [c.50]

Рис. 16. Выключатель нагрузки типа ВНП-16.

На рис. 18 показана электроконструкция с выключателем нагрузки в процессе монтажа. [c.54]

Выключатели нагрузки ВН (без предохранителей) — отключение и включение токов нагрузки, ВНП с кварцевыми предохранителями — отключение токов к. 3. ВНП —с заземляющими ножами. [c.227]

В обозначении вакуумных выключателей Н — выключатель нагрузки В — вакуумный П — подвесной в числителе кВ в знаменателе / 0 . А после дефиса отключения, кА. [c.271]

Таблица 3.83. Выключатели нагрузки (ГОСТ 17717-79Е)

Выключатели нагрузки и короткозамыкатели по предельно допустимому току, возникающему при включении на КЗ. [c.282]

ВВ — воздушный выключатель ВЛ — воздушная линия в. д. — высокое давление ВН — высокое напряжение, выключатель нагрузки в т. ч, — в том числе г-р — генератор ГЭС — гидравлическая ЭС д. б. — должно быть доп. — допустимый (ая) др. —другие [c.436]

LGI — обмотка якоря генератора LG2 — обмотка возбуждения генератора GB — аккумуляторная батарея R — нагрузочный реостат SI — выключатель режима независимого возбуждения генератора S2 — выключатель режима самовозбуждения генератора (не может быть включен одновременно с S/) S3 — выключатель нагрузки генератора S4 — выключатель аккумуляторной батареи [c.206]

Полностью собранные аппараты и трансформаторы Изоляторы, испытываемые отдельно Промежутки между контактами одного и TOI 0 же полюса разъединителей, выключателей нагрузки и высоковольтных предохранителей в разомкнутом состоянии [c.255]

O. о е- о> II а ь O.S о а> о SS S а Аппараты и трансформаторы тока Штанги ручного управления и измерительные 2 н 3 о gs s g а. ° go. «i s S Промежутки между контактами одного и того же полюса разъединителей, выключателей нагрузки и высоковольтных предохранителей в разомкнутом состоянии Аппараты и трансформаторы тока Изоляторы, испытываемые отдельно са 2 0 3 5 е-Ла Н о о Й с 3 5 [c.255]

О 1 О н 5 3 1= З-в Аппараты и измерительные трансформаторы Изоляторы Воздушные промежутки между контактами одного и того же полюса разъединителей, выключателей нагрузки в разомкнутом состоянии и высоковольтных предохранителей с вынутым патроном 1>1 [c.256]

Выключатель нагрузки (общее обозначение) [c.78]

Выключателями нагрузки называют такие выключатели, которые используются только для отключения токов нагрузки. Для отключения токов короткого замыкания обычно последовательно с выключателями нагрузки включают кварцевые предохранители высокого напряжения. [c.651]

Разъединитель-выключатель нагрузки высоковольтный трехполюсный [c. 1063]

Сборные распределительные устройства серии КСО выпускаются в двух модификациях КСО с силовым выключателем и КСО с выключателем нагрузки. [c.425]

Камеры этих выключателей могут применять гашение дуги продольным дутьем (например, в выключателе нагрузки ВНП-16) или поперечным дутьем (например, в выключателе ВГ-10). Пример дугогасптельной камеры с поперечным дутьем приведен на рис. 8-73, а. На рис. 8-73, б показана схема гашения дуги в этой камере. При размыкании контактов образуется дуга, которая горит в узкой щели между вставками 1. [c.253]

В менее мощных и менее ответственных цепях, отходящих от шин станции, возможно устанавливать вместо выключателей высокого напряжения 1 и разъединителей 2 выключатели нагрузки 3 с плавкими предохранителями 4. Во всех отходящих со станции цепях высокого напряжения устанавливаются линейные разъединители 5 с заземляющими ножами, необход1шые для устранения [c. 139]

Остановка станции состоит из четырех операций отключают автоматы ЗРГ переводят переключатели второй, четвертой ЗРГ, УЗРУ и переключатель добавочного резистора первой ЗРГ в положение Откл. устанавливают выключатель нагрузки агрегата в положение Откл. закрывают топливный краник или дроссельную и воздушную заслонки карбюратора. В исключительных случаях для быстрой остановки двигателя отключают зажигание нажатием на кнопку магнето. [c.196]

В Л — воздушная линия в. д. — высокое давление ВН — высшее напряжение, выключатель нагрузки в т- ч — в том числе г-р генератор д. б. — должно быть доп — допустимый (ая) др. — другие Д — соединение треугольником ЗРУ — зак] ытое РУ КЛ — кабельная линия капремонт — капитальный ремонт КТП — комплектная ТП КРУ — комплектное РУ КРУН — то же наружное к, 3. — короткое замыкание, короткозамкнутый КЭС — конденсационная ЭС ЛЭП — линия электропередачи [c.333]

Электростанцию устанавливают на обочине на расстоянии от крайнего рельса не ближе 2 м. Перед началом работ проверяют исправность топливного бака и бензопровода, заправляют двигатель топливом и маслом, убеждаются в надежности заземления. При заправке топливом нельзя допускать, чтобы бензин попал на нагретые детали двигателя. До подключения кабеля, ведущего к электроисполнительному инструменту, переводят рубильник или выключатель нагрузки в положение выключено . [c.285]

Выключатели нагрузки, установленные в распределительных устройствах 60 и 110 кв, представляют собой экспансионные выключатели с приводами сжатым воздухом. [c.245]

Производители выключателей нагрузки из России

Продукция крупнейших заводов по изготовлению выключателей нагрузки: сравнение цены, предпочтительных стран экспорта.

где производят выключатели нагрузки
⚓ Доставка в порт (CIF/FOB)
выключатели нагрузки цена 06.02.2022
🇬🇧 Supplier’s load switches Russia

Страны куда осуществлялись поставки из России 2018, 2019, 2020, 2022

🇰🇿 КАЗАХСТАН (38)
🇲🇳 МОНГОЛИЯ (22)
🇺🇦 УКРАИНА (20)
🇺🇿 УЗБЕКИСТАН (13)
🇰🇬 КИРГИЗИЯ (7)
🇲🇩 МОЛДОВА, РЕСПУБЛИКА (6)
🇦🇲 АРМЕНИЯ (5)
🇹🇲 ТУРКМЕНИЯ (5)
🇦🇿 АЗЕРБАЙДЖАН (4)
🇮🇳 ИНДИЯ (3)
🇹🇯 ТАДЖИКИСТАН (3)
🇻🇳 ВЬЕТНАМ (3)
🇫🇷 ФРАНЦИЯ (2)
🇪🇸 ИСПАНИЯ (2)
🇱🇻 ЛАТВИЯ (2)

Выбрать выключатели нагрузки: узнать наличие, цены и купить онлайн

Крупнейшие экспортеры из России, Казахстана, Узбекистана, Белоруссии, официальные контакты компаний. Через наш сайт, вы можете отправить запрос сразу всем представителям, если вы хотите купить
выключатели нагрузки.
🔥 Внимание: на сайте находятся все крупнейшие российские производители выключателей нагрузки, в основном производства находятся в России. Из-за низкой себестоимости, цены ниже, чем на мировом рынке

Поставки выключателей нагрузки оптом напрямую от завода изготовителя (Россия)

Крупнейшие заводы по производству выключателей нагрузки

Заводы по изготовлению или производству выключателей нагрузки находятся в центральной части России. Мы подготовили для вас список заводов из России, чтобы работать напрямую и легко можно было купить выключатели нагрузки оптом

Выключатели автоматические на напряжение менее

Изготовитель Разъединители и прерыватели на напряжение менее

Поставщики выключатели автоматические на силу тока не более а

Крупнейшие производители переключатели

Экспортеры Устройства для защиты электрических цепей на силу тока более А

Компании производители пульты

Производство Устройства для защиты электрических цепей на силу тока более А

Изготовитель Предварительно собранные элементы для электрических цепей на напряжение не более В

Поставщики Программируемые контроллеры с памятью на напряжение не более В

Крупнейшие производители —

Экспортеры Соединители и контактные элементы для проводов и кабелей на напряжение не более в

Компании производители Кнопочные переключатели на напряжение не более В

Производство Выключатели автоматические на силу тока не более а

Выключатели автоматические на силу тока более а

Поворотные переключатели на напряжение не более В

—

ТОП-5 крупнейших покупателей выключателей нагрузки в 🇧🇭 Бахрейне

Показать все
Трейдинг
Производство

Выключатели нагрузки оптом

Торгово-скупочная компания

Вы хотите найти новых клиентов, которые покупают выключатели нагрузки оптом

Ахли Юнайтед Банк
КРУ напряжением не более 1000В-63А выключатель нагрузки задний монтаж lb26331309mb42bgyr
Распределительное устройство Voltamp Co
Выключатель нагрузки 63a, заднее крепление
Универсал Электротехника
1. Аппаратура распределительная и управляющая на напряжение не более 0В выключатели нагрузки: изолятор 63а 4полюсный пластиковый корпус (49)
2. Аппаратура распределительная и управляющая на напряжение не выше 0В выключатели нагрузки: 32 smps lb 00 b31sm rd yr (6)
Imerys Alzayanifusedmineralswll
Реле нагрузки Schneider Makeover реле нагрузки lre22 16-24a
Kavalani&sons Wll
1. Распределительное устройство с евронагрузкой s/d: iocsfe 3 Euro переключающий диск. Fp 63 a w e xp (7)
2. Распределительное устройство Euro load s/d ihcsfo0 Выключатель-разъединитель Euroload fp a без

Елена Еременко
менеджер по логистике в ЕС, Азию

логистика, сертификат
электронная почта: [email protected]

Крупнейшие производители и экспортеры выключателей нагрузки

1. 🇲🇹 Methode Electronics Malta Ltd. (6)

Company (Размер)	Product	Страна
зажигание зажигание зажигания загружены на поддон Ex Kn MLA	Мальта
2.🇫🇮 Abb Oy Protection And Connection (4)	ПЕРЕКЛЮЧАТЕЛИ EX KN VAA СОДЕРЖАНИЕ И ДЕТАЛИ В СООТВЕТСТВИИ С ДЕКЛАРАЦИЯМИ, ЗАГРУЖЕННЫМИ В SACO CHS DESTINATION MEMPHIS	Финляндия
3. 🇲🇽 Flextrnoics International (3)	Импульсный источник питания Bpa S A Lf Bpa S Y Ctns, нагруженные на плиты № кода H.S.	Мексика
4. 🇹🇭 Dukil Industries Co., Ltd. (3)	CTNS РАСПРЕДЕЛИТЕЛЬНЫЕ ЩИТЫ СТРАНА ПРОИСХОЖДЕНИЯ: РЕСПУБЛИКА КОРЕЯ: ГРУЗ EXW, ПОКРЫВАЕМЫЙ НАСТОЯЩЕЙ НАЛАЧНОЙ, БЫЛ ЗАГРУЖЕН С КОМПАНИЕЙ EDCARGO, ООО	Таиланд
5.🇺🇸 Grasslin Controls Corp. (3)	Погрузка на поддоны Кормушка для рыбы, электронные переключатели, синхронные переключатели времени Производственные счетчики,,,,	США

ВЫКЛЮЧАТЕЛИ НАГРУЗКИ оптовая цена в Бахрейне

4 Продукт

2

0 Автоматические выключатели для тока не более 63A и напряжения менее 1000 В

0 Автоматические автоматические выключатели для тока более 63 A

0 $ 9.6 / кг

60059

6 10-100 кг

Продукт	Нагрузочные выключатели Цена на кг, MT	Вес
Автоматические автоматические выключатели для напряжения менее 72	$ 45.6 / KG	10-100 кг
Модули коммутации (автоматические Предохранители).Предназначен для механического переключения эл. Цепи в сети переменного тока до 50 кВ в вакуумной среде	45,7 долл. США за кг	100–1000 кг
Коммутационные модули (автоматические выключатели). Предназначен для механического переключения эл. Схемы в сети до 50 кВ AC в вакуумной среде	$ 41.1 / кг	1.000 — 10.000 кг
Автоматические автоматические выключатели для текущего не более 63 A	$ 71.9 / кг	10-100 кг
Автоматические выключатели на ток не более 63 А	20 $.1 за KG	100 — 1.000 кг
$ 15 / кг	1.000 — 10.000 кг
Автоматические автоматические выключатели для тока более 63	$ 49,6 / кг	$ 49,6 / кг	10-100 кг	10-100 кг
$ 41,8 за кг	100 — 1.000 кг
Автоматические автоматические выключатели для тока более 63а и напряжения Менее 1000 В Предназначен для защиты электрических цепей от перегрузок и коротких замыканий	48 долларов США. 6 / кг	1.000 — 10.000 кг

$ 175 / кг	$ 175 / кг	10-100 кг
Коммутаторы не автоматические	$ 21.1 за KG	100 — 1.000 кг
коммутаторов не Автоматически	$ 9,6 / кг
1.000 — 10.000 кг

	$ 4776 на MT	$ 4776 на MT
Автоматический контроль управления: POM Panels	$ 741 / кг
Элементы управления	223 долл. США за кг	100 — 1.000 кг
Электронный блок управления (шкаф управления блоком коммутации в алюминиевом корпусе с повышенной коррозионной стойкостью). Предназначен для выполнения электронной защиты объектов электроснабжения по переменному току	58,5 $/кг	1.000 — 10.000 кг

Выключатели нагрузки Склад

Просмотрите эту статью:

Лицо: Askin Inanc 5 января 2022 г.
Образование: Centrale Nantes, France

© Copyright 2016 — 2022 «Экспорт из России».Все права защищены.
Сайт не является публичной офертой. Вся информация на сайте носит ознакомительный характер. Все тексты, изображения и товарные знаки на этом веб-сайте являются интеллектуальной собственностью их соответствующих владельцев. Мы не являемся дистрибьютором бренда или компаний, представленных на сайте, Политика конфиденциальности

ТОП-3 крупнейших покупателей выключателей нагрузки в 🇸🇦 Саудовской Аравии

Показать все
Трейдинг
Производство

Выключатели нагрузки оптом

Торгово-скупочная компания

Вы хотите найти новых клиентов, которые покупают выключатели нагрузки оптом

Лифтовое предприятие в Азии
Выключатель перегрузки
Гидра Трейдинг Ко
Выключатель перегрузки
Электрические устройства Бахра
Установка для испытаний на выносливость для испытаний выключателей, предназначенных для ламповой нагрузки с собственным балластом, в соответствии с ci. 19.3 МЭК 60669-1. запрет загрузки

Елена Еременко
менеджер по логистике в ЕС, Азию

логистика, сертификат
электронная почта: [email protected]

Крупнейшие производители и экспортеры выключателей нагрузки

1. 🇲🇹 Methode Electronics Malta Ltd. (6)

Company (Размер)	Product	Страна
зажигание зажигание зажигания загружены на поддон Ex Kn MLA	Мальта
2.🇫🇮 Abb Oy Protection And Connection (4)	ПЕРЕКЛЮЧАТЕЛИ EX KN VAA СОДЕРЖАНИЕ И ДЕТАЛИ В СООТВЕТСТВИИ С ДЕКЛАРАЦИЯМИ, ЗАГРУЖЕННЫМИ В SACO CHS DESTINATION MEMPHIS	Финляндия
3. 🇲🇽 Flextrnoics International (3)	Импульсный источник питания Bpa S A Lf Bpa S Y Ctns, нагруженные на плиты № кода H.S.	Мексика
4. 🇹🇭 Dukil Industries Co., Ltd. (3)	CTNS РАСПРЕДЕЛИТЕЛЬНЫЕ ЩИТЫ СТРАНА ПРОИСХОЖДЕНИЯ: РЕСПУБЛИКА КОРЕЯ: ГРУЗ EXW, ПОКРЫВАЕМЫЙ НАСТОЯЩЕЙ НАЛАЧНОЙ, БЫЛ ЗАГРУЖЕН С КОМПАНИЕЙ EDCARGO, ООО	Таиланд
5. 🇺🇸 Grasslin Controls Corp. (3)	Погрузка на поддоны Кормушка для рыбы, электронные переключатели, синхронные переключатели времени Производственные счетчики,,,,	США

ВЫКЛЮЧАТЕЛИ НАГРУЗКИ оптовая цена в Саудовской Аравии

4 Продукт

0 автоматические автоматические выключатели для тока не более 63A и напряжения менее 1000 В

0 $ 44,9 / кг

0 Автоматические автоматические выключатели для тока более 63 A

$ 4776 на MT

Продукт	Грузные выключатели Цена за кг, MT	Вес
Автоматические автоматические выключатели для напряжения менее 72	$ 41,2 / кг	10-100 кг
коммутационные модули (автоматические Предохранители).Предназначен для механического переключения эл. Цепи в сети переменного тока до 50 кВ в вакуумной среде	41,3 долл. США за кг	100–1000 кг
Коммутационные модули (автоматические выключатели). Предназначен для механического переключения эл. Цепи в сети до 50 кВ AC в вакуумной среде	$ 37.2 / кг	1.000 — 10.000 кг
Автоматические автоматические выключатели для текущего не более 63 A	$ 65 / кг	10-100 кг
Автоматические выключатели на ток не более 63 А	18 $. 2 на KG	100 — 1.000 кг
$ 13.6 / кг	$ 13.6 / кг	1.000 — 10.000 кг
Автоматические автоматические выключатели для тока более 63 A	$ 44,9 / кг
10-100 кг	10-100 кг
$ 37.7 на KG	100 — 1.000 кг
Автоматические автоматические выключатели для тока более 63а и напряжения Менее 1000 В Предназначен для защиты электрических цепей от перегрузок и коротких замыканий	43 долл. США.9 / кг	1.000 — 10.000 кг
стартовый коммутатор
$ 158 / кг	$ 158 / кг	10-100 кг
Выключатели не автоматические	$ 19 за Kg	100 — 1.000 кг
коммутаторов не Автоматически	$ 8,7 / кг	1. 000 — 10.000 кг


$ 4776 за MT	$ 4776 на MT
Автоматический контроль управления: полицейские панели	$ 670 / кг	10-100 кг
Элементы управления	201 долл. США за кг	100 — 1.000 кг
Электронный блок управления (шкаф управления блоком коммутации в алюминиевом корпусе с повышенной коррозионной стойкостью). Предназначен для выполнения электронной защиты объектов электроснабжения по переменному току	52,9 $/кг	1.000 — 10.000 кг

Выключатели нагрузки Склад

Склад в Эр-Рияде
Выключатели нагрузки в Джидде
Склад в Ад-Даммам
Мекка, Саудовская Аравия
Склад, Медина, Саудовская Аравия

Просмотрите эту статью:

Глава 4. Настройка VPN с IPsec Red Hat Enterprise Linux 8

В RHEL 9 виртуальную частную сеть (VPN) можно настроить с использованием протокола IPsec , который поддерживается приложением Libreswan .

4.1. Libreswan как реализация IPsec VPN

В RHEL виртуальную частную сеть (VPN) можно настроить с использованием протокола IPsec , который поддерживается приложением Libreswan . Libreswan является продолжением приложения Openswan , и многие примеры из документации Openswan взаимозаменяемы с Libreswan .

Протокол IPsec для VPN настраивается с использованием протокола Internet Key Exchange ( IKE ). Термины IPsec и IKE взаимозаменяемы. IPsec VPN также называется IKE VPN, IKEv2 VPN, XAUTH VPN, Cisco VPN или IKE/IPsec VPN. Вариант IPsec VPN, который также использует протокол туннелирования уровня 2 ( L2TP ), обычно называется L2TP/IPsec VPN, для которого требуется дополнительный канал xl2tpd .

Libreswan — это реализация IKE с открытым исходным кодом для пользовательского пространства. IKE v1 и v2 реализованы как демон пользовательского уровня.Протокол IKE также зашифрован. Протокол IPsec реализуется ядром Linux, а Libreswan настраивает ядро для добавления и удаления конфигураций туннеля VPN.

Протокол IKE использует порты UDP 500 и 4500. Протокол IPsec состоит из двух протоколов:

Инкапсулированная полезная нагрузка безопасности ( ESP ), которая имеет номер протокола 50.
Аутентифицированный заголовок ( AH ), который имеет номер протокола 51.

Протокол AH не рекомендуется использовать. Пользователям AH рекомендуется перейти на ESP с нулевым шифрованием.

Протокол IPsec обеспечивает два режима работы:

Туннельный режим (по умолчанию)
Транспортный режим .

Вы можете настроить ядро с IPsec без IKE. Это называется Ручной ключ .Вы также можете настроить ввод ключей вручную с помощью команд ip xfrm , однако это настоятельно не рекомендуется по соображениям безопасности. Libreswan взаимодействует с ядром Linux с помощью netlink. Шифрование и дешифрование пакетов происходит в ядре Linux.

Libreswan использует криптографическую библиотеку Network Security Services ( NSS ). И Libreswan , и NSS сертифицированы для использования с Федеральным стандартом обработки информации ( FIPS ), публикация 140-2.

IKE / IPsec VPN, реализованные Libreswan и ядром Linux, являются единственной технологией VPN, рекомендуемой для использования в RHEL. Не используйте никакие другие технологии VPN, не понимая связанные с этим риски.

В RHEL Libreswan по умолчанию следует общесистемным криптографическим политикам . Это гарантирует, что Libreswan использует параметры безопасности для текущих моделей угроз, включая IKEv2 в качестве протокола по умолчанию.Дополнительную информацию см. в разделе Использование общесистемных политик шифрования.

Libreswan не использует термины «источник» и «назначение» или «сервер» и «клиент», поскольку IKE/IPsec являются одноранговыми протоколами. Вместо этого он использует термины «левый» и «правый» для обозначения конечных точек (хостов). Это также позволяет в большинстве случаев использовать одну и ту же конфигурацию на обеих конечных точках. Однако администраторы обычно предпочитают всегда использовать «лево» для локального хоста и «право» для удаленного хоста.

Опции leftid и rightid служат для идентификации соответствующих хостов в процессе аутентификации. Для получения дополнительной информации см. справочную страницу ipsec.conf(5) .

4.2. Методы аутентификации в Libreswan

Libreswan поддерживает несколько методов аутентификации, каждый из которых подходит для разных сценариев.

Общий ключ (PSK)

Pre-Shared Key (PSK) — самый простой метод проверки подлинности.Из соображений безопасности не используйте PSK короче 64 случайных символов. В режиме FIPS ключи PSK должны соответствовать требованию минимальной надежности в зависимости от используемого алгоритма целостности. Вы можете установить PSK, используя соединение authby=secret .

Необработанные ключи RSA

Необработанные ключи RSA обычно используются для статических конфигураций IPsec между хостами или подсетями. Каждый хост вручную настраивается с использованием открытых ключей RSA всех остальных хостов, и Libreswan устанавливает туннель IPsec между каждой парой хостов.Этот метод плохо масштабируется для большого количества хостов.

Вы можете сгенерировать необработанный ключ RSA на хосте с помощью команды ipsec newhostkey . Вы можете получить список сгенерированных ключей с помощью команды ipsec showhostkey . Строка leftrsasigkey= требуется для конфигураций подключения, использующих ключи CKA ID. Используйте параметр подключения authby=rsasig для необработанных ключей RSA.

Сертификаты X.509

Х.509 сертификаты обычно используются для крупномасштабных развертываний с узлами, которые подключаются к общему шлюзу IPsec. Центральный центр сертификации (CA) подписывает сертификаты RSA для хостов или пользователей. Этот центральный ЦС отвечает за ретрансляцию доверия, включая отзыв отдельных хостов или пользователей.

Например, вы можете сгенерировать сертификаты X.509 с помощью команды openssl и команды NSS certutil . Поскольку Libreswan считывает пользовательские сертификаты из базы данных NSS, используя псевдоним сертификата в параметре конфигурации leftcert= , укажите псевдоним при создании сертификата.

Если вы используете пользовательский сертификат CA, вы должны импортировать его в базу данных Network Security Services (NSS). Любой сертификат в формате PKCS #12 можно импортировать в базу данных Libreswan NSS с помощью команды ipsec import .

Libreswan требует идентификатор однорангового узла Internet Key Exchange (IKE) в качестве альтернативного имени субъекта (SAN) для каждого однорангового сертификата, как описано в разделе 3.1 RFC 4945. Отключение этой проверки путем изменения параметра require-id-on-certificated= может сделать систему уязвимой для атак типа «человек посередине».

Используйте параметр подключения authby=rsasig для аутентификации на основе сертификатов X. 509 с использованием RSA с SHA-2. Вы можете дополнительно ограничить его для цифровых подписей ECDSA с использованием SHA-2, установив authby= на ecdsa и аутентификацию на основе цифровых подписей RSA Probabilistic Signature Scheme (RSASSA-PSS) с SHA-2 до authby=rsa-sha2 . Значение по умолчанию — authby=rsasig,ecdsa .

Сертификаты и методы подписи authby= должны совпадать.Это повышает совместимость и сохраняет аутентификацию в одной системе цифровой подписи.

Нулевая аутентификация

Аутентификация NULL используется для шифрования сетки без аутентификации. Он защищает от пассивных атак, но не от активных атак. Однако, поскольку IKEv2 допускает асимметричные методы проверки подлинности, проверка подлинности NULL также может использоваться для оппортунистического IPsec в масштабе Интернета. В этой модели клиенты аутентифицируют сервер, но серверы не аутентифицируют клиента. Эта модель аналогична безопасным веб-сайтам, использующим TLS. Используйте authby=null для нулевой аутентификации.

Защита от квантовых компьютеров

В дополнение к ранее упомянутым методам аутентификации вы можете использовать метод Post-Quantum Pre-Shared Key (PPK) для защиты от возможных атак квантовых компьютеров. Отдельные клиенты или группы клиентов могут использовать свой собственный PPK, указав идентификатор PPK, который соответствует внешне настроенному предварительному общему ключу.

Использование IKEv1 с предварительными общими ключами обеспечивает защиту от квантовых злоумышленников. Редизайн IKEv2 изначально не предлагает эту защиту. Libreswan предлагает использовать постквантовый предварительный общий ключ (PPK) для защиты соединений IKEv2 от квантовых атак.

Чтобы включить дополнительную поддержку PPK, добавьте ppk=yes в определение подключения. Чтобы потребовать PPK, добавьте ppk=insist . Затем каждому клиенту может быть присвоен идентификатор PPK с секретным значением, которое передается вне полосы пропускания (и желательно с квантовой безопасностью).PPK должны быть очень случайными и не основываться на словарных словах. Идентификатор PPK и данные PPK хранятся в ipsec.secrets , например:

 @west @east : PPKS "user1" "thestringismeanttobearandomstr"

Вариант PPKS относится к статическим PPK. Эта экспериментальная функция использует динамические PPK на основе одноразовых блокнотов. При каждом подключении в качестве PPK используется новая часть одноразового блокнота. При использовании та часть динамического PPK внутри файла перезаписывается нулями, чтобы предотвратить повторное использование.Если материала для одноразового блокнота больше не осталось, соединение прерывается. Для получения дополнительной информации см. справочную страницу ipsec.secrets(5) .

Реализация динамических PPK предоставляется как неподдерживаемая предварительная версия технологии. Используйте с осторожностью.

4.3. Установка Libreswan

В этой процедуре описываются шаги по установке и запуску реализации Libreswan IPsec/IKE VPN.

Предпосылки

Репозиторий AppStream включен.

Процедура

Установите пакеты libreswan :

 #  yum установить libreswan

Если вы переустанавливаете Libreswan , удалите старые файлы базы данных и создайте новую базу данных:
```
 #  systemctl остановить ipsec 
#  rm /var/lib/ipsec/nss/*db 
#  ipsec initnss  
```
Запустите службу ipsec и включите автоматический запуск службы при загрузке:
```
 #  systemctl включить ipsec --now  
```
Настройте брандмауэр, чтобы разрешить порты 500 и 4500/UDP для протоколов IKE, ESP и AH, добавив службу ipsec :
```
 #  firewall-cmd --add-service="ipsec" 
#  firewall-cmd --runtime-to-permanent  
```

4.

4. Создание межхостовой VPN

Чтобы настроить Libreswan для создания виртуальной частной сети IPsec между двумя хостами, называемыми слева и справа , с использованием аутентификации с помощью необработанных ключей RSA, введите следующие команды на обоих хостах:

Предпосылки

Установлен Libreswan и запущена служба ipsec на каждом узле.

Процедура

Создайте необработанную пару ключей RSA на каждом хосте:
```
 #  ipsec newhostkey  
```
Предыдущий шаг вернул сгенерированный ключ ckaid .Используйте этот ckaid со следующей командой на left , например:
```
 #  ipsec showhostkey --left --ckaid 2d3ea57b61c9419dfd6cf43a1eb6cb306c0e857d  
```
Вывод предыдущей команды сгенерировал строку leftrsasigkey= , необходимую для конфигурации. То же самое делаем на втором хосте ( справа ):
```
 #  ipsec showhostkey --right --ckaid a9e1f6ce9ecd3608c24e8f701318383f41798f03  
```

В файле /etc/ipsec.d/ создайте новый файл my_host-to-host.conf . Запишите ключи хоста RSA из выходных данных команд ipsec showhostkey на предыдущем шаге в новый файл. Например:

 подключение к туннелю
    левый=@запад
    слева=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@восток
    справа = 192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig

После импорта ключей перезапустите службу ipsec :
```
 #  systemctl перезапустить ipsec  
```
Загрузите соединение:
```
 #  ipsec auto --add mytunnel  
```
Установите туннель:
```
 #  ipsec auto --up mytunnel  
```
Для автоматического запуска туннеля при запуске службы ipsec добавьте в определение соединения следующую строку:
```
 авто=старт 
```

4.

5. Настройка VPN типа «сеть-сеть»

Чтобы создать IPsec VPN типа «сеть-сеть», путем объединения двух сетей создается туннель IPsec между двумя хостами. Таким образом, хосты действуют как конечные точки, которые настроены на разрешение прохождения трафика из одной или нескольких подсетей. Поэтому вы можете думать о хосте как о шлюзе к удаленной части сети.

Конфигурация site-to-site VPN отличается от host-to-host VPN только тем, что в файле конфигурации необходимо указать одну или несколько сетей или подсетей.

Процедура

Скопируйте файл с конфигурацией вашего host-to-host VPN в новый файл, например:
```
 #  cp /etc/ipsec.d/  my_host-to-host.conf  /etc/ipsec.d/  my_site-to-site  .conf  
```

Добавьте конфигурацию подсети в файл, созданный на предыдущем шаге, например:

 подключение к моей подсети
     также=мойтуннель
     левая подсеть = 192. 0.1.0/24
     правая подсеть=192.0.2.0/24
     авто=старт

подключение mysubnet6
     также=мойтуннель
     левая подсеть=2001:db8:0:1::/64
     правая подсеть=2001:db8:0:2::/64
     авто=старт

# следующая часть конфигурационного файла одинакова как для соединений хост-хост, так и для соединений сайт-сайт:

подключение к туннелю
    левый=@запад
    слева=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@восток
    справа = 192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig

4.6. Настройка удаленного доступа VPN

Дорожные воины — это путешествующие пользователи с мобильными клиентами и динамически назначаемым IP-адресом. Мобильные клиенты аутентифицируются с использованием сертификатов X.509.

В следующем примере показана конфигурация для IKEv2 и не используется протокол IKEv1 XAUTH.

На сервере:

 конн роадварриорс
    ikev2=настаивать
    # поддержка (роуминг) клиентов MOBIKE (RFC 4555)
    мобайк=да
    фрагментация=да
    слева=1. 2.3.4
    # если есть доступ к локальной сети, включите это, иначе используйте 0.0.0.0/0
    # левая подсеть=10.10.0.0/16
    левая подсеть=0.0.0.0/0
    leftcert=gw.example.com
    левый идентификатор =% от сертификата
    leftxauthserver=да
    leftmodecfgserver=да
    справа=%любой
    # доверяйте нашему собственному сертификационному агентству
    rightca=%такой же
    # выбрать пул IP-адресов для назначения удаленным пользователям
    # 100.64.0.0/16 предотвращает конфликты RFC1918, когда удаленные пользователи находятся за NAT
    правильный адресный пул = 100.64.13.100-100.64.13.254
    # если вы хотите, чтобы удаленные клиенты использовали некоторые локальные DNS-зоны и серверы
    модекфгднс="1.2.3.4, 5.6.7.8"
    modecfgdomains="internal.company.com, корпорация"
    rightxauthclient=да
    rightmodecfgclient=да
    authby=rsasig
    # опционально, запустить идентификатор клиента X.509 через pam, чтобы разрешить или запретить
    # pam-авторизовать=да
    # загрузить соединение, не инициировать
    авто=добавить
    # убить исчезнувших дорожных воинов
    dpddelay=1м
    dpdtimeout=5м
    dpdaction=очистить

В мобильном клиенте, устройстве дорожного воина, используйте небольшую вариацию предыдущей конфигурации:

 подключение к vpn-серверу
    ikev2=настаивать
    # подбираем наш динамический IP
    слева=%defaultroute
    левая подсеть=0. 0.0.0/0
    leftcert=мое имя.example.com
    левый идентификатор =% от сертификата
    leftmodecfgclient=да
    # право также может быть DNS-именем хоста
    справа=1.2.3.4
    # если требуется доступ к удаленной локальной сети, включите это, иначе используйте 0.0.0.0/0
    # правая подсеть=10.10.0.0/16
    правая подсеть = 0.0.0.0/0
    фрагментация=да
    # доверяйте нашему собственному сертификационному агентству
    rightca=%такой же
    authby=rsasig
    # разрешить сужение до предлагаемого назначенного IP-адреса сервера и удаленной подсети
    сужение=да
    # поддержка (роуминг) клиентов MOBIKE (RFC 4555)
    мобайк=да
    # инициируем подключение
    авто=старт

4.7. Настройка ячеистой сети VPN

Ячеистая сеть VPN, также известная как «любой-к-любому» VPN, представляет собой сеть, в которой все узлы взаимодействуют с использованием IPsec . Конфигурация допускает исключения для узлов, которые не могут использовать IPsec . Ячеистая сеть VPN может быть настроена двумя способами:

Требовать IPsec .
Предпочесть IPsec , но разрешить откат к обмену открытым текстом.

Аутентификация между узлами может основываться на сертификатах X.509 или расширениях безопасности DNS (DNSSEC).

В следующей процедуре используются сертификаты X.509. Эти сертификаты могут быть сгенерированы с использованием любой системы управления центром сертификации (CA), например, системы сертификатов Dogtag. Dogtag предполагает, что сертификаты для каждого узла доступны в формате PKCS #12 (файлы .p12), которые содержат закрытый ключ, сертификат узла и сертификат корневого ЦС, используемые для проверки сертификатов X других узлов.509 сертификатов.

Каждый узел имеет одинаковую конфигурацию, за исключением сертификата X.509. Это позволяет добавлять новые узлы без перенастройки каких-либо из существующих узлов в сети. Для файлов PKCS #12 требуется «понятное имя», для которого мы используем имя «узел», чтобы файлы конфигурации, ссылающиеся на понятное имя, могли быть идентичными для всех узлов.

Предпосылки

Установлен Libreswan , и на каждом узле запущена служба ipsec .

Процедура

На каждом узле импортируйте файлы PKCS #12. Для этого шага требуется пароль, используемый для создания файлов PKCS #12:
```
 #  ipsec import nodeXXX.p12  
```

Создайте следующие три определения подключения для IPsec требуется (частный), IPsec дополнительный (частный или открытый) и Нет IPsec (чистый) профили:

 #  кот /etc/ipsec.d/mesh.conf 
соединение ясно
авто=по запросу
тип = сквозной
authby=никогда
слева=%defaultroute
справа=%группа

конн частный
авто=по запросу
тип = транспорт
authby=rsasig
отказшунт=падение
переговорыхант=дроп
# левый
слева=%defaultroute
левыйсерт=узелXXXX
левый идентификатор =% от сертификата
        leftrsasigkey=%сертификат
# правильно
rightrsasigkey=%сертификат
rightid=%fromcert
справа =% оппортунистическая группа

conn private-or-clear
авто=по запросу
тип = транспорт
authby=rsasig
отказшунт = сквозной
переговорыхант = сквозной
# левый
слева=%defaultroute
левыйсерт=узелXXXX
левый идентификатор =% от сертификата
        leftrsasigkey=%сертификат
# правильно
rightrsasigkey=%сертификат
rightid=%fromcert
справа =% оппортунистическая группа

Добавьте IP-адрес сети в соответствующую категорию. Например, если все узлы находятся в сети 10.15.0.0/16 и все узлы должны использовать шифрование IPsec :
```
 #  эхо "10.15.0.0/16" >> /etc/ipsec.d/policies/private  
```
Чтобы разрешить определенным узлам, например, 10.15.34.0/24, работать с IPsec и без него, добавьте эти узлы в группу private-or-clear, используя:
```
 #  эхо "10.15.34.0/24" >> /etc/ipsec.d/policies/private-or-clear  
```
Чтобы определить хост, например, 10.15.1.2, который не поддерживает IPsec в группу очистки, используйте:
```
 #  эхо "10.15.1.2/32" >> /etc/ipsec.d/policies/clear  
```
Файлы в каталоге /etc/ipsec.d/policies можно создавать из шаблона для каждого нового узла или предоставлять с помощью Puppet или Ansible.
Обратите внимание, что каждый узел имеет один и тот же список исключений или разные ожидания потока трафика. Таким образом, два узла могут не иметь возможности обмениваться данными, поскольку одному требуется IPsec , а другому нельзя использовать IPsec .
Перезапустите узел, чтобы добавить его в настроенную сетку:
```
 #  systemctl перезапустить ipsec  
```
Когда вы закончите с добавлением узлов, команды ping будет достаточно, чтобы открыть туннель IPsec . Чтобы увидеть, какие туннели открыты узлом:
```
 #  ipsec trafficstatus  
```

4.8. Развертывание IPsec VPN, совместимого с FIPS

Используйте эту процедуру для развертывания совместимого с FIPS решения IPsec VPN на основе Libreswan.Следующие шаги также позволяют определить, какие криптографические алгоритмы доступны, а какие отключены для Libreswan в режиме FIPS.

Предпосылки

Репозиторий AppStream включен.

Процедура

Установите пакеты libreswan :

 #  yum установить libreswan

Если вы переустанавливаете Libreswan , удалите его старую базу данных NSS:
```
 #  systemctl остановить ipsec 

#  rm /var/lib/ipsec/nss/*db  
```
Запустите службу ipsec и включите автоматический запуск службы при загрузке:
```
 #  systemctl включить ipsec --now  
```
Настройте брандмауэр, чтобы разрешить порты 500 и 4500/UDP для протоколов IKE, ESP и AH, добавив службу ipsec :
```
 #  firewall-cmd --add-service="ipsec" 
#  firewall-cmd --runtime-to-permanent  
```
Переключите систему в режим FIPS:
```
 #  fips-mode-setup --enable  
```
Перезагрузите систему, чтобы ядро могло переключиться в режим FIPS:
```
 #  перезагрузка  
```

Проверка

Чтобы убедиться, что Libreswan работает в режиме FIPS:
```
 #  ipsec whack --fipsstatus 
000 Режим FIPS включен 
```

В качестве альтернативы проверьте записи для устройства ipsec в журнале systemd :

 $  журналctl -u ipsec 
. ..
22 января 11:26:50 localhost.localdomain pluto[3076]: Режим FIPS: ДА

Чтобы увидеть доступные алгоритмы в режиме FIPS:

 #  ipsec pluto --selftest 2>&1 | голова -6 
Инициализация NSS с использованием базы данных для чтения и записи "sql:/var/lib/ipsec/nss"
Режим FIPS: ДА
Инициализирована криптобиблиотека NSS
Режим FIPS включен для демона pluto
Библиотека NSS работает в режиме FIPS.
Поддержка целостности FIPS HMAC [отключено]

Чтобы запросить отключенные алгоритмы в режиме FIPS:

 #  ipsec pluto --selftest 2>&1 | grep отключен 
Алгоритм шифрования CAMELLIA_CTR отключен; не соответствует FIPS
Алгоритм шифрования CAMELLIA_CBC отключен; не соответствует FIPS
Алгоритм шифрования NULL отключен; не соответствует FIPS
Алгоритм шифрования CHACHA20_POLY1305 отключен; не соответствует FIPS
Хэш-алгоритм MD5 отключен; не соответствует FIPS
Алгоритм PRF HMAC_MD5 отключен; не соответствует FIPS
Алгоритм PRF AES_XCBC отключен; не соответствует FIPS
Алгоритм целостности HMAC_MD5_96 отключен; не соответствует FIPS
Алгоритм целостности HMAC_SHA2_256_TRUNCBUG отключен; не соответствует FIPS
Алгоритм целостности AES_XCBC_96 отключен; не соответствует FIPS
Алгоритм DH MODP1536 отключен; не соответствует FIPS
Алгоритм DH Dh41 отключен; не соответствует FIPS

Чтобы вывести список всех разрешенных алгоритмов и шифров в режиме FIPS:

 #  ipsec pluto --selftest 2>&1 | grep ESP | grep FIPS | sed "s/^. *ФИПС//" 
aes_ccm, aes_ccm_c
aes_ccm_b
aes_ccm_a
NSS(CBC) 3des
NSS(GCM) aes_gcm, aes_gcm_c
NSS(GCM) aes_gcm_b
NSS(GCM) aes_gcm_a
NSS(CTR) aesctr
NSS (CBC) aes
aes_gmac
NSS ша, ша1, ша1_96, hmac_ша1
NSS sha512, sha2_512, sha2_512_256, hmac_sha2_512
NSS sha384, sha2_384, sha2_384_192, hmac_sha2_384
NSS sha2, sha256, sha2_256, sha2_256_128, hmac_sha2_256
aes_cmac
нулевой
NSS(MODP) ноль, dh0
NSS(MODP) dh24
NSS(MODP) 25 дх.х.
NSS(MODP) dh26
NSS(MODP) dh27
NSS(MODP) dh28
NSS(ECP) ecp_256, ecp256
NSS(ECP) ecp_384, ecp384
NSS(ECP) ecp_521, ecp521

4.9. Защита базы данных IPsec NSS паролем

По умолчанию служба IPsec создает базу данных служб сетевой безопасности (NSS) с пустым паролем при первом запуске. Добавьте защиту паролем, выполнив следующие действия.

Предпосылки

Каталог /var/lib/ipsec/nss/ содержит файлы базы данных NSS.

Процедура

Включите защиту паролем для базы данных NSS для Libreswan :

 #  certutil -N -d sql:/var/lib/ipsec/nss 
Введите пароль или PIN-код для «БД сертификатов NSS»:
Введите пароль, который будет использоваться для шифрования ваших ключей. Пароль должен быть не менее 8 символов,
и должен содержать хотя бы один неалфавитный символ.

Введите новый пароль:

Создайте файл /etc/ipsec.d/nsspassword , содержащий пароль, который вы установили на предыдущем шаге, например:
```
 #  кот /etc/ipsec.d/nsspassword 
База данных сертификатов NSS: MyStrongPasswordHere 
```
Обратите внимание, что файл nsspassword использует следующий синтаксис:
```
 token_1_name:the_password
token_2_name:the_password 
```
Программный токен NSS по умолчанию — NSS Certificate DB .Если ваша система работает в режиме FIPS, имя токена — NSS FIPS 140-2 Certificate DB .
В зависимости от вашего сценария запустите или перезапустите службу ipsec после завершения файла nsspassword :
```
 #  systemctl перезапуск ipsec  
```

Проверка

Убедитесь, что служба ipsec запущена после того, как вы добавили непустой пароль в ее базу данных NSS:

 #  статус systemctl ipsec 
● IP-сек. служба — демон протокола обмена ключами в Интернете (IKE) для IPsec
   Загружено: загружено (/usr/lib/systemd/system/ipsec.service; включено; предустановка поставщика: отключить>
   Активный: активный (работает)...

При необходимости проверьте наличие в журнале Journal записей, подтверждающих успешную инициализацию:

 #  журналctl -u ipsec 
...
pluto [6214]: Инициализация NSS с использованием базы данных для чтения и записи "sql:/var/lib/ipsec/nss"
pluto[6214]: Пароль NSS из файла "/etc/ipsec.d/nsspassword» для токена «БД сертификатов NSS» длиной 20, переданного в NSS
pluto[6214]: инициализирована криптобиблиотека NSS
...

4.10. Настройка IPsec VPN для использования TCP

Libreswan поддерживает TCP-инкапсуляцию пакетов IKE и IPsec, как описано в RFC 8229. С помощью этой функции вы можете установить IPsec VPN в сетях, которые предотвращают передачу трафика через UDP и Encapsulating Security Payload (ESP). Вы можете настроить VPN-серверы и клиенты для использования TCP либо в качестве резервного, либо в качестве основного транспортного протокола VPN.Поскольку инкапсуляция TCP требует больших затрат на производительность, используйте TCP в качестве основного протокола VPN только в том случае, если UDP постоянно заблокирован в вашем сценарии.

Процедура

Добавьте следующую опцию в файл /etc/ipsec.conf в разделе config setup :
```
 слушать TCP = да 
```
Чтобы использовать инкапсуляцию TCP в качестве запасного варианта, когда первая попытка через UDP не удалась, добавьте следующие два параметра в определение подключения клиента:
```
 включить-TCP = откат
TCP-удаленный порт = 4500 
```
В качестве альтернативы, если вы знаете, что UDP заблокирован навсегда, используйте следующие параметры в конфигурации подключения клиента:
```
 включить TCP = да
tcp-remoteport=4500 
```

4.

11. Настройка аппаратной разгрузки ESP на облигации для ускорения соединения IPsec

Разгрузка Encapsulation Security Payload (ESP) на оборудование ускоряет соединения IPsec. Если вы используете сетевое соединение для аварийного переключения, требования и процедура настройки аппаратной разгрузки ESP отличаются от тех, которые используются для обычного устройства Ethernet. Например, в этом сценарии вы включаете поддержку разгрузки на соединении, и ядро применяет настройки к портам соединения.

Предпосылки

Все сетевые карты в связке поддерживают аппаратную разгрузку ESP.
Сетевой драйвер поддерживает аппаратную разгрузку ESP на связанном устройстве. В RHEL эту функцию поддерживает только драйвер ixgbe .
Бонд настроен и работает.
Связь использует режим активно-резервный . Драйвер связывания не поддерживает другие режимы для этой функции.
Соединение IPsec настроено и работает.

Процедура

Включите поддержку аппаратной разгрузки ESP в сетевом соединении:
```
 #  подключение nmcli изменить  bond0  ethtool.feature-esp-hw-offload на  
```
Эта команда включает поддержку аппаратной разгрузки ESP для соединения bond0 .
Повторно активируйте соединение bond0 :
```
 #  соединение nmcli вверх  bond0   
```
Отредактируйте файл конфигурации Libreswan в папке /etc/ipsec.d/ каталог подключения, которое должно использовать аппаратную разгрузку ESP, и добавьте оператор nic-offload=yes к записи подключения:
```
 соединение  пример 
    ...
      nic-offload=да  
```

Перезапустите службу ipsec :

 #  systemctl перезапуск ipsec

Проверка

Отобразить активный порт бонда:

 #  grep "В настоящее время активное подчиненное устройство" /proc/net/bonding/  bond0  
В настоящее время активное подчиненное устройство:  enp1s0

Отобразите счетчики tx_ipsec и rx_ipsec активного порта:

 #  ethtool  enp1s0  | egrep "_ipsec" 
     tx_ipsec: 10
     rx_ipsec: 10

Направлять трафик через туннель IPsec. Например, пропингуйте удаленный IP-адрес:
```
 #  ping -c 5  удаленный_ip_адрес   
```
Снова отобразите счетчики tx_ipsec и rx_ipsec активного порта:
```
 #  ethtool enp1s0 | egrep "_ipsec" 
     tx_ipsec: 15
     rx_ipsec: 15 
```
Если значения счетчика увеличились, работает аппаратная разгрузка ESP.

4.12. Настройка соединений IPsec, которые отказываются от общесистемных политик шифрования

Переопределение общесистемных политик шифрования для соединения

Общесистемные криптографические политики RHEL создают специальное соединение с именем %default .Это соединение содержит значения по умолчанию для параметров ikev2 , esp и ike . Однако вы можете переопределить значения по умолчанию, указав указанную опцию в файле конфигурации соединения.

Например, следующая конфигурация разрешает подключения, использующие IKEv1 с AES и SHA-1 или SHA-2, а также IPsec (ESP) с AES-GCM или AES-CBC:

 подключение MyExample
  . ..
  ikev2=никогда
  ike=aes-sha2,aes-sha1;modp2048
  esp = aes_gcm, aes-sha2, aes-sha1
  ...

Обратите внимание, что AES-GCM доступен для IPsec (ESP) и для IKEv2, но не для IKEv1.

Отключение общесистемных политик шифрования для всех подключений

Чтобы отключить общесистемные политики шифрования для всех подключений IPsec, закомментируйте следующую строку в файле /etc/ipsec.conf :

 включить /etc/crypto-policies/back-ends/libreswan.config

Затем добавьте параметр ikev2=never в файл конфигурации подключения.

4.13. Устранение неполадок конфигураций IPsec VPN

Проблемы, связанные с настройками IPsec VPN, чаще всего возникают по нескольким основным причинам. Если вы столкнулись с такими проблемами, вы можете проверить, соответствует ли причина проблемы одному из следующих сценариев, и применить соответствующее решение.

Основные способы устранения неполадок подключения

Большинство проблем с VPN-подключениями возникают в новых развертываниях, где администраторы настроили конечные точки с несоответствующими параметрами конфигурации. Также рабочая конфигурация может внезапно перестать работать, часто из-за вновь введенных несовместимых значений. Это может быть результатом изменения конфигурации администратором. Кроме того, администратор мог установить обновление микропрограммы или пакетное обновление с другими значениями по умолчанию для определенных параметров, таких как алгоритмы шифрования.

Чтобы убедиться, что VPN-подключение IPsec установлено:

 #  ipsec trafficstatus 
006 #8: "vpn.пример.com"[1] 192.0.2.1, type=ESP, add_time=1595296930, inBytes=5999, outBytes=3231, аренда=100.64.13.5/32

Если вывод пуст или не показывает запись с именем соединения, туннель не работает.

Чтобы убедиться, что проблема в соединении:

Перезагрузите соединение vpn.example.com :

 #  ipsec auto --add  vpn.example.com  
002 добавлено описание подключения "vpn.example.ком"

Затем инициируйте VPN-подключение:

 #  ipsec auto --up  vpn. example.com

Проблемы, связанные с брандмауэром

Наиболее распространенная проблема заключается в том, что брандмауэр на одной из конечных точек IPsec или на маршрутизаторе между конечными точками отбрасывает все пакеты обмена ключами в Интернете (IKE).

Для IKEv2 вывод, подобный следующему примеру, указывает на проблему с брандмауэром:

 #  ipsec auto --up  vpn.Например.com  
181 "vpn.example.com"[1] 192.0.2.2 #15: запуск IKEv2 IKE SA
181 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: отправлено v2I1, ожидается v2R1
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: повторная передача; будет ждать ответа 0,5 секунды
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: повторная передача; будет ждать ответа 1 секунду
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: повторная передача; будет ждать 2 секунды для
...

Для IKEv1 вывод инициирующей команды выглядит следующим образом:

 #  ipsec auto --up  vpn. Например.com  
002 "vpn.example.com" №9: запуск основного режима
102 "vpn.example.com" #9: STATE_MAIN_I1: отправлен MI1, ожидается MR1
010 "vpn.example.com" #9: STATE_MAIN_I1: повторная передача; будет ждать ответа 0,5 секунды
010 "vpn.example.com" #9: STATE_MAIN_I1: повторная передача; будет ждать ответа 1 секунду
010 "vpn.example.com" #9: STATE_MAIN_I1: повторная передача; будет ждать ответа 2 секунды
...

Поскольку протокол IKE, который используется для настройки IPsec, зашифрован, с помощью средства tcpdump можно устранять только ограниченный набор проблем.Если межсетевой экран отбрасывает пакеты IKE или IPsec, можно попытаться найти причину с помощью утилиты tcpdump . Однако tcpdump не может диагностировать другие проблемы с подключениями IPsec VPN.

Несоответствие алгоритмов, протоколов и политик

VPN-подключения требуют, чтобы конечные точки имели совпадающие алгоритмы IKE, алгоритмы IPsec и диапазоны IP-адресов. Если происходит несоответствие, соединение не устанавливается. Если вы обнаружите несоответствие с помощью одного из следующих методов, исправьте его, согласовав алгоритмы, протоколы или политики.

Если удаленная конечная точка не использует IKE/IPsec, вы можете увидеть пакет ICMP, указывающий на это. Например:

 #  ipsec auto --up  vpn.example.com  
...
000 "vpn.example.com" [1] 192.0.2.2 #16: ОШИБКА: отчет об асинхронной сетевой ошибке на wlp2s0 (192.0.2.2:500), заявитель 198.51.100.1: Отказано в соединении [номер ошибки 111, источник ICMP, тип 3, код 3 (не аутентифицировано)]
...

Пример несовпадающих алгоритмов IKE:

 #  ipsec auto --up vpn.пример.com 
...
003 "vpn.example.com"[1] 193.110.157.148 #3: удаление неожиданного сообщения IKE_SA_INIT, содержащего уведомление NO_PROPOSAL_CHOSEN; полезная нагрузка сообщения: N; недостающие полезные нагрузки: SA,KE,Ni

Пример несовпадающих алгоритмов IPsec:

 #  ipsec auto --up vpn. example.com 
...
182 "vpn.example.com"[1] 193.110.157.148 #5: STATE_PARENT_I2: отправлено v2I2, ожидается v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_256 group=MODP2048}
002 "впн.example.com"[1] 193.110.157.148 #6: ответ IKE_AUTH содержал уведомление об ошибке NO_PROPOSAL_CHOSEN

Несоответствие версии IKE также может привести к тому, что удаленная конечная точка отклонит запрос без ответа. Это выглядит так же, как если бы брандмауэр отбрасывал все пакеты IKE.

Пример несовпадающих диапазонов IP-адресов для IKEv2 (называемых селекторами трафика — TS):

 #  ipsec auto --up vpn.example.com 
...
1v2" впн.пример.com" #1: STATE_PARENT_I2: отправлено v2I2, ожидается v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048}
002 "vpn.example.com" #2: ответ IKE_AUTH содержал уведомление об ошибке TS_UNACCEPTABLE

Пример несовпадающих диапазонов IP-адресов для IKEv1:

 #  ipsec auto --up vpn. example.com 
...
031 "vpn.example.com" #2: STATE_QUICK_I1: 60-секундный тайм-аут превышен после 0 повторных передач. Нет приемлемого ответа на наше первое сообщение в быстром режиме: возможно, партнеру не нравится предложение

При использовании PreSharedKeys (PSK) в IKEv1, если обе стороны не вводят один и тот же PSK, все сообщение IKE становится нечитаемым:

 #  ipsec auto --up vpn.пример.com 
...
003 "vpn.example.com" №1: полученная полезная нагрузка хэша не соответствует вычисленному значению
223 "vpn.example.com" #1: отправка уведомления INVALID_HASH_INFORMATION на 192.0.2.23:500

В IKEv2 ошибка несоответствия PSK приводит к появлению сообщения AUTHENTICATION_FAILED:

 #  ipsec auto --up vpn.example.com 
...
002 "vpn.example.com" #1: запрос аутентификации IKE SA отклонен узлом: AUTHENTICATION_FAILED

Максимальная единица передачи

Помимо брандмауэров, блокирующих пакеты IKE или IPsec, наиболее распространенная причина проблем с сетью связана с увеличением размера зашифрованных пакетов. Сетевое оборудование фрагментирует пакеты, размер которых превышает максимальную единицу передачи (MTU), например 1500 байт. Часто фрагменты теряются, и пакеты не удается собрать заново. Это приводит к периодическим сбоям, когда ping-тест, использующий пакеты небольшого размера, работает, но другой трафик не проходит. В этом случае вы можете установить сеанс SSH, но терминал зависает, как только вы его используете, например, введя команду «ls -al /usr» на удаленном хосте.

Чтобы обойти эту проблему, уменьшите размер MTU, добавив параметр mtu=1400 в файл конфигурации туннеля.

В качестве альтернативы для TCP-соединений включите правило iptables, которое изменяет значение MSS:

 #  iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Если предыдущая команда не решает проблему в вашем сценарии, напрямую укажите меньший размер в параметре set-mss :

 #  iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380

Преобразование сетевых адресов (NAT)

Когда узел IPsec также служит маршрутизатором NAT, он может случайно переназначить пакеты. Следующий пример конфигурации демонстрирует проблему:

 соединение myvpn
    слева=172.16.0.1
    левая подсеть = 10.0.2.0/24
    справа = 172.16.0.2
    правая подсеть = 192.168.0.0/16
…

В системе с адресом 172.16.0.1 есть правило NAT:

 iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

Если система по адресу 10.0.2.33 отправляет пакет на 192.168.0.1, то маршрутизатор преобразует исходный адрес 10.0.2.33 в 172.16.0.1 перед применением шифрования IPsec.

Тогда пакет с адресом источника 10.0.2.33 больше не соответствует конфигурации conn myvpn , и IPsec не шифрует этот пакет.

Чтобы решить эту проблему, вставьте правила, исключающие NAT для диапазонов целевых подсетей IPsec на маршрутизаторе, в этом примере:

 iptables -t nat -I POSTROUTING -s 10.0.2.0/24 -d 192.168.0.0/16 -j RETURN

Ошибки подсистемы IPsec ядра

Подсистема IPsec ядра может выйти из строя, например, когда ошибка вызывает десинхронизацию пользовательского пространства IKE и ядра IPsec. Чтобы проверить такие проблемы:

 $  кот /proc/net/xfrm_stat 
XfrmInError 0
XfrmInBufferError 0
...

Любое ненулевое значение в выводе предыдущей команды указывает на проблему. Если вы столкнулись с этой проблемой, откройте новый запрос в службу поддержки и прикрепите выходные данные предыдущей команды вместе с соответствующими журналами IKE.

Бревна Либресуана

Libreswan ведет журналы, используя протокол syslog по умолчанию.Вы можете использовать команду journalctl для поиска записей журнала, связанных с IPsec. Поскольку соответствующие записи в журнал отправляются демоном pluto IKE, выполните поиск по ключевому слову «pluto», например:

 $  журналctl -b | grep плутон

Чтобы отобразить журнал в реальном времени для службы ipsec :

 $  журналctl -f -u ipsec

Если уровень ведения журнала по умолчанию не выявляет проблемы с конфигурацией, включите журналы отладки, добавив параметр plutodebug=all в раздел config setup в файле /etc/ipsec. файл conf .

Обратите внимание, что ведение журнала отладки создает много записей, и возможно, что служба journald или syslogd ограничивает скорость сообщений syslog . Чтобы убедиться, что у вас есть полные журналы, перенаправьте журнал в файл. Отредактируйте /etc/ipsec.conf и добавьте logfile=/var/log/pluto.log в раздел config setup .

4.14. Дополнительные ресурсы

%PDF-1.4
%
2144 0 объект
>
эндообъект

внешняя ссылка
2144 76
0000000016 00000 н
0000003126 00000 н
0000003306 00000 н
0000004549 00000 н
0000005267 00000 н
0000005747 00000 н
0000005819 00000 н
0000005932 00000 н
0000006047 00000 н
0000006135 00000 н
0000006766 00000 н
0000007435 00000 н
0000007524 00000 н
0000007970 00000 н
0000008548 00000 н
0000009563 00000 н
0000010339 00000 н
0000011096 00000 н
0000012128 00000 н
0000012536 00000 н
0000012862 00000 н
0000013274 00000 н
0000014127 00000 н
0000015253 00000 н
0000015839 00000 н
0000015924 00000 н
0000016434 00000 н
0000017021 00000 н
0000018032 00000 н
0000019174 00000 н
0000021473 00000 н
0000026538 00000 н
0000031760 00000 н
0000036759 00000 н
0000037004 00000 н
0000037088 00000 н
0000037145 00000 н
0000037270 00000 н
0000037395 00000 н
0000089303 00000 н
0000089344 00000 н
0000089430 00000 н
0000089515 00000 н
0000089640 00000 н
0000089789 00000 н
0000089868 00000 н
0000089952 00000 н
00000

00000 н
00000

00000 н
00000
00000 н
00000
00000 н
00000
00000 н
0000000000 н 00000
00000 н 00000 00000 н 0000097795 00000 н 0000103420 00000 н 0000106426 00000 н 0000155455 00000 н 0000160976 00000 н 0000166497 00000 н 0000169052 00000 н 0000209360 00000 н 0000214881 00000 н 0000220402 00000 н 0000223217 00000 н 0000261822 00000 н 0000268514 00000 н 0000275206 00000 н 0000278475 00000 н 0000334925 00000 н 0000337216 00000 н 0000357514 00000 н 0000002900 00000 н 0000001857 00000 н трейлер ]/Предыдущая 2121402/XRefStm 2900>> startxref 0 %%EOF
2219 0 объект >поток hb```b` ̀
Исправить ошибки Bitdefender VPN 2, 4, 9, 12 и т.
д.на Windows, Mac, Android, iOS
1. Перезагрузите Mac
Иногда операционная система или программные зависимости запускаются неправильно. Выключение macOS и перезагрузка Mac могут решить такие проблемы.
Повторно подключитесь к Bitdefender VPN после перезагрузки Mac и проверьте, устранена ли проблема.

2. Удалите другие VPN
Другие приложения VPN, такие как Kaspersky VPN, NordVPN, ExpressVPN и т. д.может генерировать ошибки подключения, если он установлен на том же Mac, что и Bitdefender VPN.
Поэтому обязательно удалите другие VPN, если Bitdefender VPN обнаруживает ошибки подключения. Обратитесь к документации производителя, чтобы узнать, как удалить их приложение VPN.

3. Отключить прокси-сервер
Если проблема не устранена, проверьте, включены ли какие-либо настройки прокси-сервера. Чтобы отключить прокси:
• Откройте Системные настройки из дока или из меню Apple Logo .
• Щелкните значок Сеть , затем щелкните Дополнительно в нижней части окна.
• Откройте вкладку Прокси .
• Отключите «Автоматическое обнаружение прокси» или любые другие параметры, отмеченные в разделе . Выберите протокол для настройки .
• Нажмите OK .

4. Измените свой DNS
Если вы в настоящее время используете DNS (систему доменных имен) по умолчанию от вашего интернет-провайдера, переключитесь на сторонний DNS-сервер, который может быть быстрее и надежнее.
Как изменить свой DNS, чтобы узнать, не в нем ли проблема:
• Откройте Системные настройки из дока или из меню Apple Logo .
• Перейдите к строке поиска, расположенной в правом верхнем углу окна, и введите DNS .
• Выберите DNS-серверов из результатов поиска.
• Нажмите кнопку + в разделе DNS-серверы и введите 8. 8.8.8
.
• Нажмите + еще раз и введите 8.8.4.4 (это для избыточности.)
• Нажмите + и введите 2001:4860:4860::8888
• Щелкните + еще раз и введите 2001:4860:4860::8844 (это для избыточности.)
• Нажмите OK , затем Применить .

5. Доступ для ремонта брелка
Keychain Access из macOS — это система управления паролями. Заставить Bitdefender VPN восстановить хранящуюся там информацию в случае повреждения данных:
• Откройте Finder , затем нажмите Go в верхней части экрана.
• Выберите Утилиты .
• Внутри папки Utilities дважды щелкните Keychain Access .
• Появится новое окно. Выберите Все элементы на боковой панели в разделе Категория.
• Воспользуйтесь строкой поиска, расположенной в правом верхнем углу окна, и введите слово VPN .
• Просмотрите столбец Тип и удалите все записи, содержащие слово IPSec […].
• Затем щелкните значок Bitdefender VPN в верхней строке меню, откройте маленькую кнопку в виде шестеренки и выберите Выйти .
• Затем откройте Finder , нажмите Перейти в верхней части экрана, выберите Приложения → Bitdefender → откройте Bitdefender VPN → подключитесь к VPN.

6. Проверьте правильность установки Bitdefender VPN
Найдите «Bitdefender VPN.app» на Mac, чтобы проверить, существует ли приложение Bitdefender VPN в других местах, кроме:
/Приложения/Bitdefender/Bitdefender VPN.приложение
/Библиотека/Bitdefender/Central/Modules/com.bitdefender.vpn/Bitdefender VPN.приложение
Если вы найдете Bitdefender VPN.app в путях, отличных от упомянутых выше папок Applications и Library, удалите эти лишние записи Bitdefender VPN.
Также извлеките смонтированные тома и диски, на которых все еще может находиться Bitdefender VPN, чтобы убедиться, что они не влияют на VPN-подключение.

7. Переустановите Bitdefender VPN
Чтобы убедиться, что все файлы VPN не повреждены и у вас установлена последняя версия продукта, рекомендуется переустановить Bitdefender VPN.Следуйте инструкциям:
• Удалите Bitdefender VPN, следуя приведенным здесь инструкциям. Когда вы дойдете до шага 5 в статье, выберите удалить только Bitdefender VPN.
• Затем переустановите Bitdefender VPN с новым комплектом, загруженным со страницы продукта.

8. Попробуйте другую сеть
Если ошибки VPN сохраняются после выполнения предыдущих шагов, скорее всего, что-то в вашей локальной сети по-прежнему блокирует подключение к серверам Bitdefender.
Проверьте, можете ли вы использовать Bitdefender VPN после подключения вашего Mac к другой сети (Wi-Fi, точка доступа, кабель Ethernet и т. д.).
• Чтобы узнать, как настроить точку доступа на iPhone или iPad, перейдите по этой ссылке.
• Перейдите сюда, чтобы узнать, как настроить точку доступа на телефонах Android.
Если Bitdefender VPN работает, когда Mac использует другое подключение к Интернету, обратитесь к сетевому администратору или поставщику услуг Интернета, чтобы определить, какие настройки сети или маршрутизатора могут блокировать подключение VPN.
Как установить и настроить сервер OpenVPN в Ubuntu 20.04
Введение
Виртуальная частная сеть (VPN) позволяет вам проходить через ненадежные сети, как если бы вы были в частной сети. Это дает вам свободу безопасного и надежного доступа в Интернет со смартфона или ноутбука при подключении к ненадежной сети, такой как Wi-Fi в отеле или кафе.
В сочетании с соединениями HTTPS эта настройка позволяет защитить беспроводные входы в систему и транзакции.Вы можете обойти географические ограничения и цензуру, защитить свое местоположение и любой незашифрованный HTTP-трафик от ненадежных сетей.
OpenVPN — это полнофункциональное VPN-решение Transport Layer Security (TLS) с открытым исходным кодом, которое поддерживает широкий спектр конфигураций. В этом руководстве вы настроите OpenVPN на сервере Ubuntu 20.04, а затем настроите его так, чтобы он был доступен с клиентского компьютера.
Примечание: Если вы планируете настроить сервер OpenVPN на дроплете DigitalOcean, имейте в виду, что мы, как и многие хостинг-провайдеры, взимаем плату за превышение пропускной способности.По этой причине помните, сколько трафика обрабатывает ваш сервер.
См. эту страницу для получения дополнительной информации.
Предпосылки
Чтобы следовать этому руководству, вам понадобится:
Примечание: Хотя технически возможно использовать ваш OpenVPN-сервер или локальный компьютер в качестве ЦС, это не рекомендуется, поскольку это открывает вашу VPN для некоторых уязвимостей безопасности. Согласно официальной документации OpenVPN, вы должны разместить ЦС на отдельном компьютере, предназначенном для импорта и подписи запросов на сертификаты. По этой причине в этом руководстве предполагается, что ваш ЦС находится на отдельном сервере Ubuntu 20.04, на котором также есть пользователь без полномочий root с привилегиями sudo и включенным базовым брандмауэром.
В дополнение к этому вам понадобится клиентский компьютер, который вы будете использовать для подключения к вашему серверу OpenVPN. В этом руководстве мы будем называть его OpenVPN Client . Для целей этого руководства рекомендуется использовать локальный компьютер в качестве клиента OpenVPN.
После выполнения этих предварительных требований вы готовы приступить к установке и настройке сервера OpenVPN в Ubuntu 20.04.
Примечание: Обратите внимание, что если вы отключите аутентификацию по паролю при настройке этих серверов, вы можете столкнуться с трудностями при передаче файлов между ними позже в этом руководстве. Чтобы решить эту проблему, вы можете повторно включить аутентификацию по паролю на каждом сервере. В качестве альтернативы вы можете сгенерировать пару ключей SSH для каждого сервера, а затем добавить открытый SSH-ключ сервера OpenVPN в файл author_keys компьютера ЦС и наоборот. См. Как настроить ключи SSH в Ubuntu 20.04 для получения инструкций о том, как выполнить любое из этих решений.
Шаг 1 — Установка OpenVPN и Easy-RSA
Первым шагом в этом руководстве является установка OpenVPN и Easy-RSA. Easy-RSA — это инструмент управления инфраструктурой открытых ключей (PKI), который вы будете использовать на сервере OpenVPN для создания запроса на сертификат, который вы затем проверите и подпишете на сервере CA.
Для начала обновите индекс пакетов OpenVPN Server и установите OpenVPN и Easy-RSA. Оба пакета доступны в стандартных репозиториях Ubuntu, поэтому для установки можно использовать apt :
.
sudo подходящее обновление sudo apt установить openvpn easy-rsa
Далее вам нужно будет создать новый каталог на сервере OpenVPN от вашего пользователя без полномочий root с именем ~/easy-rsa :
mkdir ~/easy-rsa
Теперь вам нужно создать символическую ссылку из сценария easyrsa , который пакет установил в каталог ~/easy-rsa , который вы только что создали:
ln -s /usr/share/easy-rsa/* ~/easy-rsa/
Примечание: В то время как в других руководствах может быть указано скопировать файлы пакета easy-rsa в каталог PKI, в этом руководстве используется подход с символической ссылкой. В результате любые обновления пакета easy-rsa будут автоматически отражены в ваших сценариях PKI.
Наконец, убедитесь, что владельцем каталога является ваш пользователь sudo без полномочий root, и ограничьте доступ к этому пользователю с помощью chmod :
.
sudo chown Сэмми ~/easy-rsa chmod 700 ~/easy-rsa
После того, как эти программы будут установлены и перемещены в нужные места в вашей системе, следующим шагом будет создание инфраструктуры открытых ключей (PKI) на сервере OpenVPN, чтобы вы могли запрашивать и управлять сертификатами TLS для клиентов и других серверов, которые будет подключаться к вашему VPN.
Шаг 2 — Создание PKI для OpenVPN
Прежде чем вы сможете создать закрытый ключ и сертификат вашего сервера OpenVPN, вам необходимо создать локальный каталог инфраструктуры открытых ключей на вашем сервере OpenVPN. Вы будете использовать этот каталог для управления запросами сертификатов сервера и клиентов вместо того, чтобы делать их непосредственно на вашем сервере ЦС.
Чтобы создать каталог PKI на вашем сервере OpenVPN, вам нужно заполнить файл с именем vars некоторыми значениями по умолчанию.Сначала вы переместите cd в каталог easy-rsa , затем создадите и отредактируете файл vars с помощью nano или предпочитаемого вами текстового редактора.
cd ~/easy-rsa нано варс
После открытия файла вставьте следующие две строки:
~/easy-rsa/vars
set_var EASYRSA_ALGO "ec" set_var EASYRSA_DIGEST "sha512"
Это единственные две строки, которые вам нужны в этом файле vars на вашем сервере OpenVPN, поскольку он не будет использоваться в качестве центра сертификации.Они гарантируют, что ваши закрытые ключи и запросы сертификатов настроены на использование современной криптографии на основе эллиптических кривых (ECC) для создания ключей и безопасных подписей для ваших клиентов и сервера OpenVPN.
Настройка серверов OpenVPN и CA для использования ECC означает, что когда клиент и сервер пытаются установить общий симметричный ключ, они могут использовать алгоритмы эллиптической кривой для обмена. Использование ECC для обмена ключами значительно быстрее, чем использование простого алгоритма Диффи-Хеллмана с классическим алгоритмом RSA, поскольку числа намного меньше, а вычисления выполняются быстрее.
Справочная информация: Когда клиенты подключаются к OpenVPN, они используют асимметричное шифрование (также известное как открытый/закрытый ключ) для выполнения рукопожатия TLS. Однако при передаче зашифрованного VPN-трафика сервер и клиенты используют симметричное шифрование, также известное как шифрование с общим ключом.
При симметричном шифровании гораздо меньше вычислительных затрат по сравнению с асимметричным: используемые числа намного меньше, а современные ЦП интегрируют инструкции для выполнения оптимизированных операций симметричного шифрования. Чтобы переключиться с асимметричного на симметричное шифрование, сервер и клиент OpenVPN будут использовать алгоритм Эллиптической кривой Диффи-Хеллмана (ECDH) для согласования общего секретного ключа как можно быстрее.
После заполнения файла vars можно приступить к созданию каталога PKI. Для этого запустите сценарий easyrsa с параметром init-pki . Несмотря на то, что вы уже выполнили эту команду на сервере ЦС как часть предварительных требований, необходимо выполнить ее здесь, поскольку ваш сервер OpenVPN и сервер ЦС имеют отдельные каталоги PKI:
.
./easyrsa init-pki
Обратите внимание, что на вашем сервере OpenVPN нет необходимости создавать центр сертификации. Ваш ЦС-сервер несет исключительную ответственность за проверку и подписание сертификатов. PKI на вашем VPN-сервере используется только как удобное и централизованное место для хранения запросов сертификатов и общедоступных сертификатов.
После того как вы инициализировали PKI на сервере OpenVPN, вы готовы перейти к следующему шагу — созданию запроса сертификата сервера OpenVPN и закрытого ключа.
Шаг 3 — Создание запроса сертификата сервера OpenVPN и закрытого ключа
Теперь, когда на вашем сервере OpenVPN установлены все необходимые компоненты, следующим шагом будет создание закрытого ключа и запроса на подпись сертификата (CSR) на вашем сервере OpenVPN. После этого вы передадите запрос в свой ЦС для подписи, создав необходимый сертификат. Получив подписанный сертификат, вы перенесете его обратно на сервер OpenVPN и установите для использования сервером.
Для начала перейдите в каталог ~/easy-rsa на вашем сервере OpenVPN от имени пользователя без полномочий root:
cd ~/easy-rsa
Теперь вы вызовете easyrsa с опцией gen-req , за которой следует общее имя (CN) для машины. CN может быть чем угодно, но может быть полезно сделать его описательным. В этом руководстве CN сервера OpenVPN будет сервер . Обязательно включите опцию nopass . В противном случае файл запроса будет защищен паролем, что впоследствии может привести к проблемам с правами доступа.
Примечание: Если вы выберете здесь имя, отличное от server , вам придется изменить некоторые инструкции ниже. Например, при копировании сгенерированных файлов в каталог /etc/openvpn вам придется подставить правильные имена.Вам также придется позже изменить файл /etc/openvpn/server.conf , чтобы он указывал на правильные файлы .crt и .key .
./easyrsa gen-req сервер nopass
Выход Общее имя (например, имя пользователя, хоста или сервера) [сервер]: Запрос пары ключей и сертификата завершен. Ваши файлы: требуется: /home/sammy/easy-rsa/pki/reqs/server.req ключ: /home/sammy/easy-rsa/pki/private/server.ключ
Будет создан закрытый ключ для сервера и файл запроса сертификата с именем server.req . Скопируйте ключ сервера в каталог /etc/openvpn/server :
sudo cp /home/sammy/easy-rsa/pki/private/server.key /etc/openvpn/server/
После выполнения этих шагов вы успешно создали закрытый ключ для своего сервера OpenVPN. Вы также сгенерировали запрос на подпись сертификата для сервера OpenVPN.Теперь CSR готов для подписания вашим ЦС. В следующем разделе этого руководства вы узнаете, как подписать CSR с помощью закрытого ключа вашего сервера CA.
Шаг 4 — Подписание запроса сертификата сервера OpenVPN
На предыдущем шаге вы создали запрос на подпись сертификата (CSR) и закрытый ключ для сервера OpenVPN. Теперь сервер ЦС должен знать о сертификате сервера и проверить его. Как только центр сертификации проверит и передаст сертификат обратно на сервер OpenVPN, клиенты, которые доверяют вашему центру сертификации, также смогут доверять серверу OpenVPN.
На сервере OpenVPN в качестве пользователя без полномочий root используйте SCP или другой метод передачи, чтобы скопировать запрос сертификата server.req на сервер ЦС для подписи:
scp /home/sammy/easy-rsa/pki/reqs/server.req sammy @ your_ca_server_ip :/tmp
Если вы следовали предварительному руководству How To Set Up and Configure a Certificate Authority (CA) в Ubuntu 20.04, следующим шагом будет вход на сервер CA в качестве пользователя без полномочий root, которого вы создали для управления своим CA.Вы должны cd перейти в каталог ~/easy-rsa , где вы создали свой PK, а затем импортировать запрос сертификата с помощью сценария easyrsa :
cd ~/easy-rsa . /easyrsa import-req /tmp/server.req сервер
Выход . . . Запрос был успешно импортирован с коротким именем: server Теперь вы можете использовать это имя для выполнения операций подписи этого запроса.
Затем подпишите запрос, запустив сценарий easyrsa с параметром sign-req , типом запроса и общим именем.Тип запроса может быть либо клиент , либо сервер . Поскольку мы работаем с запросом сертификата сервера OpenVPN, обязательно используйте тип запроса server :
.
./easyrsa sign-req сервер сервер
В выходных данных вам будет предложено убедиться, что запрос исходит из надежного источника. Введите yes , затем нажмите ENTER для подтверждения:
Вывод Вы собираетесь подписать следующий сертификат.Пожалуйста, проверьте детали, показанные ниже, на точность. Обратите внимание, что этот запрос не прошел криптографическую проверку. Пожалуйста, убедитесь, что оно получено от надежного источник или что вы сверили контрольную сумму запроса с отправителем. Тема запроса, которая должна быть подписана как сертификат сервера на 3650 дней: тема= общее имя = сервер Введите слово «да», чтобы продолжить, или любой другой ввод, чтобы прервать. Подтвердить детали запроса: да . . . Сертификат создан по адресу: /home/sammy/easy-rsa/pki/issued/server.ЭЛТ
Обратите внимание: если вы зашифровали закрытый ключ ЦС, на этом этапе вам будет предложено ввести пароль.
Выполнив эти шаги, вы подписали запрос сертификата сервера OpenVPN, используя закрытый ключ сервера ЦС. Полученный файл server.crt содержит открытый ключ шифрования сервера OpenVPN, а также подпись сервера ЦС. Смысл подписи в том, чтобы сообщить всем, кто доверяет серверу ЦС, что они также могут доверять серверу OpenVPN при подключении к нему.
Чтобы завершить настройку сертификатов, скопируйте файлы server.crt и ca.crt с сервера ЦС на сервер OpenVPN:
scp pki/issued/server.crt Сэмми @ your_vpn_server_ip :/tmp scp pki/ca.crt Сэмми @ your_vpn_server_ip :/tmp
Теперь вернитесь на свой сервер OpenVPN, скопируйте файлы из /tmp в /etc/openvpn/server :
sudo cp /tmp/{server.crt,ca.crt} /etc/openvpn/сервер
Теперь ваш сервер OpenVPN почти готов принимать соединения. На следующем шаге вы выполните несколько дополнительных шагов для повышения безопасности сервера.
Шаг 5 — Настройка криптографического материала OpenVPN
Для дополнительного уровня безопасности мы добавим дополнительный общий секретный ключ, который сервер и все клиенты будут использовать с директивой OpenVPN tls-crypt . Этот параметр используется для сокрытия сертификата TLS, который используется при первоначальном подключении сервера и клиента друг к другу.Он также используется сервером OpenVPN для быстрой проверки входящих пакетов: если пакет подписан с помощью предварительного общего ключа, то сервер его обрабатывает; если он не подписан, то сервер знает, что он получен из ненадежного источника, и может отбросить его, не выполняя дополнительную работу по расшифровке.
Этот параметр поможет гарантировать, что ваш сервер OpenVPN сможет справиться с неаутентифицированным трафиком, сканированием портов и атаками типа «отказ в обслуживании», которые могут задействовать ресурсы сервера. Это также затрудняет идентификацию сетевого трафика OpenVPN.
Чтобы сгенерировать предварительный общий ключ tls-crypt , запустите на сервере OpenVPN в каталоге ~/easy-rsa следующую команду:
cd ~/easy-rsa openvpn --genkey --secret ta. key
Результатом будет файл с именем ta.key . Скопируйте его в каталог /etc/openvpn/server/:
sudo cp ta.key /etc/openvpn/сервер
Имея эти файлы на сервере OpenVPN, вы готовы создавать клиентские сертификаты и файлы ключей для своих пользователей, которые вы будете использовать для подключения к VPN.
Шаг 6 — Создание сертификата клиента и пары ключей
Хотя вы можете сгенерировать закрытый ключ и запрос сертификата на своем клиентском компьютере, а затем отправить его в ЦС для подписи, в этом руководстве описывается процесс создания запроса сертификата на сервере OpenVPN. Преимущество этого подхода заключается в том, что мы можем создать сценарий, который будет автоматически генерировать файлы конфигурации клиента, содержащие все необходимые ключи и сертификаты. Это позволяет избежать передачи ключей, сертификатов и файлов конфигурации клиентам и упрощает процесс присоединения к VPN.
Для этого руководства мы создадим одну пару клиентского ключа и сертификата. Если у вас несколько клиентов, вы можете повторить этот процесс для каждого из них. Обратите внимание, однако, что вам нужно будет передать уникальное значение имени в сценарий для каждого клиента. В этом руководстве первая пара сертификат/ключ называется client1 .
Начните с создания структуры каталогов в вашем домашнем каталоге для хранения сертификата клиента и файлов ключей:
mkdir -p ~/клиент-конфигурации/ключи
Поскольку вы будете хранить пары сертификатов/ключей и файлы конфигурации ваших клиентов в этом каталоге, вы должны сейчас заблокировать его разрешения в качестве меры безопасности:
chmod -R 700 ~/client-configs
Затем вернитесь в каталог EasyRSA и запустите сценарий easyrsa с параметрами gen-req и nopass вместе с общим именем клиента:
.
cd ~/easy-rsa ./easyrsa gen-req client1 без пароля
Нажмите ENTER для подтверждения общего имени. Затем скопируйте файл client1.key в созданный ранее каталог ~/client-configs/keys/:
cp pki/private/client1.key ~/client-configs/keys/
Затем передайте файл client1.req на ваш CA Server, используя безопасный метод:
scp pki/reqs/client1.req Сэмми @ your_ca_server_ip :/tmp
Теперь войдите на свой CA Server. Затем перейдите в каталог EasyRSA и импортируйте запрос сертификата:
.
cd ~/easy-rsa ./easyrsa import-req /tmp/client1.req client1
Затем подпишите запрос так же, как вы сделали это для сервера на предыдущем шаге. Однако на этот раз обязательно укажите тип запроса клиента :
.
./easyrsa sign-req client client1
При появлении запроса введите да , чтобы подтвердить, что вы намерены подписать запрос на сертификат и что он поступил из надежного источника:
Вывод Введите слово «да», чтобы продолжить, или любой другой ввод, чтобы прервать. Подтвердите данные запроса: да
Опять же, если вы зашифровали свой ключ ЦС, вам будет предложено ввести здесь пароль.
Будет создан файл сертификата клиента с именем client1. . Перенесите этот файл обратно на сервер:
scp pki/issued/client1.crt Сэмми @ your_server_ip :/tmp
Вернувшись на свой сервер OpenVPN, скопируйте сертификат клиента в каталог ~/client-configs/keys/:
cp /tmp/client1. crt ~/client-configs/keys/
Затем скопируйте файлы ca.crt и ta.key в каталог ~/client-configs/keys/ и установите соответствующие разрешения для вашего пользователя sudo:
cp ~/easy-rsa/ta.ключ ~/клиент-конфигурации/ключи/ sudo cp /etc/openvpn/server/ca.crt ~/client-configs/keys/ судо чаун сэмми . Сэмми ~/client-configs/keys/*
При этом все сертификаты и ключи вашего сервера и клиента были сгенерированы и сохранены в соответствующих каталогах на вашем сервере OpenVPN. Есть еще несколько действий, которые необходимо выполнить с этими файлами, но они появятся позже. А пока можно перейти к настройке OpenVPN.
Шаг 7 — Настройка OpenVPN
Как и многие другие широко используемые инструменты с открытым исходным кодом, OpenVPN имеет множество параметров конфигурации, доступных для настройки вашего сервера в соответствии с вашими конкретными потребностями. В этом разделе мы предоставим инструкции по настройке конфигурации сервера OpenVPN на основе одного из примеров файлов конфигурации, включенных в документацию к этому программному обеспечению.
Сначала скопируйте пример файла server.conf в качестве отправной точки для вашего собственного файла конфигурации:
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/сервер/ sudo gunzip /etc/openvpn/server/server.conf.gz
Откройте новый файл для редактирования в текстовом редакторе по вашему выбору. В нашем примере мы будем использовать nano:
.
sudo nano /etc/openvpn/server/server.conf
Нам нужно изменить несколько строк в этом файле. Сначала найдите раздел конфигурации HMAC , выполнив поиск директивы tls-auth .Эта линия будет включена по умолчанию. Закомментируйте это, добавив ; до начала строки. Затем добавьте после нее новую строку, содержащую значение tls-crypt ta.key only:
/etc/openvpn/сервер/server.conf
; tls-auth ta.key 0 # Этот файл является секретным tls-crypt ta.key
Затем найдите раздел о криптографических шифрах, выполнив поиск строк шифра . По умолчанию установлено значение AES-256-CBC , однако шифр AES-256-GCM предлагает лучший уровень шифрования, производительности и хорошо поддерживается современными клиентами OpenVPN.Мы закомментируем значение по умолчанию, добавив ; в начало этой строки, а затем мы добавим еще одну строку после нее, содержащую обновленное значение AES-256-GCM :
/etc/openvpn/сервер/server.conf
; шифр AES-256-CBC шифр AES-256-GCM
Сразу после этой строки добавьте директиву auth для выбора алгоритма дайджеста сообщения HMAC. Для этого хорошим выбором будет SHA256 :
/etc/openvpn/сервер/сервер.конф
аутентификация SHA256
Далее найдите строку, содержащую директиву dh , определяющую параметры Диффи-Хеллмана. Поскольку мы настроили все сертификаты для использования криптографии на основе эллиптических кривых, нет необходимости в начальном файле Диффи-Хеллмана. Закомментируйте существующую строку, которая выглядит как dh dh3048.pem или dh dh.pem . Имя файла для ключа Диффи-Хеллмана может отличаться от того, что указано в примере файла конфигурации сервера.Затем добавьте после него строку с содержимым dh none :
/etc/openvpn/сервер/server.conf
; дх дх3048.пэм дх нет
Затем мы хотим, чтобы OpenVPN работал без привилегий после запуска, поэтому нам нужно сказать, чтобы он работал с пользователем none и группой nogroup . Чтобы включить это, найдите и раскомментируйте строки user Nobody и group nogroup , удалив ; знак с начала каждой строки:
/etc/openvpn/сервер/сервер.конф
пользователь никто группа
(необязательно) Отправка изменений DNS для перенаправления всего трафика через VPN
Приведенные выше настройки создадут VPN-соединение между вашим клиентом и сервером, но не заставят никакие соединения использовать туннель. Если вы хотите использовать VPN для маршрутизации всего вашего клиентского трафика через VPN, вы, вероятно, захотите передать некоторые дополнительные настройки на клиентские компьютеры.
Для начала найдите и раскомментируйте строку, содержащую push "redirect-gateway def1 bypass-dhcp" .Это скажет вашему клиенту перенаправить весь свой трафик через ваш сервер OpenVPN. Имейте в виду, что включение этой функции может вызвать проблемы с подключением к другим сетевым службам, таким как SSH:
.
/etc/openvpn/сервер/server.conf
push "перенаправление шлюза def1 bypass-dhcp"
Чуть ниже этой строки найдите раздел dhcp-option . Снова удалите ; с начала обеих строк, чтобы раскомментировать их:
/etc/openvpn/сервер/сервер.конф
push "dhcp-опция DNS 208.67.222.222 " нажмите "dhcp-опция DNS 208.67.220.220 "
Эти строки укажут вашему клиенту использовать бесплатные резолверы OpenDNS на перечисленных IP-адресах. Если вы предпочитаете другие преобразователи DNS, вы можете заменить их вместо выделенных IP-адресов.
Это поможет клиентам перенастроить свои настройки DNS для использования туннеля VPN в качестве шлюза по умолчанию.
(дополнительно) Настройка порта и протокола
По умолчанию сервер OpenVPN использует порт 1194 и протокол UDP для приема клиентских подключений.Если вам нужно использовать другой порт из-за ограниченных сетевых сред, в которых могут находиться ваши клиенты, вы можете изменить параметр порта . Если вы не размещаете веб-контент на своем сервере OpenVPN, порт 443 является популярным выбором, поскольку он обычно разрешен правилами брандмауэра.
Чтобы настроить OpenVPN для прослушивания порта 443, откройте файл server.conf и найдите строку, которая выглядит следующим образом:
/etc/openvpn/сервер/server.conf
порт 1194
Отредактируйте его так, чтобы порт был 443:
/etc/openvpn/сервер/сервер.конф
# Опционально! порт 443
Часто протокол также ограничивается этим портом. Если это так, найдите строку proto ниже строки port и измените протокол с udp на tcp :
.
/etc/openvpn/сервер/server.conf
# Опционально! протокол TCP
Если вы выполняете переключение протокола на TCP, вам нужно будет изменить значение директивы manifest-exit-notify с 1 на 0 , так как эта директива используется только UDP. Если этого не сделать при использовании TCP, это приведет к ошибкам при запуске службы OpenVPN.
Найдите строку manifest-exit-notify в конце файла и измените значение на 0 :
/etc/openvpn/сервер/server.conf
# Опционально! явное уведомление о выходе 0
Если вам не нужно использовать другой порт и протокол, лучше оставить эти настройки без изменений.
(Необязательно) Укажите учетные данные не по умолчанию
Если вы выбрали другое имя во время ./easyrsa gen-req server ранее, измените строки cert и key в файле конфигурации server.conf , чтобы они указывали на соответствующие файлы .crt и .key . Если вы использовали имя по умолчанию, сервер , оно уже установлено правильно:
/etc/openvpn/сервер/server.conf
сертификат сервер .crt ключ сервер . key
Когда вы закончите, сохраните и закройте файл.
Вы завершили настройку общих параметров OpenVPN. На следующем шаге мы настроим сетевые параметры сервера.
Шаг 8 — Настройка сетевой конфигурации сервера OpenVPN
Существуют некоторые аспекты сетевой конфигурации сервера, которые необходимо настроить, чтобы OpenVPN мог правильно направлять трафик через VPN. Первым из них является IP-переадресация , метод определения, куда следует направлять IP-трафик. Это важно для функциональности VPN, которую будет предоставлять ваш сервер.
Чтобы настроить параметры IP-переадресации по умолчанию для сервера OpenVPN, откройте файл /etc/sysctl.conf , используя nano или предпочитаемый вами редактор:
.
судо нано /etc/sysctl.conf
Затем добавьте следующую строку внизу файла:
/etc/sysctl.conf
net.ipv4.ip_forward = 1
Сохраните и закройте файл, когда закончите.
Чтобы прочитать файл и загрузить новые значения для текущего сеанса, введите:
sudo sysctl -p
Выход нетто.ipv4.ip_forward = 1
Теперь ваш сервер OpenVPN сможет перенаправлять входящий трафик с одного устройства Ethernet на другое. Этот параметр гарантирует, что сервер может направлять трафик от клиентов, которые подключаются к виртуальному интерфейсу VPN, через другие физические устройства Ethernet. Эта конфигурация будет направлять весь веб-трафик от вашего клиента через IP-адрес вашего сервера, а общедоступный IP-адрес вашего клиента будет эффективно скрыт.
На следующем шаге вам нужно будет настроить некоторые правила брандмауэра, чтобы обеспечить правильную передачу трафика на ваш сервер OpenVPN и обратно.
Шаг 9 — Настройка брандмауэра
На данный момент вы установили OpenVPN на свой сервер, настроили его и сгенерировали ключи и сертификаты, необходимые вашему клиенту для доступа к VPN. Однако вы еще не предоставили OpenVPN какие-либо инструкции о том, куда отправлять входящий веб-трафик от клиентов. Вы можете указать, как сервер должен обрабатывать клиентский трафик, установив некоторые правила брандмауэра и конфигурации маршрутизации.
Предполагая, что вы выполнили предварительные требования в начале этого руководства, на вашем сервере уже должен быть установлен и запущен ufw .Чтобы разрешить OpenVPN через брандмауэр, вам необходимо включить маскировку, концепцию iptables, которая обеспечивает динамическую трансляцию сетевых адресов (NAT) на лету для правильной маршрутизации клиентских подключений.
Прежде чем открывать файл конфигурации брандмауэра для добавления правил маскировки, вы должны сначала найти общедоступный сетевой интерфейс вашего компьютера. Для этого введите:
список IP-маршрутов по умолчанию
Ваш общедоступный интерфейс — это строка в выводе этой команды, следующая за словом «dev». Например, этот результат показывает интерфейс с именем eth0 , который выделен ниже:
.
Вывод по умолчанию через 159.65.160.1 dev eth0 proto static
Когда у вас есть интерфейс, связанный с вашим маршрутом по умолчанию, откройте файл /etc/ufw/before.rules , чтобы добавить соответствующую конфигурацию:
sudo nano /etc/ufw/before.rules
Правила
UFW обычно добавляются с помощью команды ufw .Однако правила, перечисленные в файле before.rules , считываются и применяются до загрузки обычных правил UFW. В верхней части файла добавьте выделенные ниже строки. Это установит политику по умолчанию для цепочки POSTROUTING в таблице nat и замаскирует любой трафик, исходящий из VPN. Не забудьте заменить eth0 в строке -A POSTROUTING на интерфейс, который вы нашли в приведенной выше команде:
/etc/ufw/до. правила
# # правила.перед # # Правила, которые должны выполняться перед добавлением правил командной строки ufw. Обычай # правила должны быть добавлены в одну из этих цепочек: # ufw-до-ввода # ufw-перед-выводом # ufw-до-вперед # # START OPENVPN RULES # Правила таблицы NAT *nat :POSTROUTING ACCEPT [0:0] # Разрешить трафик от клиента OpenVPN к eth0 (изменить интерфейс, который вы обнаружили!) 2 -A 9 ПОСТРОЙКА -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # ЗАВЕРШИТЬ ПРАВИЛА OPENVPN # Не удаляйте эти обязательные строки, иначе будут ошибки *фильтр . . .
Сохраните и закройте файл, когда закончите.
Затем вам нужно сообщить UFW, чтобы он также разрешал переадресацию пакетов по умолчанию. Для этого откройте файл /etc/default/ufw :
sudo nano /etc/default/ufw
Внутри найдите директиву DEFAULT_FORWARD_POLICY и измените значение с DROP на ACCEPT :
/etc/по умолчанию/ufw
DEFAULT_FORWARD_POLICY=" ПРИНЯТЬ "
Сохраните и закройте файл, когда закончите.
Затем настройте сам брандмауэр, чтобы разрешить трафик OpenVPN. Если вы не меняли порт и протокол в файле /etc/openvpn/server.conf , вам нужно будет открыть UDP-трафик на порт 1194 . Если вы изменили порт и/или протокол, замените выбранные здесь значения.
Если вы забыли добавить SSH-порт при выполнении обязательного руководства, добавьте его и здесь:
sudo ufw разрешить 1194 / udp sudo ufw разрешить OpenSSH
Примечание . Если вы используете другой брандмауэр или настроили конфигурацию UFW, вам может потребоваться добавить дополнительные правила брандмауэра.Например, если вы решили туннелировать весь сетевой трафик через VPN-соединение, вам необходимо убедиться, что трафик порта 53 разрешен для запросов DNS, а такие порты, как 80 и 443 , — для трафика HTTP и HTTPS. соответственно. Если есть другие протоколы, которые вы используете через VPN, вам также нужно будет добавить правила для них.
После добавления этих правил отключите и снова включите UFW, чтобы перезапустить его и загрузить изменения из всех файлов, которые вы изменили:
sudo ufw отключить sudo ufw включить
Теперь ваш сервер настроен для правильной обработки трафика OpenVPN.С установленными правилами брандмауэра мы можем запустить службу OpenVPN на сервере.
Шаг 10 — Запуск OpenVPN
OpenVPN работает как служба systemd , поэтому для управления ею можно использовать systemctl . Мы настроим OpenVPN для запуска при загрузке, чтобы вы могли подключиться к VPN в любое время, пока работает ваш сервер. Для этого включите службу OpenVPN, добавив ее в systemctl :
sudo systemctl -f включить openvpn-server@server.услуга
Затем запустите службу OpenVPN:
sudo systemctl start [email protected]
Дважды проверьте, активна ли служба OpenVPN, с помощью следующей команды. Вы должны увидеть активных (работающих) в выводе:
статус sudo systemctl [email protected]
Вывод ● openvpn-server@server.сервис - сервис OpenVPN для сервера Загружено: загружено (/lib/systemd/system/[email protected]; включено; предустановка поставщика: включена) Активно: активно (работает) со среды 29 апреля 2020 г. 15:39:59 UTC; 6 с назад Документы: человек:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage https://community.openvpn.net/openvpn/wiki/HOWTO Основной PID: 16872 (openvpn) Статус: «Последовательность инициализации завершена» Заданий: 1 (лимит: 1137) Память: 1,0 М CГрупп: /система.часть/система-openvpn\x2dserver.slice/[email protected] └─16872 /usr/sbin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --c> . . . . . . 29 апреля, 15:39:59 ubuntu-20 openvpn[16872]: последовательность инициализации завершена
Мы завершили настройку OpenVPN на стороне сервера. Далее вы настроите свой клиентский компьютер и подключитесь к серверу OpenVPN.
Шаг 11 — Создание инфраструктуры конфигурации клиента
Создание файлов конфигурации для клиентов OpenVPN может быть несколько сложным, так как каждый клиент должен иметь свою собственную конфигурацию, и каждый должен соответствовать параметрам, указанным в файле конфигурации сервера.Вместо написания одного файла конфигурации, который можно использовать только на одном клиенте, на этом шаге описывается процесс создания инфраструктуры конфигурации клиента, которую можно использовать для создания файлов конфигурации на лету. Сначала вы создадите «базовый» файл конфигурации, а затем создадите сценарий, который позволит вам создавать уникальные файлы конфигурации клиента, сертификаты и ключи по мере необходимости.
Начните с создания нового каталога, в котором вы будете хранить файлы конфигурации клиента в созданном ранее каталоге client-configs :
mkdir -p ~/клиент-конфигурации/файлы
Затем скопируйте пример файла конфигурации клиента в каталог client-configs для использования в качестве базовой конфигурации:
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
Откройте этот новый файл с помощью nano или предпочитаемого вами текстового редактора:
нано ~/client-configs/base.conf
Внутри найдите удаленную директиву . Это указывает клиенту на адрес вашего сервера OpenVPN — общедоступный IP-адрес вашего сервера OpenVPN. Если вы решили изменить порт, который прослушивает сервер OpenVPN, вам также потребуется изменить 1194 на выбранный вами порт:
.
~/клиент-конфигурации/база.конф
. . . # Имя хоста/IP и порт сервера. # У вас может быть несколько удаленных записей # для балансировки нагрузки между серверами. удаленный your_server_ip 1194 . . .
Убедитесь, что протокол соответствует значению, которое вы используете в конфигурации сервера:
~/клиент-конфигурации/base.conf
прототип удп
Затем раскомментируйте директивы user и group , удалив ; Знак в начале каждой строки:
~/клиент-конфигурации/база.конф
# Понижение привилегий после инициализации (только не для Windows) пользователь никто группа
Найдите директивы, устанавливающие ca , cert и ключ . Закомментируйте эти директивы, так как вскоре вы добавите сертификаты и ключи в сам файл:
~/клиент-конфигурации/base.conf
# Параметры SSL/TLS. # См. конфигурационный файл сервера для получения дополнительной информации # описание. Лучше всего использовать # отдельная пара файлов .crt/.key # для каждого клиента.Один ок # файл можно использовать для всех клиентов. ; ca ca.crt ; сертификат client.crt ; ключ клиент.ключ
Аналогично закомментируйте директиву tls-auth , так как вы добавите ta.key прямо в файл конфигурации клиента (а сервер настроен на использование tls-crypt ):
~/клиент-конфигурации/base.conf
# Если на сервере используется ключ tls-auth # тогда у каждого клиента также должен быть ключ. ; tls-auth ta.key 1
Отразите настройки шифра и аутентификации , которые вы установили в файле /etc/openvpn/server/server.conf :
~/клиент-конфигурации/base.conf
шифр AES-256-GCM аутентификация SHA256
Затем добавьте в файл директиву key-direction . Вы должны установить значение «1» для правильной работы VPN на клиентском компьютере:
~/клиент-конфигурации/база.конф
направление ключа 1
Наконец, добавьте несколько закомментированных строк для обработки различных методов, которые VPN-клиенты на базе Linux будут использовать для разрешения DNS. Вы добавите два похожих, но отдельных набора закомментированных строк. Первый набор предназначен для клиентов, которые не используют systemd-resolved для управления DNS. Эти клиенты используют утилиту resolvconf для обновления информации DNS для клиентов Linux.
~/клиент-конфигурации/база.конф
; безопасность сценария 2 ; вверх /etc/openvpn/update-resolv-conf ; вниз /etc/openvpn/update-resolv-conf
Теперь добавьте еще один набор строк для клиентов, использующих systemd-resolved для разрешения DNS:
~/клиент-конфигурации/base.conf
; безопасность сценария 2 ; вверх /etc/openvpn/update-systemd-resolved ; вниз /etc/openvpn/update-systemd-resolved ; вниз-предварительно ; dhcp-option МАРШРУТ ДОМЕНА .
Сохраните и закройте файл, когда закончите.
Позже на шаге 13 — Установка конфигурации клиента этого руководства вы узнаете, как определить, как работает разрешение DNS на клиентах Linux, и какой раздел раскомментировать.
Затем мы создадим сценарий, который скомпилирует вашу базовую конфигурацию с соответствующими сертификатами, ключами и файлами шифрования, а затем поместит сгенерированную конфигурацию в каталог ~/client-configs/files .Откройте новый файл с именем make_config.sh в каталоге ~/client-configs :
.
нано ~/client-configs/make_config.sh
Внутри добавьте следующее содержимое:
~/клиент-конфигурации/make_config.sh
#!/бин/баш # Первый аргумент: идентификатор клиента KEY_DIR=~/клиент-конфигурации/ключи OUTPUT_DIR=~/клиент-конфигурации/файлы BASE_CONFIG=~/client-configs/base.conf кот ${BASE_CONFIG} \ <(эхо -e '') \ ${KEY_DIR}/ок.ЭЛТ \ <(echo -e '\n') \ ${KEY_DIR}/${1}.crt \ <(echo -e '\n') \ ${KEY_DIR}/${1}.ключ \ <(echo -e '\n') \ ${KEY_DIR}/ta.key \ <(echo -e '') \ > ${OUTPUT_DIR}/${1}.ovpn
Сохраните и закройте файл, когда закончите.
Прежде чем двигаться дальше, обязательно пометьте этот файл как исполняемый, набрав:
chmod 700 ~/client-configs/make_config.ш
Этот сценарий сделает копию созданного вами файла base.conf , соберет все файлы сертификатов и ключей, которые вы создали для своего клиента, извлечет их содержимое, добавит их к копии файла базовой конфигурации и экспортирует все это содержимое в новый файл конфигурации клиента. Это означает, что вместо того, чтобы отдельно управлять конфигурацией клиента, сертификатом и файлами ключей, вся необходимая информация хранится в одном месте.Преимущество использования этого метода заключается в том, что если вам когда-нибудь понадобится добавить клиента в будущем, вы можете запустить этот сценарий, чтобы быстро создать новый файл конфигурации и убедиться, что вся важная информация хранится в одном легкодоступном файле. место расположения.
Обратите внимание, что каждый раз, когда вы добавляете нового клиента, вам нужно будет сгенерировать для него новые ключи и сертификаты, прежде чем вы сможете запустить этот сценарий и сгенерировать его файл конфигурации. Вы попрактикуетесь в использовании этого скрипта на следующем шаге.
Шаг 12 — Создание конфигураций клиента
Если вы следовали руководству, вы создали клиентский сертификат и ключ с именем client1.crt и client1.key соответственно на шаге 6. Вы можете создать файл конфигурации для этих учетных данных, перейдя в каталог ~/client-configs и запустив скрипт, созданный в конце предыдущего шага:
cd ~/client-configs ./make_config.sh клиент1
Это создаст файл с именем client1.ovpn в вашем каталоге ~/client-configs/files :
лс ~/клиент-конфигурации/файлы
Выход клиент1.овпн
Вам необходимо перенести этот файл на устройство, которое вы планируете использовать в качестве клиента. Например, это может быть ваш локальный компьютер или мобильное устройство.
Хотя конкретные приложения, используемые для выполнения этой передачи, будут зависеть от операционной системы вашего устройства и ваших личных предпочтений, надежным и безопасным методом является использование SFTP (протокол передачи файлов SSH) или SCP (Secure Copy) на серверной части. Это позволит передавать файлы аутентификации VPN вашего клиента по зашифрованному соединению.
Вот пример команды SFTP, которую вы можете запустить с вашего локального компьютера (macOS или Linux). Это скопирует файл client1.ovpn , который мы создали на последнем шаге, в ваш домашний каталог:
sftp Сэмми @ openvpn_server_ip :client-configs/files/client1.ovpn ~/
Вот несколько инструментов и руководств по безопасной передаче файлов с сервера OpenVPN на локальный компьютер:
Шаг 13 — Установка конфигурации клиента
В этом разделе рассказывается, как установить клиентский профиль VPN в Windows, macOS, Linux, iOS и Android.Ни одна из этих клиентских инструкций не зависит друг от друга, поэтому не стесняйтесь переходить к тому, что применимо к вашему устройству.
Соединение OpenVPN будет иметь то же имя, что и файл .ovpn . Что касается этого руководства, это означает, что соединение называется client1.ovpn , что соответствует первому сгенерированному вами клиентскому файлу.
Windows
Установка
Загрузите клиентское приложение OpenVPN для Windows со страницы загрузок OpenVPN.Выберите соответствующую версию установщика для вашей версии Windows.
Примечание : для установки OpenVPN требуются права администратора.
После установки OpenVPN скопируйте файл .ovpn по адресу:
C:\Program Files\OpenVPN\config
Когда вы запускаете OpenVPN, он автоматически находит профиль и делает его доступным.
Вы должны запускать OpenVPN от имени администратора каждый раз, когда он используется, даже под учетными записями администратора.Чтобы сделать это, не щелкая правой кнопкой мыши и не выбирая Запуск от имени администратора каждый раз, когда вы используете VPN, вы должны настроить это из учетной записи администратора. Это также означает, что обычным пользователям потребуется ввести пароль администратора для использования OpenVPN. С другой стороны, обычные пользователи не могут правильно подключиться к серверу, если приложение OpenVPN на клиенте не имеет прав администратора, поэтому необходимы повышенные привилегии.
Чтобы приложение OpenVPN всегда запускалось от имени администратора, щелкните правой кнопкой мыши значок его ярлыка и перейдите к Свойствам .В нижней части вкладки Совместимость нажмите кнопку Изменить настройки для всех пользователей . В новом окне отметьте Запустить эту программу от имени администратора .
Соединительный
Каждый раз, когда вы запускаете графический интерфейс OpenVPN, Windows будет спрашивать, хотите ли вы разрешить программе вносить изменения в ваш компьютер. Нажмите Да . Запуск клиентского приложения OpenVPN только помещает апплет в системный трей, чтобы вы могли подключаться и отключаться от VPN по мере необходимости; на самом деле он не устанавливает VPN-соединение.
После запуска OpenVPN инициируйте подключение, зайдя в апплет на панели задач и щелкнув правой кнопкой мыши значок апплета OpenVPN. Это открывает контекстное меню. Выберите client1 в верхней части меню (это ваш профиль client1.ovpn ) и выберите Connect .
Откроется окно состояния, показывающее выходные данные журнала, пока соединение установлено, и сообщение появится, как только клиент подключится.
Отключитесь от VPN таким же образом: зайдите в апплет на панели задач, щелкните правой кнопкой мыши значок апплета OpenVPN, выберите профиль клиента и нажмите Отключить .
macOS
Установка
Tunnelblick — это бесплатный клиент OpenVPN с открытым исходным кодом для macOS. Вы можете загрузить последний образ диска со страницы загрузок Tunnelblick. Дважды щелкните загруженный файл .dmg и следуйте инструкциям по установке.
Ближе к концу процесса установки Tunnelblick спросит, есть ли у вас файлы конфигурации. Ответ У меня есть файлы конфигурации , и пусть Tunnelblick закончит. Откройте окно Finder и дважды щелкните client1.овпн . Tunnelblick установит профиль клиента. Требуются административные привилегии.
Соединительный
Запустите Tunnelblick, дважды щелкнув значок Tunnelblick в папке Applications. После запуска Tunnelblick в строке меню в правом верхнем углу экрана появится значок Tunnelblick для управления подключениями. Щелкните значок, а затем пункт меню Connect client1 , чтобы инициировать VPN-подключение. Если вы используете пользовательские настройки DNS с Tunnelblick, вам может потребоваться установить флажок «Разрешить изменение настроек сети, установленных вручную» в диалоговом окне расширенной конфигурации.
Линукс
Установка
Если вы используете Linux, существует множество инструментов, которые вы можете использовать в зависимости от вашего дистрибутива. Ваша среда рабочего стола или оконный менеджер также могут включать в себя утилиты подключения.
Однако наиболее универсальным способом подключения является просто использование программного обеспечения OpenVPN.
В Ubuntu или Debian вы можете установить его так же, как и на сервере, набрав:
sudo подходящее обновление sudo apt установить openvpn
В CentOS вы можете включить репозитории EPEL, а затем установить их, набрав:
sudo dnf установить epel-релиз sudo dnf установить openvpn
Настройка клиентов, использующих
systemd-resolved
Сначала определите, использует ли ваша система systemd-resolved для обработки разрешения DNS, проверив файл /etc/resolv.файл conf :
кот /etc/resolv.conf
Вывод # Этим файлом управляет man:systemd-resolved(8). Не редактировать. . . . сервер имен 127.0.0.53 опции edns0
Если ваша система настроена на использование systemd-resolved для разрешения DNS, IP-адрес после параметра nameserver будет 127.0.0.53 . В файле также должны быть комментарии, такие как показанный вывод, которые объясняют, как systemd-resolved управляет файлом.Если ваш IP-адрес отличается от 127.0.0.53 , то, скорее всего, ваша система не использует systemd-resolved , и вы можете перейти к следующему разделу по настройке клиентов Linux, у которых вместо этого есть сценарий update-resolv-conf . .
Для поддержки этих клиентов сначала установите пакет openvpn-systemd-resolved . Он предоставляет сценарии, которые заставят systemd-resolved использовать VPN-сервер для разрешения DNS.
sudo apt установить openvpn-systemd-разрешено
Один из этих пакетов установлен, настройте клиент для его использования и для отправки всех DNS-запросов через интерфейс VPN.Откройте файл VPN клиента:
нано клиент1 .ovpn
Теперь раскомментируйте следующие строки, которые вы добавили ранее:
client1.ovpn
скрипт-безопасность 2 вверх /etc/openvpn/update-systemd-разрешено /etc/openvpn/update-systemd-resolved вниз-предварительно dhcp-option МАРШРУТ ДОМЕНА .
Настройка клиентов, использующих
update-resolv-conf
Если ваша система не использует systemd-resolved для управления DNS, проверьте, включает ли ваш дистрибутив сценарий /etc/openvpn/update-resolv-conf вместо этого:
лс /etc/openvpn
Вывод update-resolv-conf
Если ваш клиент включает файл update-resolv-conf , отредактируйте файл конфигурации клиента OpenVPN, который вы передали ранее:
нано клиент1 .овпн
Раскомментируйте три строки, которые вы добавили для настройки DNS:
client1.ovpn
скрипт-безопасность 2 вверх /etc/openvpn/update-resolv-conf вниз /etc/openvpn/update-resolv-conf
Если вы используете CentOS, измените директиву group с nogroup на none , чтобы она соответствовала доступным группам дистрибутива:
client1.ovpn
группа никто
Сохраните и закройте файл.
Соединительный
Теперь вы можете подключиться к VPN, просто указав команду openvpn в файле конфигурации клиента:
sudo openvpn --config client1 .ovpn
Это должно подключить вас к VPN.
Примечание: Если ваш клиент использует systemd-resolve для управления DNS, проверьте правильность применения настроек, выполнив команду systemd-resolve --status следующим образом:
systemd-resolve --status tun0
Вы должны увидеть следующий вывод:
Выход Ссылка 22 ( tun0 ) .. . DNS-серверы: 208.67.222.222 208.67.220.220 DNS-домен: ~.
Если вы видите IP-адреса DNS-серверов, которые вы настроили на сервере OpenVPN, вместе с ~. для DNS-домена в выходных данных, то вы правильно настроили свой клиент для использования DNS-преобразователя VPN-сервера. Вы также можете проверить, отправляете ли вы DNS-запросы через VPN, используя такой сайт, как тест на утечку DNS.ком.
iOS
Установка
В iTunes App Store найдите и установите OpenVPN Connect, официальное клиентское приложение OpenVPN для iOS. Чтобы перенести конфигурацию клиента iOS на устройство, подключите его напрямую к компьютеру.
Здесь описан процесс завершения передачи с помощью iTunes. Откройте iTunes на компьютере и нажмите iPhone > приложения . Прокрутите вниз до раздела File Sharing и щелкните приложение OpenVPN.Пустое окно справа, OpenVPN Documents , предназначено для обмена файлами. Перетащите файл .ovpn в окно OpenVPN Documents.
Теперь запустите приложение OpenVPN на iPhone. Вы получите уведомление о том, что новый профиль готов к импорту. Коснитесь зеленого знака «плюс», чтобы импортировать его.
Соединительный
Теперь OpenVPN готов к использованию с новым профилем. Запустите подключение, переместив кнопку Connect в положение On .Отключите, сдвинув ту же кнопку на Off .
Примечание : Переключатель VPN в разделе Настройки нельзя использовать для подключения к VPN. Если вы попытаетесь, вы получите уведомление о подключении только с помощью приложения OpenVPN.
Андроид
Установка
Откройте магазин Google Play. Найдите и установите Android OpenVPN Connect, официальное клиентское приложение Android OpenVPN.
Вы можете передать .ovpn , подключив устройство Android к компьютеру через USB и скопировав файл. В качестве альтернативы, если у вас есть устройство чтения SD-карт, вы можете извлечь SD-карту устройства, скопировать на нее профиль, а затем вставить карту обратно в устройство Android.
Запустите приложение OpenVPN и коснитесь меню ФАЙЛ , чтобы импортировать профиль.
Затем перейдите к местоположению сохраненного профиля (на снимке экрана используется /storage/emulated/0/openvpn ) и выберите свой .файл ovpn . Нажмите кнопку IMPORT , чтобы завершить импорт этого профиля.
Соединительный
После добавления профиля вы увидите такой экран:
Чтобы подключиться, коснитесь переключателя рядом с профилем, который вы хотите использовать. Вы увидите в реальном времени статистику вашего соединения и трафика, проходящего через ваш сервер OpenVPN:
Чтобы отключиться, просто еще раз коснитесь переключателя в левом верхнем углу. Вам будет предложено подтвердить, что вы хотите отключиться от VPN.
Шаг 14 — Тестирование VPN-подключения (необязательно)
Примечание: Этот метод проверки вашего VPN-соединения будет работать, только если вы решили направлять весь свой трафик через VPN на шаге 7, когда редактировали файл server.conf для OpenVPN.
После того, как все установлено, простая проверка подтверждает, что все работает правильно. Не включив VPN-подключение, откройте браузер и перейдите к DNSLeakTest.
Сайт вернет IP-адрес, назначенный вашим интернет-провайдером, и ваш внешний вид для остального мира.Чтобы проверить настройки DNS через тот же веб-сайт, нажмите Extended Test , и он сообщит вам, какие DNS-серверы вы используете.
Теперь подключите клиент OpenVPN к VPN вашей капли и обновите браузер. Теперь должен появиться совершенно другой IP-адрес (адрес вашего VPN-сервера), и именно так вы выглядите в мире. Опять же, расширенный тест DNSLeakTest проверит ваши настройки DNS и подтвердит, что вы теперь используете резолверы DNS, навязанные вашей VPN.
Шаг 15 — Отзыв клиентских сертификатов
Иногда может потребоваться отозвать сертификат клиента, чтобы предотвратить дальнейший доступ к серверу OpenVPN.
Для этого следуйте примеру в предварительном руководстве по установке и настройке центра сертификации в Ubuntu 20.04 в разделе Отзыв сертификата .
После того как вы отозвали сертификат для клиента с помощью этих инструкций, вам необходимо скопировать сгенерированный crl.pem на ваш сервер OpenVPN в каталоге /etc/openvpn/server :
sudo cp /tmp/crl.pem /etc/openvpn/сервер/
Затем откройте файл конфигурации сервера OpenVPN:
sudo nano /etc/openvpn/server/server.conf
Внизу файла добавьте параметр crl-verify , который будет указывать серверу OpenVPN проверять созданный нами список отзыва сертификатов при каждой попытке подключения:
/etc/openvpn/сервер/сервер.конф
crl-проверить crl.pem
Сохраните и закройте файл.
Наконец, перезапустите OpenVPN, чтобы выполнить отзыв сертификата:
sudo systemctl перезапустить [email protected]
Клиент больше не сможет успешно подключаться к серверу, используя старые учетные данные.
Чтобы отозвать дополнительных клиентов, выполните следующий процесс:
Отозвать сертификат с помощью ./easyrsa отзыв имя_клиента команда
Создать новый CRL
Перенесите новый файл crl.pem на сервер OpenVPN и скопируйте его в каталог /etc/openvpn/server/, чтобы перезаписать старый список.
Перезапустите службу OpenVPN.
Этот процесс можно использовать для отзыва любых сертификатов, ранее выпущенных для вашего сервера.
Заключение
Теперь у вас должна быть полностью рабочая виртуальная частная сеть, работающая на вашем сервере OpenVPN.Вы можете просматривать веб-страницы и загружать контент, не беспокоясь о том, что злоумышленники отслеживают вашу активность.
Существует несколько шагов, которые вы можете предпринять, чтобы еще больше настроить установку OpenVPN, например, настроить клиент для автоматического подключения к VPN или настроить правила и политики доступа для конкретного клиента. Чтобы узнать об этих и других настройках OpenVPN, обратитесь к официальной документации OpenVPN.
Чтобы настроить больше клиентов, достаточно выполнить шаги 6 и 11-13 для каждого дополнительного устройства.Чтобы отозвать доступ к клиентам, выполните шаг 15 .
Серия EDR-810 — защищенные маршрутизаторы
Спецификация для серии EDR-810

867.7 КБ
Технический паспорт
v1.5
15 окт. 2021 г.
15 октября 2021 г.
1.9 МБ
Справка
v4.2
27 апр. 2021 г.
27 апр. 2021 г.
Техническое примечание: Рекомендуемая процедура заземления кабеля STP на промышленных Ethernet-коммутаторах Moxa

558.3 КБ
Техническая заметка
v1.0
12 февраля 2019 г.
12 февраля 2019 г.
Руководство для серии EDR-810

16.6 МБ
Руководство
v4.0
20 апр. 2018 г.
20 апреля 2018 г.
644.3 КБ
2D САПР
18 января 2018 г.
18 января 2018 г.
Moxa Industrial Secure Router CLI Command Set Руководство пользователя

510.4 КБ
Руководство
v1.
Навигация по записям
Предыдущая запись:
Правила установки узо и автоматов: Правила установки УЗО (устройство защитного отключения)
Следующая запись:
Блочная комплектная трансформаторная подстанция: Блочные комплектные трансформаторные подстанции (БКТП, 2БКТП). Купить — расчет стоимости

alexxlab
Посмотреть все записи автора alexxlab →
Вам также может понравиться

Пгу мос ру показания счетчиков воды передать: Передача показаний счетчиков воды / Госуслуги Москвы
09.02.201919.02.2021

За что несут персональную ответственность руководитель потребителя: Вопрос: За что в соответствии с Правилами технической эксплуатации электроустановок потребителей несут персональную ответственность руководитель Потребителя и ответственный за электрохозяйство? : Смотреть ответ
31.10.202120.11.2020

Вести контроль: Бастрыкин взял под контроль расследование нападения на подростка под Калугой
10.02.197021.12.2021
Добавить комментарий Отменить ответ
Ваш адрес email не будет опубликован. Обязательные поля помечены *
Комментарий *
Имя *
Email *
Сайт

Рубрики
Генератор
Разное
Советы
Турбина
Электростанции
Энергия
2024 © Все права защищены.