Witajcie.
Ostatnio pochwaliÅ‚em siÄ™ na Blipie, że udaÅ‚o mi siÄ™ podpiąć sobie dysk serwera dedykowanego (ale dziaÅ‚a to także z VPSami) jako dysk sieciowy w komputerze. Nie jest to oczywiÅ›cie jakiÅ› mega wyczyn ale wywoÅ‚aÅ‚ proÅ›by o napisanie jak to zrobiÅ‚em. Przedstawiam poradnik. NadmieniÄ™ tylko, że dysk sieciowy nie byÅ‚ celem moich zabaw – celem byÅ‚o bliższe zapoznanie siÄ™ z VPN a ponieważ mam Clouda w OVH do testów – nadarzyÅ‚a siÄ™ okazja :)
Tak jak już wspomniaÅ‚em we wstÄ™pie – otrzymaÅ‚em Clouda od OVH na testy. W zwiÄ…zku z tym, że nie znana jest jego data wygaÅ›niÄ™cia nie nadaje siÄ™ on do hostowania aplikacji produkcyjnych ale do testów jak najbardziej. Moim celem byÅ‚o sprawienie aby usÅ‚ugi typu SSH nie byÅ‚y dostÄ™pne z zewnÄ…trz a jedynie z dodatkowym zabezpieczeniem poprzez logowanie do VPN. UdaÅ‚o siÄ™ to wiÄ™c zaczÄ…Å‚em siÄ™ bawić dyskami i oto jest drobne info.
JeÅ›li znasz siÄ™ na Linuksie wpis ten nie bÄ™dzie dla Ciebie niczym nowym bo wykorzystujÄ™ tu zwyczajnie VPN+Samba – zrób wiÄ™c w tym czasie coÅ› pożyteczniejszego :)
Konfiguracja serwera
Wszystkie opisane poniżej czynnoÅ›ci wykonujemy z konta root – sposób zadziaÅ‚a na dedykach/vpsach i innych serwerach z dostÄ™pem do roota. Opis jest przygotowany pod dystrybucjÄ™ Debian. Na poczÄ…tek należy zainstalować wymagane oprogramowanie:
aptitude install samba
aptitude install pptpd
Podczas instalacji nastąpi pytanie o WorkGroup, najlepiej podać taką jaka ustawiona jest na komputerze kliencie ale nie jest to wymagane i ustawienie czegokolwiek nie będzie również przeszkadzać. Na pytanie o modyfikację smb.conf by używać WINS z DHCP odpowiadamy przecząco.
Przystępujemy teraz do właściwej konfiguracji (jeśli nie masz ulubionego edytora możesz użyć prostego mcedit [instalowanego poprzez aptitude install mc]):
Otwieramy plik /etc/pptpd.conf za pomocą swojego ulubionego edytora oraz dopisujemy na końcu linię:
localip 10.0.0.1
remoteip 10.0.0.2-238,10.0.0.245
Gdzie zamiast 172.168.0 wpisujemy inną adresację nie wchodzącą w konflikt ze stosowaną w naszym LANie. Należy teraz dodać sobie konto użytkownika VPN poprzez polecenie.
echo “uzytkownik pptpd haslo *” >> /etc/ppp/chap-secrets
Ponieważ hasło jest zapisane w czystej postaci w tymże pliku zmieniamy jego chmod na 600 tak aby tylko root miał do niego dostęp.
chmod 600 /etc/ppp/chap-secrets
Teraz został już do wykonania tylko restart pptpd poprzez polecenie:
/etc/init.d/pptpd restart
Serwer VPN działa już poprawnie. Została do skonfigurowania Samba. Otwieramy w edytorze plik /etc/samba/smb.conf oraz znajdujemy w nim linijkę [homes] gdzie zmieniamy ustawienie writeable na yes. W przypadku gdy takowe ustawienie nie istnieje dopisujemy je na końcu tej sekcji w postaci: writeable = yes Ponadto jeśli jesteś zainteresowany udostępnianiem całego dysku rootowi, dopisz na końcu pliku:
[DYSK]
create mask = 0700
directory mask = 0700
writeable = yes
write list = root
only user = yes
path = /
revalidate = yes
valid users = root,@root
user = root
Obecny układ jest tak, że każdy użytkownik posiadający konto samby będzie miał dostęp do swojego katalogu domowego wraz z prawem zapisu a root dodatkowo do całego dysku. Aby dodać uprawnionego użytkownika Samby lub modyfikować jego hasło posługujemy się poleceniem smbpasswd -a nazwaużytkownika . Użytkownik dodawany musi istnieć w systemie. Jeśli dodasz użytkownika o nazwie i haśle takim samym jak te używane w Windows nie będziesz musiał się każdorazowo autoryzować. Gdy już dodasz wszystkich użytkowników jacy mogą korzystać z takiej formy udostępniania (będą musieli mieć również dane do zalogowania w VPN) zrestartuj Sambę:
/etc/init.d/samba restart
oraz przejdź do konfiguracji klienta.
Konfiguracja klienta
Ponieważ korzystam z Windowsa 7 opiszÄ™ na przykÅ‚adzie tego systemu jednak w pozostaÅ‚ych powinno być w zbliżony sposób. Wchodzimy w menu dodawania poÅ‚Ä…czenia znajdujÄ…ce siÄ™ w Centrum sieci i udostÄ™pniania. Z listy wybieramy “PoÅ‚Ä…cz z miejscem pracy – Skonfiguruj [...] lub poÅ‚Ä…czenie VPN z miejscem pracy”. W nastÄ™pnym okienku interesuje nas opcja “Użyj mojego poÅ‚Ä…czenia Internetowego (VPN). Dalej podajemy IP serwera a w ostatnim kroku nazwÄ™ użytkownika i hasÅ‚o VPN utworzone na samym poczÄ…tku podczas konfiguracji serwera. DomenÄ™ pozostawiamy pustÄ…. Należy teraz wejść we wÅ‚aÅ›ciwoÅ›ci tego poÅ‚Ä…czenia, kartÄ™ sieć->protokół internetowy w wersji 4->wÅ‚aÅ›ciwoÅ›ci->zaawansowane i usunąć zaznaczenie z pola Użyj bramy domyÅ›lnej w sieci zdalnej – w przeciwnym razie po poÅ‚Ä…czeniu do VPN nie bÄ™dzie dziaÅ‚aÅ‚ Internet.
Gdy mamy już zawarte połączenie otwieramy okno Mój komputer oraz wpisujemy \\ip gdzie ip to localip ustawiony podczas konfigurowania serwera, w moim przypadku 172.168.0.1. W oknie logowania podajemy dane utworzone na potrzeby Samby (za pomocą smbpasswd -a user) i widzimy dwa foldery. Jeden o nazwie odpowiadającej nazwie zalogowanego użytkownika a drugi o nazwie DYSK. Jeśli jesteś użytkownikiem masz dostęp tylko do pierwszego, rootem zaś do obu. Kliknij teraz prawym na wybrany folder oraz wybierz mapuj dysk sieciowy. Od tej pory możesz cieszyć się poniższym widokiem:
VPN uczynił Ciebie i serwer widocznymi dla siebie jak po LANie i takie było jego założenie. Samba udostępnia pliki po lanie i mamy dysk :) Podłączając w tym samym czasie inne komputery do VPN możesz stworzyć wirtualny LAN między urządzeniami będącymi od siebie bardzo daleko.
Inne zastosowanie: Jeśli masz trochę wiedzy z dziedziny Linuksa a jakimś cudem czytasz ten wpis i nie wiedziałeś o VPN chcę Ci powiedzieć, że dysk to nie jedyne zastosowanie dla stworzonego właśnie połączenia VPN. Można przestawić wrażliwe usługi serwera takie jak SSH, FTP czy chociażby panel jeśli takowego używasz aby słuchały wyłącznie na utworzonym w tym opisie IP. Dostęp będzie wtedy możliwy jedynie po uprzednim nawiązaniu połączenia VPN. Nie wiem czy jest to bezpieczniejsze ale na pewno wymaga więcej pracy i chęci jeśli ktoś chciałby pobawić się w brute-force.
Jeśli będą zainteresowani to opiszę jeszcze jak zrobić aby SSH działało tylko po połączeniu poprzez VPN oraz jak wprowadzić autoryzację certyfikatem zamiast hasła.
Liczba odsłon: 26 843
Subskrybuj RSS
