сервисы:пользовательский_vpn

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
сервисы:пользовательский_vpn [2023/09/18 15:08] – [Доступ] adminсервисы:пользовательский_vpn [2023/09/18 15:13] (текущий) – [Инструкция] admin
Строка 20: Строка 20:
 {{drawio>сервисы:openvpn-scheme.png}} {{drawio>сервисы:openvpn-scheme.png}}
 ==== Инструкция ==== ==== Инструкция ====
-Ссылка на инструкцию для пользователей +<code bash> 
-Инструкция для отдела ИТ +/etc/openvpn/usr.new pupkin_ii 
-  * как предоставить доступ +</code> 
-  * как отозвать доступ+Создает новый конфиг для //pupkin_ii//. Конфиг располагается в папке **/etc/openvpn/clients/taburetka-pupkin_ii** 
 +  * taburetka_pupkin_ii.conf - для linux  
 +  * taburetka_pupkin_ii.ovpn - для windows клиента 
 + 
 +Содержимое файлов ничем не отличается, просто в разных окружениях по умолчанию используются разные расширения  
 +При создании смотрит какой первый адрес свободен в подсети местной площадки 
 +  * прописывает его в CCD для пользователя pupkin_ii 
 +  * прописывает в инвентори комментарий для занятого IP (название VPN конфига) - тем самым "занимая его" во избежание коллизий 
 +  * если в инвентори есть пользователь pupkin_ii - привязывает к нему занятый IP 
 + 
 +Созданный CCD находится в папке с конфигом и называется **ccd**, по умолчанию туда прописывается только назначение IP адреса клиенту, но содержание можно изменить по своему усмотрению. 
 + 
 +=== Активация доступа === 
 +По умолчанию новый конфиг не активирован 
 +<code bash> 
 +/etc/openvpn/usr.enable pupkin_ii 
 +</code> 
 +или **_enable** в папке конфига 
 +Конфигурация сервера такова, что при подключении он ищет файл /etc/openvpn/ccd/pupkin_ii,  
 +а скрипт делает линк /etc/openvpn/clients/taburetka-pupkin_ii/ccd -> /etc/openvpn/ccd/pupkin_ii 
 + 
 +=== Отзыв доступа === 
 +<code bash> 
 +/etc/openvpn/usr.disable pupkin_ii 
 +</code> 
 +или **_disable** в папке конфига 
 +а скрипт удаляет линк /etc/openvpn/clients/taburetka-pupkin_ii/ccd -> /etc/openvpn/ccd/pupkin_ii 
 + 
 +=== Пересборка CCD === 
 +Может понадобиться при появлении новых сетей 
 +Удалить существующий ccd файл и 
 +<code bash> 
 +/etc/openvpn/usr.new pupkin_ii 
 +</code> 
 +или **_renew** в папке конфига 
 + 
 +При этом закрепленный за пользователем IP сохранится 
 + 
 +==== Отказоустойчивость ==== 
 +Не предусмотрена 
 + 
 +==== Резервное копирование ==== 
 +RPO - достаточно ежедневной копии папки /etc/openvpn 
 +RTO - на усмотрение заказчика 
 + 
 +==== Мониторинг ==== 
 +В zabbix-agent зарегистрирована метрика **ovpn.users.online** 
 +///etc/zabbix/zabbix_agentd.d/userparam_ovpn.conf// 
 +<code ini> 
 +UserParameter=ovpn.users.online[*],/etc/zabbix/scripts/ovpn.userlist.sh /var/log/openvpn.status 
 +</code> 
 + 
 +Который парсит файл /var/log/openvpn.status скриптом ++++/etc/zabbix/scripts/ovpn.userlist.sh|<code bash> 
 +#!/bin/bash 
 + 
 +f=$1 
 + 
 +userlist=`cat $f | sed -n '/^Common Name/,/^ROUTING TABLE/ p'| tail -n +2 |head -n -1` 
 +rtable=`cat $f | sed -n '/^ROUTING TABLE$/,/^GLOBAL STATS$/ p'` 
 + 
 +echo "$userlist" | \ 
 +while read userline; do 
 +    username=`echo $userline|cut -d, -f1` 
 +    since=`echo $userline|cut -d, -f5` 
 +    utcsince=`date --date="$since" +"%s"
 +    localutc=$(( $utcsince + 18000 )) 
 +    localsince=`date --date="@$localutc" +"%Y-%m-%d %H:%M:%S"
 +    localip=`echo "$rtable"|grep $username|cut -d, -f1` 
 +    echo $username,$localip,$localsince 
 +done 
 +</code>++++ 
 +==== Логирование ==== 
 +Логи расположены по пути 
 +/var/log/openvpn-server.log 
 +/var/log/openvpn-status 
 +Хранить не менее 60 дней 
  
 ==== Отказоустойчивость ==== ==== Отказоустойчивость ====
  • сервисы/пользовательский_vpn.1695049713.txt.gz
  • Последнее изменение: 2023/09/18 15:08
  • admin