Product SiteDocumentation Site

Глава 59. Создание защищенных VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015

59.1. Настройка в ЦУС
59.2. Настройка в командной строке
59.2.1. Создание ключей для OpenVPN туннеля средствами утилиты openssl
59.2.2. Настройка сервера OpenVPN
59.2.3. Настройка VPN-подключения по протоколу OpenVPN в Network Manager

Примечание

Для возможности использования ГОСТ алгоритмов шифрования и хэширования должна быть включена Поддержка шифрования по ГОСТ в OpenSSL.
Установить пакет openvpn-gostcrypto: 
# apt-get install openvpn-gostcrypto

Примечание

Для установки пакетов gostcrypto, в список репозиториев должен быть добавлен репозиторий gostcrypto. Сделать это можно в программе управления пакетами Synaptic, дописав для дистрибутива p10/branch/x86_64 в поле Раздел(ы) значение gostcrypto:
Добавление репозитория gostcrypto в Synaptic
После изменения списка репозиториев, необходимо получить сведения о находящихся в них пакетах.

59.1. Настройка в ЦУС

Выполнить настройку сервера OpenVPN-сервера (см. Соединение удалённых офисов (OpenVPN-сервер) ).
Выбрать алгоритмы шифрования и алгоритм хэширования. По умолчанию OpenVPN автоматически подбирает алгоритм шифрования, не учитывая алгоритм, заданный в поле Алгоритм шифрования, поэтому необходимо отметить пункт Отключить согласование алгоритмов шифрования (NCP):
Настройка OpenVPN-сервера
На стороне клиента, необходимо указать алгоритмы шифрования, такие же как и на стороне сервера:
Создание нового OpenVPN-соединения
Проверка подключения на стороне сервера: 
# journalctl -f| grep openvpn
дек 07 20:57:08 dc.test.alt openvpn[254812]: 192.168.0.145:55939 TLS: Initial packet from [AF_INET]192.168.0.45:55939, sid=d1366cce 4584a510
дек 07 20:57:08 dc.test.alt openvpn[262676]: TLS: Initial packet from [AF_INET]192.168.0.145:1194, sid=393e755a d49a39a8
дек 07 20:57:08 dc.test.alt openvpn[262676]: VERIFY OK: depth=1, C=RU, O=Test, OU=Test Certification Authority, CN=Test Root Certification Authority
...
дек 07 20:57:08 dc.test.alt openvpn[254812]: 192.168.0.145:55939 Outgoing Data Channel: Using 128 bit message hash 'grasshopper-mac' for MAC authentication
дек 07 20:57:08 dc.test.alt openvpn[254812]: 192.168.0.145:55939 Incoming Data Channel: Cipher 'grasshopper-cbc' initialized with 256 bit key
дек 07 20:57:08 dc.test.alt openvpn[254812]: 192.168.0.145:55939 Incoming Data Channel: Using 128 bit message hash 'grasshopper-mac' for MAC authentication Настрой-ка OpenVPN-сервера