# **Инструкция по настройке сервера OpenVPN L3** ###### tags: `L3` ***С помощью данного сервера можно проникнуть внутрь сети организации. Для выполнения данной работы необходимо подготовить следующий стенд (в данной инструкции использовался EVE-NG).*** * Машина атакующего (желательно машина с Kali Linux на борту) * Машина клиента-жерты (в теории можно использовать любую машину с клиентом OpenVPN, в данном примере Debian10) * Машина с OpenVPN Server (в данной работе использовался Debian 10) * Межсетевой экран/маршрутизатор (для имитации защищенной организации, в примере pfsense) * Коммутатор (любой, в примере cisco) * Несколько рабочих машин (любые ОС, для возможности спроицировать атаку на них после проникновения) ****В результате у вас должен быть следующий стенд. Далее разберем по порядку. (ОБРАЩАЮ ВНИМАНИЕ!!!! ЕСЛИ У ВАС АДРЕСАЦИЯ ЗА PFSENSE СОВПАДАЕТ С ХОСТОВОЙ, например локальный адрес pfsense 192.168.1.1 и gateway хостовой машины тоже 192.168.1.1 то сначало пролистайте в конец инструкции и выполните необходимые действия!!!!)****  *Итак, начнем!* 1. Для начала собираем данную инфраструктуру в единое целое. Проблем с добавлениме машин быть не должно, особенно, если выполняли все пункты предыдущего урока. Могут быть вопросы по добавлению новой машины (OpenVPN Server). Итак, добавляем на стенд Debian 10 (параметры выбирайте оптимальные по возможностям вашего хоста, у меня это 2CPU и 2Гига оперативной памяти, остальное без изменения). Подключаем данную машины в сеть Интернет (интерфейс e0). Запускаем все подключенные машины и устройства к стенду (правой клавишей нажимаем на устройство и выбираем "Start"). Пример запуска устройства на картинке.  2. Далее необходимо настроить наш VPN Server(у меня это Debian машина, на стенде OpenVPN Server). Подключаемся к ней, щелкаем по данной машине левой клавишей мыши (я открываю в браузере (при входе выбираю html5), вы можете использовать нативную консоль, для ее использования необходимо установить пак по следующей ссылке: https://www.eve-ng.net/index.php/download/#DL-WIN). После подключения, если вы использовали готовую лабораторию по курсу HackerU, то в ней необходимо настроить сеть, я настраивал следующим образом: Сразу после подключения (дождитесь консоли если машина еще загружается) необходимо отредактировать конфиг интерфейсов для этого ввести следущую команду (я использую nano, можно использовать любой другой текстовый редактор): > **nano /etc/network/interfaces** Откроется конфиг следующего вида:  Необходимо исправить интерфейс ens33 на ens3, затем сохранить и выйти (Ctrl+X, затем клавиша y). Должен получиться следующего вида конфиг:  После этого поднимаем интерфейс следующей командой > **ifup ens3** После этого данный интерфейс получает динамический IP адрес. Полученный адрес можно проверить командой (у вас адрес будет свой) > **ip a**  3. Затем для того, чтобы у вас в сети не было машин с одинаковыми именами, сменим имя данного сервера (выберите любой, я взял open-vpnSRV). Для этого вводим следующую команду: > **nano /etc/hostname** > Убираем текущее Debian-10 и вводим какое вам удобно, затем сохранить и выйти (Ctrl+X, затем клавиша y).  Также, надо поменять имя в конфиге hosts. Для этого используем следующую команду: > **nano /etc/hosts** Вместо Debian-10 также указываем имя, которое указали в hostname, затем сохранить и выйти (Ctrl+X, затем клавиша y).  Для применения настроек перезагружаем машину командой: > **reboot** 4. После перезагрузки машины обновляем пакеты из репозитория, для этого используем следующую команду: > apt update && apt upgrade Дождитесь окончания обновлений. 5. Далее, для удобства настройки лучше подключиться с хостовой машины на данный сервер с помощью любого ssh клиента (я использую Putty). Открываете ssh клиент, указываете адрес полученный на предыдущем этапе и подключаетесь.  6. Приступаем непосредственно к разворачиванию VPN. Для этого мы будем использовать готовый скрипт от Angristan. Это позволит сэкономить время и нервы!!! (https://github.com/angristan/openvpn-install). Для скачивания скрипта необходимо можно использовать Curl. Установим Curl следующей командой: > **apt install curl** После установки Curl выполняем следующие команды: > **curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh** > Данная команда загружает скрипт на машину, который в автоматическом режиме развернет OpenVPN Server. > **chmod +x openvpn-install.sh** > Данная команда "превращает" данный скрипт в исполняемый. > И наконец, запускаем данный скрипт командой: > **./openvpn-install.sh** 7. Запустится процесс развертывания OpenVPN Servera, визард спросит ip адрес за NAT, он будет указан автоматически, менять не нужно. Затем, он спросит ip адрес, с помощью которого можно к нему подключиться, так как у нас тестовый стенд, то ip адрес будет одинаковый, нужно удалить тот адрес, что предложит визард (ваш белый адрес в инете), **вместо него указать тот же адрес что был указан первым**. Пример указания адреса на скриншоте.  * Далее, на запрос ipv6 просто **нажмимает Enter**. * На запрос поддержки NAT через ipv6, **нажимаем n и затем Enter**. * Следующим пунктом визард запросит порт для VPN, можно указать любой, рекомендуется выбрать стандартный пункт, **соответственно выбрать 1 и щелкнут Enter**. * Затем, необходимо выбрать протокол UDP или TCP(можно использовать любой). Рекомендуется оставить без изменений, то есть **UDP (пункт 1) и щелкнуть Enter**. * Следующий пункт Resolve DNS на работу не влияет, можно просто **нажать Enter.** * Включение компрессии также не требуется (**нажимаем n и щелкаем Enter**). * Настраивать шифрование в данном примере, также не будем (**нажимаем n и щелкаем Enter**). После этого начнется установка и настройка VPN Servera. После установки, визард предложит ввести имя для первого клиента, укажем имя для атакующей машины (kali). Затем визард спросит какой тип конфигурационного файла использовать для клиента **(1. Без пароля, 2. С указанием пароля)**. Для простоты использования выбираем **пункт 1.**  В корне (папка /root) будет сгенерирован конфигурационный файл для клиента kali. Следующим шагом необходимо создать конфигурационный файл для атакуемой машины, для этого снова запустим скрипт: > **./openvpn-install.sh** Визард предложит варианты, **выберем 1** для создание еще одного клиента. Имя можно указать любое, я указал **insider**. И аналогично, как и для клиента kali **выберем пункт 1** для создание конфига без пароля.  На данном этапе у нас появился OpenVPN Server и два пользовательских конфига для подключения к нему. 8. Приступаем к настройке сервера. Запускаем с помощью текстового редактора конфиг сервера. > **nano /etc/openvpn/server.conf** В данном конфиге необходимо либо убрать, либо закомментировать следующие строчки: **push "dhcp-option DNS 94.140.14.14" > push "dhcp-option DNS 94.140.15.15" > push "redirect-gateway def1 bypass-dhcp"** А также, добавить строку в любом месте конфига (я добавил последней строкой): > **client-to-client** Данная строчка позволяет клиентам видеть друг друга, если ее не добавить, то каждый клиент будет видет только сервер. После внесения изменений, сохраняем конфиг и выходим (Ctrl+X, затем клавиша y). Перезагружаем службу openvpn следующей командой: > **systemctl restart openvpn** 9. На данном шаге необходимо забрать конфиги с сервера и передать их на клиенты. Итак, запускаем любой из клиентов (например, тот с которого будем атаковать у меня kali). Запускаем консоль (Terminal). И выполним команду копирования файлов с удаленного сервера через SSH с помощью утилиты SCP:(нам будет необходим IP адрес OpenVPN Server, его можно будет узнать с помощью команды **ip a**, выполнив её на сервере) > **scp root@<ip вашего OpenVPN Servera>:/root/kali.ovpn /root**  Не забываем указать пароль, для стендовых машин для логина **root** пароль будет - **eve@123** .Если при формировании файлов конфигурации вы не изменяли пути, то файлы у вас будут в тех же директориях, что и на скриншотах. Если изменяли, то укажите нужный путь, также можно изменить второй путь (/root) на тот куда вам удобно скопировать файл. На вторую машину скачивает конфиг-файл аналогично как на первый, открываем консоль и выполняем такую же команду, только имя конфиг-файл необходимо указать то, который вы задали для второй машины на **7 шаге**. Пример на скриншоте. > **scp root@<ip вашего OpenVPN Servera>:/root/insider.ovpn /root**  Таким образом, мы получили файлы для подключения к OpenVPN Server. 10. Переходим к установке VPN client на наши машины. Для подключения клиентов необходимо для начала установить OpenVPN CLient на наши машины. Приступим к установке. ***Атакующая машина*** Запускам консоль (Terminal). Для обновления базы данных пакета используем следующую команду: > **apt update** Если у вас возникла ошибка, в которой есть следующая строчка: *GPG error: http://kali.mirror*. Это значит у вас закончился срок действия ключа хранилища и его нужно обновить, для этого выполните следующую команду: > **wget 'https://archive.kali.org/archive-key.asc' | apt-key add archive-key.asc** Затем повторите команду обновления баз. Итак, после того, как вы обновили базу данных пакета. Устанавливаем OpenVPN Client командой: > **apt install openvpn** Клиент должен без проблем установиться. ***Атакуемая машина*** Запускаем машину (левой клавишей на стенде), у вас сразу должна открыться консоль. Для обновления базы данных пакета используем следующую команду: > **apt update** *Если вы используете машину на стенде, у вас не должно быть проблем, при условии, что на прошлом занятии вы отключили запрещающие правила по 80 и 443 на pfsense, если вы этого не сделали, то необходимо подключиться с помощью браузера на любой windows машине к pfsense (192.168.100.254) и отключить эти правила.* После обновления пакетов, также запускаем установку OpenVPN Client: **apt install openvpn** Установка также должна пройти без проблем. 11. На данном шаге будет выполнять непосредственно подключение клиентов к OpenVPN server Итак заходим на любой из клиентов и выполняем следующую команду: > **openvpn <название конфигурационного файла>.ovpn**  *Если вас выкидывает с ошибкой, то возможно openvpn client не понимает файлы ovpn, переименуйте его командой: > mv <название конфигурационного файла>.ovpn <название конфигурационного файла>.conf* Результат отработки команды должен быть аналогичен как на скриншоте. Аналогичную команду выполняем на втором клиенте. Для проверки корректности подключения необходимо на каждом клиенте в консоле выполнить запрос (**КОМАНДУ НЕОБХОДИМО ВЫПОЛНЯТЬ В НОВОЙ КОНСОЛИ, ИНАЧЕ СОЕДИНЕНИЕ СБРОСИТСЯ** , для запуска новой консоли на Debian клиенте воспользуйтесь сочетанием клаишь ALT+F2, вернуться назад можно сочетанием ALT+F1, на kali новую консоль легко открыть по иконке): > **ip a** После подключения, результат команды на клиентах должен выглядеть следующим образом: **Атакующий клиент**  **Атакуемый клиент**  Как видно из скриншотов, создался новый интерфейс tun0, то есть туннель через наш OpenVPN Server. 12. На данном шаге попробуем проникнуть внутрь инфраструктуры атакуемого клиента, который находиться за фаерволом. Для начала проверим, что клиенты могут обмениваться между собой пакетами через наш созданный туннель. Для этого пропингуем атакуемый клиент с атакующего клиента (указываем адрес интерфейса tun): > ping <ip атакуемого клиента в tun>  Но наша задача проникнуть за клиент в инфраструктуру, попробуем пропинговать интерфейс, который смотрит внутрь инфраструктуры (на скриншоте атакуемый адрес это интерфейс ens3). > ping <ip атакуемого клиента в ens3> Как видим, внутрь инфраструктуры мы пока попасть не можем. 13. Для того, чтобы сервер мог роутить пакеты в сеть за клиентом необходимо выполнить следующие шаги. Переходим в наш openvpn server и создаем файл следующей командой (с названием клиентам, сеть за которым мы хотим видеть, у меня insider) > **nano /etc/openvpn/ccd/insider** В данный файл добавляем следующую команду: ***iroute 192.168.100.0 255.255.255.0***  После этого сохраняем конфиг и выходим (Ctrl+X, затем клавиша y). Также, необходимо отметить, что для возможности подключения атакующего клиента в инфраструктуру атакуемого, необходимо прописать маршрут до адреса сети этой инфраструктуры через атакуемого клиента, сделать это можно командой **ip route add 192.168.100.0/24 via 10.8.0.3** (вводить в консоли атакующего, то есть kali, адресация нужна ваша, брать с адресации атакуемого клиента). НО, данную команду необходимо будет вводить при каждом подключении к openvpn серверу. Поэтому для решения данной проблемы заставим сервер передавать маршрут нужному клиенту при его подключении, для этого создаем следующий файл (если у вас клиент не **kali** то указывайте свой): > **nano /etc/openvpn/ccd/kali** В данный файл добавляем следующую команду: ***push "route 192.168.100.0 255.255.255.0 10.8.0.3"***  Данная команда аналог команды добавления маршрута на клиенте, адресацию нужно указывать вашу. После этого сохраняем конфиг и выходим (Ctrl+X, затем клавиша y). Теперь перезапускаем службу openvpn server командой: > **systemctl restart openvpn** На клиентах также необходимо заново переподключиться к серверу, для этого сбрасываем соединение (переходим в консоль где запущено подключение и **нажимаем Ctrl + C**). Повторно выполняем команды **openvpn <клиент>.ovpn** на каждом клиенте. 14. Проверим доступность интерфейса смотрящего внутрь атакуемой инфраструктуры. Еще раз пропингуем интерфейс(смотрящий в инфраструктуру!!!) атакуемого клиента. > ping <ip атакуемого клиента в ens3>  Как видим, после настройки пинги выполняются. Но попробуем обратиться к другим устройствам внутри данной инфраструктуры, например к маршрутизатору 192.168.100.254. > ping <ip маршрутизатора атакумого клиента> Как видим общения не получается. Для того чтобы можно было обращаться внутрь сети, необходимо, чтобы функцию NAT на атакуемом клиенте. Для этого заходим на атакуемый клиент и выполняем следующие команды: **nano /etc/sysctl.conf** Внутри данного файла необходимо изменить следующую строку: *#net.ipv4.ipforward=1* на *net.ipv4.ipforward=1* Убрать комментирование (знак #).Сохраняем конфиг и выходим (Ctrl+X, затем клавиша y). Применяем изменения в конфигурации: **sysctl -p** А теперь, заставим клиент натить трафик через себя, для этого будем использовать утилиту iptables, которая управляет встроенным файерволом linux машин (уже включена в ОС по умолчанию), добавляем правило для nat, которое будет через интерфейс tun перенаправлять трафик внутрь инфраструктуры: **iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE** Попробуем снова пропинговать адрес маршрутизатора 192.168.100.254.  Как видим пингуется. Значит, нам удалось получить доступ внутрь инфраструктуры за VPN Client. Таким образом мы можем просканировать сеть за клиентом любым удобным способом. P.S. ДЛЯ ТЕХ У КОГО ЛОКАЛЬНАЯ СЕТЬ ЗА PFSENSE СОВПАДАЕТ С ХОСТОВОЙ. Прежде чем выполнять данную работу, необходимо сменить локальную адресацию за pfsense, для этого заходим на pfsense. Там выбираем **пункт 2**. Затем, снова выбираем **пункт 2** (настраиваем LAN). Теперь указываем ip адрес маршрутизатора, укажите любой отличный от хостовой, у меня это 192.168.100.254. Следующим шагом указываем маску, пишем **24**. На запрос на настройки dhcp лучше согласиться (**нажимаем y**). Далее указываем границы dhcp. На последнем шаге выбираем **n**. Перезапускаем сеть у всех клиентов внутри инфраструктуры. Пример на скриншоте.