Підняття кріптошлюза на базі Континент-АП 3.6 і PfSense
Якось нашої лікарні знадобилося створити захищене з'єднання з МІАЦ, та не просто підключити один комп'ютер на пару годин, а так щоб були підключені всі комп'ютери мережі завжди. Для вирішення цього завдання сусідні лікарні вже давно використовують апаратний кріптошлюз версії 3.6 і взагалі не паряться, але зараз він знятий з виробництва і його ніде не дістати, а нова версія не сумісна з версією 3.6. Пропонують єдиний вихід купувати на кожного користувача окремо КРИПТО-ПРО + Континент АП 3.6 і отримувати цілу купу сертифікатів. Це зовсім не справа і я вирішив спробувати розшарити з'єднання Континенту-АП, встановленого на одному комп'ютері, тобто створити ніби кріптошлюз на базі Континент-АП 3.6.
Всупереч деяким повідомленнями що це неможливо, не підтримується та інше, у мене все-таки вийшло. ділюся:
Маємо системний блок зі встановленою Windows XP.
Встановлюємо КРИПТО-ПРО_3.6_R4. вводимо заздалегідь придбаний ліцензійний ключ.
Встановлюємо Континент АП 3.6.19.47080 з фаєрволом.
Установка захищеного каналу зв'язку з КГБУЗ «МІАЦ» МОЗ ХК посредствам Континент-АП 3.6
На цей раз мені не знадобилося доустанавливать .NET для нормальної роботи Контенента-АП, хоча минулого разу без цього він бив пакети
Тиснемо кнопку Готово і перезавантажуємося.
Тепер потрібно додати два сертифікати: root.p7b і user.cer.
У мене є носій JaCARTA за допомогою якого буде проходити підключення. З питання отримання файлів root.p7b і user.cer потрібно звернутися в техподержку МІАЦ 8 (4212) 910-505. Запит на сертифікат робиться з меню Континенту-АП Сертифікати -> Створити запит на власний сертифікат ...
Заходимо в меню Континенту-АП: Сертифікати -> Встановити сертифікат користувача. вказуємо файл user.cer. Вибираємо ключовий контейнер на носії JaCARTA, за допомогою якого був зроблений запит на отримання сертифіката. Якщо все вірно, побачите повідомлення:
Потім знову ж в меню натискаємо Встановити / розірвати з'єднання -> Встановити з'єднання Континент-АП. Вибираємо тільки що встановлений сертифікат, ставимо галочку Завжди використовувати цей сертифікат при підключенні.
При появі повідомлення
Ще на якомусь етапі Континент-АП попросить ввести файл root.p7b. Я його вже раніше вводив, тому зараз він мене про це не просив.
За підсумком значок Континенту-АП повинен посиніти, що символізує успішну установку з'єднання.
Як обійтися без використання знімного носія і записати сертифікат до реєстру описано тут
Роздача з'єднання Континент-АП 3.6
і перепризначувати його
Щоб зміни вступили в силу потрібно розірвати і знову встановити з'єднання на комп'ютері з Континентом-АП.
Після цього заходимо в Панель управління -> Мережеві підключення -> Континент-АП -> Властивості -> вкладка Додатково
У розділі Загальний доступ до підключення до Інтернету встановлюємо галочку навпроти Дозволити іншим користувачам мережі використовувати підключення до Інтернету даного комп'ютера. Решта дві галочки повинні бути зняті.
Тепер заходимо в Панель управління -> Мережеві підключення -> Підключення по локальній мережі -> Властивості -> властивості Протоколу Інтернету (TCP / IP)
Якщо цього не зробити, то Континент-АП геть відмовиться підключатися, видаючи помилку 619: Не вдалося визначити підключитися до віддаленого комп'ютера
Для цього заходимо в PfSense -> System -> Routing і створюємо новий шлюз
Далі заходимо у вкладку Routes і створюємо два маршрути (192.168.10.0/24 і 10.30.0.0/16 через шлюз 192.168.0.251):
Не забуваємо натискати Apply Changes.
Таким чином, ми створили правила маршрутизації, проте, маршрутизація вийде асиметрична і RDP-з'єднання буде постійно злітати. Для цього йдемо в System -> Advanced -> Firewall and NAT і встановлюємо галочку Bypass firewall rules for traffic on the same interface
Тепер з будь-якого комп'ютера в мережі сайти
повинні бути доступні.
Додавання DNS сервера МІАЦ
Для звернення до ресурсів КГБУЗ МІАЦ по іменах, потрібно додати їх DNS сервер в налаштування pfSense.
Для початку спробуємо його пропінгувати: ping 192.168.10.10
Тепер заходимо в pfSense -> Services -> DNS Resolver і в самому кінці в розділі Domain Overrides створюємо новий запис:
Для перевірки заходимо в pfSense -> Diagnostics -> DNS Lookup в пробуємо medts.medkhv.ru
Відповідь має бути приблизно такою (іноді спрацьовує не з першого разу):
Теоретично має працювати RDP-з'єднання з Медіалогія на всіх комп'ютерах.
Якщо не працює
Те запускаємо cmd і виконуємо команду nslookup medts.medkhv.ru:
то значить, що він намагається вирішити ім'я за допомогою DNS-сервера 192.168.0.250 (у мене це DNS контролера домену). Тому потрібно зробити перенаправлення на проксі сервер pfSense 192.168.0.254. який, в свою чергу, перенаправить на МІАЦевскій DNS 192.168.10.10.
Контролер домену у мене побудований на SerNet Samba 4. і для настройки форвардинга потрібно редагувати файл smb.conf:
Відкриваємо консоль, йдемо в папку / opt / samba / etc і виконуємо команду nano smb.conf
дописуємо рядок в розділ [global]. dns forwarder = 192.168.0.254 і зберігається. Перезавантажуємо контролер домену. Тепер nslookup medts.medkhv.ru показує наступне:
Чи не заслуговує на довіру відповідь - це значить що DNS-сервер 192.168.0.250 не саме знає, а запитав у іншого. Тепер має все працювати.
P.S. Ще пара команд
ipconfig / flushdns - скидання кешу распознавателя імен
Start -> Run -> services.msc -> Enter
Знаходимо службу «DNS-клієнт» і перезапускаємо її.