Начало » » Използване на StrongSwan за IPSec VPN на CentOS 7

Използване на StrongSwan за IPSec VPN на CentOS 7

  • Инсталирайте strongSwan
  • Генериране на сертификати
  • Конфигурирайте strongSwan
  • Разрешаване на IPv4 препращане
  • Конфигурирайте защитната стена
  • Стартирайте VPN

    • StrongSwan е VPN решение с отворен код, базирано на IPsec. Той поддържа протоколите за обмен на ключове IKEv1 и IKEv2 във връзка с естествения стек NETKEY IPsec на ядрото на Linux. Този урок ще ви покаже как да използвате strongSwan за настройване на IPSec VPN сървър на CentOS 7.

    Инсталирайте strongSwan

    Пакетите strongSwan са налични в хранилището Extra Packages for Enterprise Linux (EPEL). Първо трябва да активираме EPEL, след това да инсталираме strongSwan.

    yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

    Генериране на сертификати

    И VPN клиентът, и сървърът се нуждаят от сертификат, за да се идентифицират и удостоверяват. Подготвил съм два шел скрипта за генериране и подписване на сертификатите. Първо изтегляме тези два скрипта в папката /etc/strongswan/ipsec.d.

    cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

    В тези два .shфайла съм задал името на организацията като VULTR-VPS-CENTOS. Ако искате да го промените, отворете .shфайловете и ги заменете O=VULTR-VPS-CENTOSс O=YOUR_ORGANIZATION_NAME.

    След това използвайте server_key.shс IP адреса на вашия сървър, за да генерирате ключа на сертифициращия орган (CA) и сертификата за сървъра. Заменете SERVER_IPс IP адреса на вашия Vultr VPS.

    ./server_key.sh SERVER_IP

    Генерирайте клиентския ключ, сертификат и P12 файл. Тук ще създам сертификата и файла P12 за VPN потребителя "john".

    ./client_key.sh john john@gmail.com

    Заменете "john" и неговия имейл с вашия, преди да стартирате скрипта.

    След като се генерират сертификатите за клиент и сървър, копирайте /etc/strongswan/ipsec.d/john.p12и /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemна вашия локален компютър.

    Конфигурирайте strongSwan

    Отворете конфигурационния файл на strongSwan IPSec.

    vi /etc/strongswan/ipsec.conf

    Заменете съдържанието му със следния текст.

    config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

    Редактирайте конфигурационния файл на strongSwan, strongswan.conf.

    vi /etc/strongswan/strongswan.conf

    Изтрийте всичко и го заменете със следното.

    charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

    Редактирайте IPsec секретния файл, за да добавите потребител и парола.

    vi /etc/strongswan/ipsec.secrets

    Добавете потребителски акаунт "john" към него.

    : RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

    Моля, имайте предвид, че и двете страни на двоеточие ':' се нуждаят от бяло пространство.

    Разрешаване на IPv4 препращане

    Редактирайте, за /etc/sysctl.confда разрешите препращане в ядрото на Linux.

    vi /etc/sysctl.conf

    Добавете следния ред във файла.

    net.ipv4.ip_forward=1

    Запазете файла, след което приложете промяната.

    sysctl -p

    Конфигурирайте защитната стена

    Отворете защитната стена за вашия VPN на сървъра.

    firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

    Стартирайте VPN

    systemctl start strongswan
systemctl enable strongswan

    StrongSwan вече работи на вашия сървър. Инсталирайте файловете strongswanCert.pemи .p12сертификатите във вашия клиент. Вече ще можете да се присъедините към вашата частна мрежа.

    Оставете коментар

    Възходът на машините: Реални приложения на AI

    Възходът на машините: Реални приложения на AI

    Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.

    DDOS атаки: кратък преглед

    DDOS атаки: кратък преглед

    Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.

    Чудили ли сте се как хакерите печелят пари?

    Чудили ли сте се как хакерите печелят пари?

    Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.

    Революционни изобретения на Google, които ще улеснят живота ви.

    Революционни изобретения на Google, които ще улеснят живота ви.

    Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.

    Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?

    Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?

    Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…

    Технологична сингулярност: далечно бъдеще на човешката цивилизация?

    Технологична сингулярност: далечно бъдеще на човешката цивилизация?

    Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.

    Функционалности на референтните архитектурни слоеве за големи данни

    Функционалности на референтните архитектурни слоеве за големи данни

    Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.

    Еволюция на съхранението на данни – инфографика

    Еволюция на съхранението на данни – инфографика

    Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.

    6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни

    6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни

    В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.

    Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава

    Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава

    Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече