StrongSwan és una solució VPN de codi obert basada en IPsec. Admet els protocols d'intercanvi de claus IKEv1 i IKEv2 juntament amb la pila nativa NETKEY IPsec del nucli de Linux. Aquest tutorial us mostrarà com utilitzar strongSwan per configurar un servidor VPN IPSec a CentOS 7.
Els paquets strongSwan estan disponibles al dipòsit de paquets addicionals per a Enterprise Linux (EPEL). Primer hauríem d'habilitar EPEL i després instal·lar strongSwan.
yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl
Tant el client VPN com el servidor necessiten un certificat per identificar-se i autenticar-se. He preparat dos scripts de shell per generar i signar els certificats. Primer, baixem aquests dos scripts a la carpeta /etc/strongswan/ipsec.d.
cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh
En aquests dos .shfitxers, he definit el nom de l'organització com a VULTR-VPS-CENTOS. Si el voleu canviar, obriu els .shfitxers i substituïu-los O=VULTR-VPS-CENTOSper O=YOUR_ORGANIZATION_NAME.
A continuació, utilitzeu server_key.shl'adreça IP del vostre servidor per generar la clau de l'autoritat de certificació (CA) i el certificat per al servidor. Substituïu SERVER_IP-la per l'adreça IP del vostre Vultr VPS.
./server_key.sh SERVER_IP
Genereu la clau del client, el certificat i el fitxer P12. Aquí, crearé el certificat i el fitxer P12 per a l'usuari VPN "john".
./client_key.sh john john@gmail.com
Substituïu "john" i el seu correu electrònic pel vostre abans d'executar l'script.
Després de generar els certificats per al client i el servidor, copieu /etc/strongswan/ipsec.d/john.p12-los /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemal vostre ordinador local.
Obriu el fitxer de configuració strongSwan IPSec.
vi /etc/strongswan/ipsec.conf
Substituïu el seu contingut pel text següent.
config setup
uniqueids=never
charondebug="cfg 2, dmn 2, ike 2, net 0"
conn %default
left=%defaultroute
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.pem
right=%any
rightsourceip=172.16.1.100/16
conn CiscoIPSec
keyexchange=ikev1
fragmentation=yes
rightauth=pubkey
rightauth2=xauth
leftsendcert=always
rekey=no
auto=add
conn XauthPsk
keyexchange=ikev1
leftauth=psk
rightauth=psk
rightauth2=xauth
auto=add
conn IpsecIKEv2
keyexchange=ikev2
leftauth=pubkey
rightauth=pubkey
leftsendcert=always
auto=add
conn IpsecIKEv2-EAP
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
leftauth=pubkey
leftsendcert=always
rightauth=eap-mschapv2
eap_identity=%any
auto=add
Editeu el fitxer de configuració de strongSwan, strongswan.conf.
vi /etc/strongswan/strongswan.conf
Suprimeix-ho tot i substituïu-lo pel següent.
charon {
load_modular = yes
duplicheck.enable = no
compress = yes
plugins {
include strongswan.d/charon/*.conf
}
dns1 = 8.8.8.8
dns2 = 8.8.4.4
nbns1 = 8.8.8.8
nbns2 = 8.8.4.4
}
include strongswan.d/*.conf
Editeu el fitxer secret IPsec per afegir un usuari i una contrasenya.
vi /etc/strongswan/ipsec.secrets
Afegiu-hi un compte d'usuari "john".
: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"
Tingueu en compte que els dos costats dels dos punts ':' necessiten un espai en blanc.
Editeu /etc/sysctl.confper permetre el reenviament al nucli de Linux.
vi /etc/sysctl.conf
Afegiu la línia següent al fitxer.
net.ipv4.ip_forward=1
Deseu el fitxer i apliqueu el canvi.
sysctl -p
Obriu el tallafoc de la vostra VPN al servidor.
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
systemctl start strongswan
systemctl enable strongswan
StrongSwan s'està executant al vostre servidor. Instal·leu els fitxers de certificat strongswanCert.pemi .p12al vostre client. Ara podreu unir-vos a la vostra xarxa privada.
La Intel·ligència Artificial no està en el futur, és aquí mateix en el present. En aquest bloc Llegiu com les aplicacions d'Intel·ligència Artificial han afectat diversos sectors.
També ets víctima d'atacs DDOS i estàs confós sobre els mètodes de prevenció? Llegiu aquest article per resoldre les vostres consultes.
Potser haureu sentit que els pirates informàtics guanyen molts diners, però us heu preguntat mai com guanyen aquest tipus de diners? anem a discutir.
Vols veure els invents revolucionaris de Google i com aquests invents van canviar la vida de tots els éssers humans actuals? A continuació, llegiu al bloc per veure els invents de Google.
El concepte de cotxes autònoms per sortir a les carreteres amb l'ajuda de la intel·ligència artificial és un somni que tenim des de fa temps. Però malgrat les diverses promeses, no es veuen enlloc. Llegeix aquest blog per saber-ne més...
A mesura que la ciència evoluciona a un ritme ràpid, fent-se càrrec de molts dels nostres esforços, també augmenten els riscos de sotmetre'ns a una singularitat inexplicable. Llegeix, què pot significar per a nosaltres la singularitat.
Llegeix el blog per conèixer de la manera més senzilla les diferents capes de l'Arquitectura Big Data i les seves funcionalitats.
Els mètodes d'emmagatzematge de les dades que han anat evolucionant poden ser des del naixement de les dades. Aquest bloc tracta l'evolució de l'emmagatzematge de dades a partir d'una infografia.
En aquest món digital, els dispositius domèstics intel·ligents s'han convertit en una part crucial de les vides. A continuació, es mostren alguns avantatges sorprenents dels dispositius domèstics intel·ligents sobre com fan que la nostra vida valgui la pena i sigui més senzilla.
Recentment, Apple va llançar macOS Catalina 10.15.4, una actualització de suplements per solucionar problemes, però sembla que l'actualització està causant més problemes que provoquen el bloqueig de les màquines Mac. Llegiu aquest article per obtenir més informació
