Používání StrongSwan pro IPSec VPN na CentOS 7

StrongSwan je open source řešení VPN založené na IPsec. Podporuje protokoly výměny klíčů IKEv1 a IKEv2 ve spojení s nativním zásobníkem NETKEY IPsec linuxového jádra. Tento tutoriál vám ukáže, jak používat strongSwan k nastavení serveru IPSec VPN na CentOS 7.

Nainstalujte strongSwan

Balíčky strongSwan jsou dostupné v úložišti Extra Packages for Enterprise Linux (EPEL). Nejprve bychom měli povolit EPEL a poté nainstalovat strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Generovat certifikáty

Klient i server VPN potřebují certifikát k identifikaci a ověření. Připravil jsem dva shell skripty pro generování a podepisování certifikátů. Nejprve si stáhneme tyto dva skripty do složky /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

V těchto dvou .shsouborech jsem nastavil název organizace jako VULTR-VPS-CENTOS. Chcete-li ji změnit, otevřít .shsoubory a nahradí O=VULTR-VPS-CENTOSse O=YOUR_ORGANIZATION_NAME.

Poté pomocí server_key.shadresy IP vašeho serveru vygenerujte klíč certifikační autority (CA) a certifikát pro server. Nahraďte SERVER_IPji IP adresou vašeho Vultr VPS.

./server_key.sh SERVER_IP

Vygenerujte klientský klíč, certifikát a soubor P12. Zde vytvořím certifikát a soubor P12 pro uživatele VPN „john“.

./client_key.sh john john@gmail.com

Před spuštěním skriptu nahraďte „john“ a jeho e-mail svým.

Po vygenerování certifikátů pro klienta a server zkopírujte /etc/strongswan/ipsec.d/john.p12a /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemdo místního počítače.

Nakonfigurujte strongSwan

Otevřete konfigurační soubor strongSwan IPSec.

vi /etc/strongswan/ipsec.conf

Nahraďte jeho obsah následujícím textem.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Upravte konfigurační soubor strongSwan, strongswan.conf.

vi /etc/strongswan/strongswan.conf

Smažte vše a nahraďte to následujícím.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Upravte tajný soubor IPsec a přidejte uživatele a heslo.

vi /etc/strongswan/ipsec.secrets

Přidejte do něj uživatelský účet „john“.

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Upozorňujeme, že obě strany dvojtečky „:“ potřebují mezeru.

Povolit předávání IPv4

Upravit /etc/sysctl.confpro povolení přeposílání v jádře Linuxu.

vi /etc/sysctl.conf

Přidejte do souboru následující řádek.

net.ipv4.ip_forward=1

Uložte soubor a aplikujte změny.

sysctl -p

Nakonfigurujte firewall

Otevřete bránu firewall pro vaši VPN na serveru.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Spusťte VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan nyní běží na vašem serveru. Nainstalujte soubory certifikátů strongswanCert.pema .p12do svého klienta. Nyní se budete moci připojit ke své privátní síti.