Hjem » » Brug af StrongSwan til IPSec VPN på CentOS 7

Brug af StrongSwan til IPSec VPN på CentOS 7

  • Installer strongSwan
  • Generer certifikater
  • Konfigurer strongSwan
  • Tillad IPv4-videresendelse
  • Konfigurer firewallen
  • Start VPN

    • StrongSwan er en open source IPsec-baseret VPN-løsning. Det understøtter både IKEv1- og IKEv2-nøgleudvekslingsprotokollerne i forbindelse med den indbyggede NETKEY IPsec-stak i Linux-kernen. Denne vejledning viser dig, hvordan du bruger strongSwan til at konfigurere en IPSec VPN-server på CentOS 7.

    Installer strongSwan

    strongSwan-pakkerne er tilgængelige i EPEL-lageret Extra Packages for Enterprise Linux (EPEL). Vi bør først aktivere EPEL og derefter installere strongSwan.

    yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

    Generer certifikater

    Både VPN-klienten og serveren har brug for et certifikat for at identificere og autentificere sig selv. Jeg har forberedt to shell-scripts til at generere og underskrive certifikaterne. Først downloader vi disse to scripts til mappen /etc/strongswan/ipsec.d.

    cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

    I disse to .shfiler har jeg sat organisationsnavnet som VULTR-VPS-CENTOS. Hvis du vil ændre det, skal du åbne .shfilerne og erstatte dem O=VULTR-VPS-CENTOSmed O=YOUR_ORGANIZATION_NAME.

    Brug server_key.shderefter din servers IP-adresse til at generere certifikatmyndigheden (CA) nøglen og certifikatet til serveren. Erstat SERVER_IPmed IP-adressen på din Vultr VPS.

    ./server_key.sh SERVER_IP

    Generer klientnøglen, certifikatet og P12-filen. Her vil jeg oprette certifikatet og P12-filen til VPN-brugeren "john".

    ./client_key.sh john john@gmail.com

    Erstat "john" og hans e-mail med din, før du kører scriptet.

    Når certifikaterne for klient og server er genereret, skal du kopiere /etc/strongswan/ipsec.d/john.p12og /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemtil din lokale computer.

    Konfigurer strongSwan

    Åbn strongSwan IPSec-konfigurationsfilen.

    vi /etc/strongswan/ipsec.conf

    Erstat dens indhold med følgende tekst.

    config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

    Rediger strongSwan-konfigurationsfilen, strongswan.conf.

    vi /etc/strongswan/strongswan.conf

    Slet alt og erstat det med følgende.

    charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

    Rediger den hemmelige IPsec-fil for at tilføje en bruger og adgangskode.

    vi /etc/strongswan/ipsec.secrets

    Tilføj en brugerkonto "John" til den.

    : RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

    Bemærk venligst, at begge sider af kolon ':' skal have et mellemrum.

    Tillad IPv4-videresendelse

    Rediger for /etc/sysctl.confat tillade videresendelse i Linux-kernen.

    vi /etc/sysctl.conf

    Tilføj følgende linje i filen.

    net.ipv4.ip_forward=1

    Gem filen, og anvend derefter ændringen.

    sysctl -p

    Konfigurer firewallen

    Åbn firewallen til din VPN på serveren.

    firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

    Start VPN

    systemctl start strongswan
systemctl enable strongswan

    StrongSwan kører nu på din server. Installer certifikatfilerne strongswanCert.pemog .p12i din klient. Du vil nu kunne tilslutte dig dit private netværk.

    Efterlad en kommentar

    The Rise of Machines: Real World Applications of AI

    The Rise of Machines: Real World Applications of AI

    Kunstig intelligens er ikke i fremtiden, det er her lige i nuet I denne blog Læs, hvordan kunstig intelligens-applikationer har påvirket forskellige sektorer.

    DDOS-angreb: et kort overblik

    DDOS-angreb: et kort overblik

    Er du også et offer for DDOS-angreb og forvirret over forebyggelsesmetoderne? Læs denne artikel for at løse dine spørgsmål.

    Har du nogensinde spekuleret på, hvordan tjener hackere penge?

    Har du nogensinde spekuleret på, hvordan tjener hackere penge?

    Du har måske hørt, at hackere tjener mange penge, men har du nogensinde spekuleret på, hvordan tjener de den slags penge? lad os diskutere.

    Revolutionære opfindelser fra Google, der vil gøre dit liv lettere.

    Revolutionære opfindelser fra Google, der vil gøre dit liv lettere.

    Vil du se revolutionerende opfindelser fra Google, og hvordan disse opfindelser ændrede livet for ethvert menneske i dag? Læs derefter til bloggen for at se opfindelser fra Google.

    Fredag ​​Essential: Hvad skete der med AI-drevne biler?

    Fredag ​​Essential: Hvad skete der med AI-drevne biler?

    Konceptet med selvkørende biler til at køre på vejene ved hjælp af kunstig intelligens er en drøm, vi har haft i et stykke tid nu. Men på trods af flere løfter er de ingen steder at se. Læs denne blog for at lære mere...

    Teknologisk singularitet: En fjern fremtid for menneskelig civilisation?

    Teknologisk singularitet: En fjern fremtid for menneskelig civilisation?

    Efterhånden som videnskaben udvikler sig i et hurtigt tempo og overtager en stor del af vores indsats, stiger risikoen for at udsætte os selv for en uforklarlig Singularitet. Læs, hvad singularitet kunne betyde for os.

    Funktioner af Big Data Reference Architecture Layers

    Funktioner af Big Data Reference Architecture Layers

    Læs bloggen for at kende forskellige lag i Big Data-arkitekturen og deres funktionaliteter på den enkleste måde.

    Udvikling af datalagring – Infografik

    Udvikling af datalagring – Infografik

    Opbevaringsmetoderne for dataene har været under udvikling, kan være siden fødslen af ​​dataene. Denne blog dækker udviklingen af ​​datalagring på basis af en infografik.

    6 fantastiske fordele ved at have smarte hjemmeenheder i vores liv

    6 fantastiske fordele ved at have smarte hjemmeenheder i vores liv

    I denne digitalt drevne verden er smarte hjemmeenheder blevet en afgørende del af livet. Her er et par fantastiske fordele ved smarte hjemmeenheder om, hvordan de gør vores liv værd at leve og enklere.

    macOS Catalina 10.15.4-tillægsopdatering forårsager flere problemer end at løse

    macOS Catalina 10.15.4-tillægsopdatering forårsager flere problemer end at løse

    For nylig udgav Apple macOS Catalina 10.15.4 en supplerende opdatering for at løse problemer, men det ser ud til, at opdateringen forårsager flere problemer, hvilket fører til mursten af ​​mac-maskiner. Læs denne artikel for at lære mere