Avaleht » » StrongSwani kasutamine IPSec VPN-i jaoks CentOS 7-s

StrongSwani kasutamine IPSec VPN-i jaoks CentOS 7-s

  • Installige strongSwan
  • Sertifikaatide genereerimine
  • Konfigureerige strongSwan
  • Luba IPv4 edastamine
  • Konfigureerige tulemüür
  • Käivitage VPN

    • StrongSwan on avatud lähtekoodiga IPseci-põhine VPN-lahendus. See toetab nii IKEv1 kui ka IKEv2 võtmevahetusprotokolle koos Linuxi tuuma natiivse NETKEY IPsec pinuga. See õpetus näitab, kuidas kasutada strongSwani IPSec VPN-serveri seadistamiseks süsteemis CentOS 7.

    Installige strongSwan

    Paketid strongSwan on saadaval Extra Packages for Enterprise Linuxi (EPEL) hoidlas. Peaksime esmalt lubama EPEL-i ja seejärel installima strongSwani.

    yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

    Sertifikaatide genereerimine

    Nii VPN-klient kui ka server vajavad enda tuvastamiseks ja autentimiseks sertifikaati. Sertifikaatide genereerimiseks ja allkirjastamiseks olen ette valmistanud kaks shelliskripti. Esiteks laadime need kaks skripti alla kausta /etc/strongswan/ipsec.d.

    cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

    Nendes kahes .shfailis olen määranud organisatsiooni nimeks VULTR-VPS-CENTOS. Kui soovite seda muuta, avage .shfailid ja asendage O=VULTR-VPS-CENTOSneed O=YOUR_ORGANIZATION_NAME.

    Järgmisena kasutage server_key.shkoos oma serveri IP-aadressiga, et genereerida serveri jaoks sertifitseerimisasutuse (CA) võti ja sertifikaat. Asendage SERVER_IPoma Vultr VPS-i IP-aadressiga.

    ./server_key.sh SERVER_IP

    Looge kliendivõti, sertifikaat ja P12-fail. Siin loon VPN-i kasutaja "john" sertifikaadi ja P12-faili.

    ./client_key.sh john john@gmail.com

    Enne skripti käivitamist asendage "john" ja tema meiliaadress enda omaga.

    Pärast sertifikaadid kliendi ja serveri genereeritakse, kopeerida /etc/strongswan/ipsec.d/john.p12ja /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemkohalikus arvutis.

    Konfigureerige strongSwan

    Avage strongSwan IPSec konfiguratsioonifail.

    vi /etc/strongswan/ipsec.conf

    Asenda selle sisu järgmise tekstiga.

    config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

    Redigeerige strongSwani konfiguratsioonifaili strongswan.conf.

    vi /etc/strongswan/strongswan.conf

    Kustutage kõik ja asendage see järgmisega.

    charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

    Kasutaja ja parooli lisamiseks muutke IPseci salafaili.

    vi /etc/strongswan/ipsec.secrets

    Lisage sellele kasutajakonto "John".

    : RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

    Pange tähele, et käärsoole ':' mõlemad pooled vajavad tühikut.

    Luba IPv4 edastamine

    Redigeerige, /etc/sysctl.confet lubada edastamine Linuxi tuumas.

    vi /etc/sysctl.conf

    Lisage faili järgmine rida.

    net.ipv4.ip_forward=1

    Salvestage fail ja seejärel rakendage muudatus.

    sysctl -p

    Konfigureerige tulemüür

    Avage serveris VPN-i tulemüür.

    firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

    Käivitage VPN

    systemctl start strongswan
systemctl enable strongswan

    Teie serveris töötab praegu StrongSwan. Installige oma klienti sertifikaadi strongswanCert.pemja .p12failid. Nüüd saate liituda oma privaatvõrguga.

    CentOS, Linuxi juhendid, võrgud

    Jäta kommentaar

    Masinate tõus: AI tegelikud rakendused

    Masinate tõus: AI tegelikud rakendused

    Tehisintellekt ei ole tulevik, see on siin, olevikus. Sellest blogist loe, kuidas tehisintellekti rakendused on mõjutanud erinevaid sektoreid.

    DDOS-i rünnakud: lühike ülevaade

    DDOS-i rünnakud: lühike ülevaade

    Kas olete ka DDOS-i rünnakute ohver ja olete segaduses ennetusmeetodite osas? Oma päringute lahendamiseks lugege seda artiklit.

    Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?

    Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?

    Võib-olla olete kuulnud, et häkkerid teenivad palju raha, kuid kas olete kunagi mõelnud, kuidas nad sellist raha teenivad? arutleme.

    Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.

    Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.

    Kas soovite näha Google'i revolutsioonilisi leiutisi ja seda, kuidas need leiutised muutsid iga inimese elu tänapäeval? Seejärel lugege ajaveebi, et näha Google'i leiutisi.

    Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?

    Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?

    Isejuhtivate autode kontseptsioon tehisintellekti abil teedele jõudmiseks on meil juba mõnda aega unistus. Kuid vaatamata mitmele lubadusele pole neid kusagil näha. Lisateabe saamiseks lugege seda ajaveebi…

    Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?

    Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?

    Kuna teadus areneb kiiresti, võttes üle suure osa meie jõupingutustest, suureneb ka oht, et allume seletamatule singulaarsusele. Loe, mida singulaarsus meie jaoks tähendada võiks.

    Suurandmete viitearhitektuuri kihtide funktsioonid

    Suurandmete viitearhitektuuri kihtide funktsioonid

    Lugege ajaveebi, et kõige lihtsamal viisil teada saada Big Data Architecture'i erinevaid kihte ja nende funktsioone.

    Andmesalvestuse areng – infograafik

    Andmesalvestuse areng – infograafik

    Andmete säilitamise meetodid on arenenud alates andmete sünnist. See ajaveeb käsitleb infograafiku alusel andmete salvestamise arengut.

    6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus

    6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus

    Selles digipõhises maailmas on nutikad koduseadmed muutunud elu oluliseks osaks. Siin on mõned nutikate koduseadmete hämmastavad eelised, mis muudavad meie elu elamisväärseks ja lihtsamaks.

    macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine

    macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine

    Hiljuti andis Apple välja macOS Catalina 10.15.4 täiendusvärskenduse probleemide lahendamiseks, kuid tundub, et värskendus põhjustab rohkem probleeme, mille tulemuseks on Maci masinate tellimine. Lisateabe saamiseks lugege seda artiklit