StrongSwanin käyttäminen IPSec VPN: lle CentOS 7:ssä

StrongSwan on avoimen lähdekoodin IPsec-pohjainen VPN-ratkaisu. Se tukee sekä IKEv1- että IKEv2-avainten vaihtoprotokollia yhdessä Linux-ytimen alkuperäisen NETKEY IPsec -pinon kanssa. Tämä opetusohjelma näyttää, kuinka strongSwanin avulla voit määrittää IPSec VPN -palvelimen CentOS 7:ssä.

Asenna strongSwan

strongSwan-paketit ovat saatavilla Extra Packages for Enterprise Linux (EPEL) -arkistosta. Meidän pitäisi ensin ottaa EPEL käyttöön ja sitten asentaa strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Luo varmenteita

Sekä VPN-asiakas että palvelin tarvitsevat varmenteen tunnistaakseen ja todentaakseen itsensä. Olen valmistellut kaksi shell-skriptiä varmenteiden luomista ja allekirjoittamista varten. Ensin lataamme nämä kaksi skriptiä kansioon /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

Näissä kahdessa .shtiedostossa olen asettanut organisaation nimeksi VULTR-VPS-CENTOS. Jos haluat muuttaa sitä, avaa .shtiedostot ja korvaa O=VULTR-VPS-CENTOSne O=YOUR_ORGANIZATION_NAME.

Käytä server_key.shseuraavaksi palvelimesi IP-osoitteen kanssa luodaksesi varmenteen myöntäjän (CA) avain ja sertifikaatti palvelimelle. Korvaa SERVER_IPVultr VPS:n IP-osoitteella.

./server_key.sh SERVER_IP

Luo asiakasavain, varmenne ja P12-tiedosto. Täällä luon varmenteen ja P12-tiedoston VPN-käyttäjälle "john".

./client_key.sh john john@gmail.com

Korvaa "john" ja hänen sähköpostiosoitteensa omallasi ennen skriptin suorittamista.

Sen jälkeen, kun sertifikaatteja asiakkaan ja palvelimen syntyy, kopioida /etc/strongswan/ipsec.d/john.p12ja /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemtietokoneellesi.

Määritä strongSwan

Avaa strongSwan IPSec -määritystiedosto.

vi /etc/strongswan/ipsec.conf

Korvaa sen sisältö seuraavalla tekstillä.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Muokkaa strongSwan-määritystiedostoa, strongswan.conf.

vi /etc/strongswan/strongswan.conf

Poista kaikki ja korvaa se seuraavalla.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Muokkaa IPsec-salaista tiedostoa lisätäksesi käyttäjän ja salasanan.

vi /etc/strongswan/ipsec.secrets

Lisää siihen käyttäjätili "john".

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Huomaa, että kaksoispisteen ':' molemmat puolet tarvitsevat välilyönnin.

Salli IPv4-edelleenlähetys

Muokkaa /etc/sysctl.confsalliaksesi edelleenlähetyksen Linux-ytimessä.

vi /etc/sysctl.conf

Lisää tiedostoon seuraava rivi.

net.ipv4.ip_forward=1

Tallenna tiedosto ja ota muutos käyttöön.

sysctl -p

Määritä palomuuri

Avaa VPN:n palomuuri palvelimella.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Käynnistä VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan on nyt käynnissä palvelimellasi. Asenna strongswanCert.pemja .p12varmennetiedostot asiakkaallesi. Voit nyt liittyä yksityiseen verkkoosi.