Notkun StrongSwan fyrir IPSec VPN á CentOS 7

StrongSwan er opinn uppspretta IPsec-undirstaða VPN lausn. Það styður bæði IKEv1 og IKEv2 lykilskiptisamskiptareglur í tengslum við innfæddan NETKEY IPsec stafla Linux kjarnans. Þessi kennsla mun sýna þér hvernig á að nota strongSwan til að setja upp IPSec VPN netþjón á CentOS 7.

Settu upp strongSwan

strongSwan pakkarnir eru fáanlegir í aukapakka fyrir Enterprise Linux (EPEL) geymsluna. Við ættum að virkja EPEL fyrst og setja síðan upp strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Búðu til vottorð

Bæði VPN viðskiptavinurinn og netþjónninn þurfa vottorð til að auðkenna og sannvotta sig. Ég hef útbúið tvö skeljaforskrift til að búa til og undirrita skírteinin. Fyrst halum við niður þessum tveimur forskriftum í möppuna /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

Í þessum tveimur .shskrám hef ég stillt nafn fyrirtækisins sem VULTR-VPS-CENTOS. Ef þú vilt breyta því, opnaðu .shskrárnar og skiptu O=VULTR-VPS-CENTOSút fyrir O=YOUR_ORGANIZATION_NAME.

Næst skaltu nota server_key.shmeð IP tölu netþjónsins þíns til að búa til vottorðsyfirvalda (CA) lykilinn og vottorð fyrir netþjóninn. Skiptu út SERVER_IPfyrir IP tölu Vultr VPS þíns.

./server_key.sh SERVER_IP

Búðu til biðlaralykilinn, vottorðið og P12 skrána. Hér mun ég búa til vottorðið og P12 skrána fyrir VPN notandann „john“.

./client_key.sh john john@gmail.com

Skiptu út "john" og tölvupósti hans fyrir þinn áður en þú keyrir handritið.

Eftir að skírteinin fyrir biðlara og netþjón eru búin til skaltu afrita /etc/strongswan/ipsec.d/john.p12og /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemyfir á staðbundna tölvuna þína.

Stilltu strongSwan

Opnaðu strongSwan IPSec stillingarskrána.

vi /etc/strongswan/ipsec.conf

Skiptu um innihald þess fyrir eftirfarandi texta.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Breyttu strongSwan stillingarskránni, strongswan.conf.

vi /etc/strongswan/strongswan.conf

Eyddu öllu og skiptu því út fyrir eftirfarandi.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Breyttu IPsec leyniskránni til að bæta við notanda og lykilorði.

vi /etc/strongswan/ipsec.secrets

Bættu notandareikningi "John" inn í það.

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Vinsamlegast athugaðu að báðar hliðar ristilsins ':' þurfa hvítt bil.

Leyfa IPv4 áframsendingu

Breyttu /etc/sysctl.conftil að leyfa áframsendingu í Linux kjarnanum.

vi /etc/sysctl.conf

Bættu eftirfarandi línu inn í skrána.

net.ipv4.ip_forward=1

Vistaðu skrána og notaðu síðan breytinguna.

sysctl -p

Stilltu eldvegginn

Opnaðu eldvegginn fyrir VPN-inn þinn á þjóninum.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Byrjaðu VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan er núna í gangi á netþjóninum þínum. Settu upp strongswanCert.pemog .p12vottorðsskrárnar í biðlarann ​​þinn. Þú munt nú geta tengst einkanetinu þínu.