Pagrindinis » » StrongSwan naudojimas IPSec VPN sistemoje CentOS 7

StrongSwan naudojimas IPSec VPN sistemoje CentOS 7

  • Įdiekite „strongSwan“.
  • Sukurti sertifikatus
  • Konfigūruokite strongSwan
  • Leisti IPv4 persiuntimą
  • Sukonfigūruokite ugniasienę
  • Paleiskite VPN

    • StrongSwan yra atvirojo kodo IPsec pagrįstas VPN sprendimas. Jis palaiko ir IKEv1, ir IKEv2 raktų mainų protokolus kartu su savuoju Linux branduolio NETKEY IPsec krūva. Ši pamoka parodys, kaip naudoti strongSwan nustatant IPSec VPN serverį CentOS 7.

    Įdiekite „strongSwan“.

    „strongSwan“ paketus galima rasti „Extra Packages for Enterprise Linux“ (EPEL) saugykloje. Pirmiausia turėtume įjungti EPEL, tada įdiegti „strongSwan“.

    yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

    Sukurti sertifikatus

    Tiek VPN klientui, tiek serveriui reikia sertifikato, kad galėtų identifikuoti ir autentifikuoti save. Aš paruošiau du apvalkalo scenarijus sertifikatams generuoti ir pasirašyti. Pirmiausia atsisiunčiame šiuos du scenarijus į aplanką /etc/strongswan/ipsec.d.

    cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

    Šiuose dviejuose .shfailuose nustačiau organizacijos pavadinimą kaip VULTR-VPS-CENTOS. Jei norite jį pakeisti, atidarykite .shfailus ir pakeiskite O=VULTR-VPS-CENTOSjuos O=YOUR_ORGANIZATION_NAME.

    Tada naudokite server_key.shkartu su savo serverio IP adresu, kad sugeneruotumėte sertifikato institucijos (CA) raktą ir serverio sertifikatą. Pakeiskite SERVER_IPsavo Vultr VPS IP adresu.

    ./server_key.sh SERVER_IP

    Sugeneruokite kliento raktą, sertifikatą ir P12 failą. Čia sukursiu sertifikatą ir P12 failą VPN vartotojui „john“.

    ./client_key.sh john john@gmail.com

    Prieš paleisdami scenarijų, pakeiskite „džonas“ ir jo el. pašto adresą savo.

    Sukūrę kliento ir serverio sertifikatus, nukopijuokite /etc/strongswan/ipsec.d/john.p12ir /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemį savo vietinį kompiuterį.

    Konfigūruokite strongSwan

    Atidarykite strongSwan IPSec konfigūracijos failą.

    vi /etc/strongswan/ipsec.conf

    Pakeiskite jo turinį tokiu tekstu.

    config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

    Redaguokite strongSwan konfigūracijos failą, strongswan.conf.

    vi /etc/strongswan/strongswan.conf

    Viską ištrinkite ir pakeiskite taip.

    charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

    Redaguokite slaptąjį IPsec failą, kad pridėtumėte vartotoją ir slaptažodį.

    vi /etc/strongswan/ipsec.secrets

    Pridėkite vartotojo abonementą „džonas“.

    : RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

    Atminkite, kad abiejose dvitaškio „:“ pusėse reikia palikti tarpą.

    Leisti IPv4 persiuntimą

    Redaguoti, /etc/sysctl.confkad leistų persiuntimą Linux branduolyje.

    vi /etc/sysctl.conf

    Į failą įtraukite šią eilutę.

    net.ipv4.ip_forward=1

    Išsaugokite failą, tada pritaikykite pakeitimą.

    sysctl -p

    Sukonfigūruokite ugniasienę

    Serveryje atidarykite VPN ugniasienę.

    firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

    Paleiskite VPN

    systemctl start strongswan
systemctl enable strongswan

    StrongSwan dabar veikia jūsų serveryje. Įdiekite strongswanCert.pemir .p12sertifikato failus į savo klientą. Dabar galėsite prisijungti prie savo privataus tinklo.

    Palikti komentarą

    Mašinų augimas: AI pritaikymas realiame pasaulyje

    Mašinų augimas: AI pritaikymas realiame pasaulyje

    Dirbtinis intelektas nėra ateityje, jis čia, dabartyje Šiame tinklaraštyje Skaitykite, kaip dirbtinio intelekto programos paveikė įvairius sektorius.

    DDOS atakos: trumpa apžvalga

    DDOS atakos: trumpa apžvalga

    Ar taip pat esate DDOS atakų auka ir esate sumišęs dėl prevencijos metodų? Perskaitykite šį straipsnį, kad išspręstumėte savo užklausas.

    Ar kada nors susimąstėte, kaip įsilaužėliai uždirba pinigų?

    Ar kada nors susimąstėte, kaip įsilaužėliai uždirba pinigų?

    Galbūt girdėjote, kad įsilaužėliai uždirba daug pinigų, bet ar kada susimąstėte, kaip jie uždirba tokius pinigus? padiskutuokime.

    Revoliuciniai „Google“ išradimai, kurie palengvins jūsų gyvenimą.

    Revoliuciniai „Google“ išradimai, kurie palengvins jūsų gyvenimą.

    Ar norite pamatyti revoliucinius „Google“ išradimus ir kaip šie išradimai pakeitė kiekvieno žmogaus gyvenimą šiandien? Tada skaitykite tinklaraštį, kad pamatytumėte „Google“ išradimus.

    Penktadienio esminiai dalykai: kas atsitiko AI varomiems automobiliams?

    Penktadienio esminiai dalykai: kas atsitiko AI varomiems automobiliams?

    Savavaledžių automobilių koncepcija, kuri išvažiuotų į kelius su dirbtinio intelekto pagalba, yra svajonė, kurią jau kurį laiką svajojame. Tačiau nepaisant kelių pažadų, jų niekur nematyti. Skaitykite šį tinklaraštį, kad sužinotumėte daugiau…

    Technologinis išskirtinumas: tolima žmogaus civilizacijos ateitis?

    Technologinis išskirtinumas: tolima žmogaus civilizacijos ateitis?

    Kadangi mokslas sparčiai vystosi, perimdamas daug mūsų pastangų, taip pat didėja rizika, kad pateksime į nepaaiškinamą singuliarumą. Skaitykite, ką mums gali reikšti išskirtinumas.

    Didžiųjų duomenų atskaitos architektūros sluoksnių funkcijos

    Didžiųjų duomenų atskaitos architektūros sluoksnių funkcijos

    Skaitykite tinklaraštį, kad paprasčiausiai sužinotumėte apie skirtingus didžiųjų duomenų architektūros sluoksnius ir jų funkcijas.

    Duomenų saugojimo raida – infografika

    Duomenų saugojimo raida – infografika

    Duomenų saugojimo metodai gali būti tobulinami nuo pat Duomenų gimimo. Šiame tinklaraštyje, remiantis infografika, aprašoma duomenų saugojimo raida.

    6 nuostabūs išmaniųjų namų įrenginių privalumai

    6 nuostabūs išmaniųjų namų įrenginių privalumai

    Šiame skaitmeniniu būdu pagrįstame pasaulyje išmanieji namų įrenginiai tapo svarbia gyvenimo dalimi. Štai keletas nuostabių išmaniųjų namų įrenginių privalumų, kaip jie daro mūsų gyvenimą vertą gyventi ir paprastesnį.

    „macOS Catalina 10.15.4“ priedo atnaujinimas kelia daugiau problemų, nei sprendžia

    „macOS Catalina 10.15.4“ priedo atnaujinimas kelia daugiau problemų, nei sprendžia

    Neseniai „Apple“ išleido „macOS Catalina 10.15.4“ priedą, skirtą problemoms išspręsti, tačiau atrodo, kad dėl atnaujinimo kyla daugiau problemų, dėl kurių „Mac“ įrenginiai blokuojami. Norėdami sužinoti daugiau, perskaitykite šį straipsnį