Sākums » » StrongSwan izmantošana IPSec VPN operētājsistēmā CentOS 7

StrongSwan izmantošana IPSec VPN operētājsistēmā CentOS 7

  • Instalējiet strongSwan
  • Ģenerēt sertifikātus
  • Konfigurējiet strongSwan
  • Atļaut IPv4 pārsūtīšanu
  • Konfigurējiet ugunsmūri
  • Sāciet VPN

    • StrongSwan ir atvērtā pirmkoda IPsec VPN risinājums. Tas atbalsta gan IKEv1, gan IKEv2 atslēgu apmaiņas protokolus kopā ar Linux kodola vietējo NETKEY IPsec steku. Šī apmācība parādīs, kā izmantot strongSwan, lai iestatītu IPSec VPN serveri operētājsistēmā CentOS 7.

    Instalējiet strongSwan

    strongSwan pakotnes ir pieejamas papildu pakotnes Enterprise Linux (EPEL) repozitorijā. Vispirms jāiespējo EPEL, pēc tam jāinstalē strongSwan.

    yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

    Ģenerēt sertifikātus

    Gan VPN klientam, gan serverim ir nepieciešams sertifikāts, lai identificētu un autentificētu sevi. Esmu sagatavojis divus čaulas skriptus, lai ģenerētu un parakstītu sertifikātus. Vispirms mēs lejupielādējam šos divus skriptus mapē /etc/strongswan/ipsec.d.

    cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

    Šajos divos .shfailos esmu iestatījis organizācijas nosaukumu kā VULTR-VPS-CENTOS. Ja vēlaties to mainīt, atveriet .shfailus un aizstājiet tos O=VULTR-VPS-CENTOSar O=YOUR_ORGANIZATION_NAME.

    Pēc tam izmantojiet server_key.shkopā ar sava servera IP adresi, lai ģenerētu sertifikācijas iestādes (CA) atslēgu un sertifikātu serverim. Aizstāt SERVER_IPar sava Vultr VPS IP adresi.

    ./server_key.sh SERVER_IP

    Ģenerējiet klienta atslēgu, sertifikātu un P12 failu. Šeit es izveidošu sertifikātu un P12 failu VPN lietotājam "džons".

    ./client_key.sh john john@gmail.com

    Pirms skripta palaišanas aizstājiet "džons" un viņa e-pasta adresi ar savu.

    Pēc sertifikātiem klientu un serveri ir radīts, kopēt /etc/strongswan/ipsec.d/john.p12un /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemlai tavā datorā.

    Konfigurējiet strongSwan

    Atveriet strongSwan IPSec konfigurācijas failu.

    vi /etc/strongswan/ipsec.conf

    Aizstāt tā saturu ar šādu tekstu.

    config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

    Rediģējiet strongSwan konfigurācijas failu, strongswan.conf.

    vi /etc/strongswan/strongswan.conf

    Izdzēsiet visu un aizstājiet to ar šādu.

    charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

    Rediģējiet IPsec slepeno failu, lai pievienotu lietotāju un paroli.

    vi /etc/strongswan/ipsec.secrets

    Pievienojiet tam lietotāja kontu "džons".

    : RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

    Lūdzu, ņemiet vērā, ka abās kola “:” pusēs ir nepieciešams atstarpe.

    Atļaut IPv4 pārsūtīšanu

    Rediģēt, /etc/sysctl.conflai atļautu pārsūtīšanu Linux kodolā.

    vi /etc/sysctl.conf

    Pievienojiet failam šādu rindu.

    net.ipv4.ip_forward=1

    Saglabājiet failu un pēc tam piemērojiet izmaiņas.

    sysctl -p

    Konfigurējiet ugunsmūri

    Serverī atveriet sava VPN ugunsmūri.

    firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

    Sāciet VPN

    systemctl start strongswan
systemctl enable strongswan

    StrongSwan tagad darbojas jūsu serverī. Instalējiet strongswanCert.pemun .p12sertifikāta failus savā klientā. Tagad varēsit pievienoties savam privātajam tīklam.

    Atstājiet komentāru

    Mašīnu pieaugums: AI reālās pasaules lietojumi

    Mašīnu pieaugums: AI reālās pasaules lietojumi

    Mākslīgais intelekts nav nākotnē, tas ir šeit, tagadnē. Šajā emuārā lasiet, kā mākslīgā intelekta lietojumprogrammas ir ietekmējušas dažādas nozares.

    DDOS uzbrukumi: īss pārskats

    DDOS uzbrukumi: īss pārskats

    Vai arī jūs esat DDOS uzbrukumu upuris un esat neizpratnē par profilakses metodēm? Izlasiet šo rakstu, lai atrisinātu savus jautājumus.

    Vai esat kādreiz domājis, kā hakeri pelna naudu?

    Vai esat kādreiz domājis, kā hakeri pelna naudu?

    Iespējams, esat dzirdējuši, ka hakeri pelna daudz naudas, bet vai esat kādreiz domājuši, kā viņi nopelna šādu naudu? pārrunāsim.

    Google revolucionāri izgudrojumi, kas atvieglos jūsu dzīvi.

    Google revolucionāri izgudrojumi, kas atvieglos jūsu dzīvi.

    Vai vēlaties redzēt revolucionārus Google izgudrojumus un to, kā šie izgudrojumi mainīja katra cilvēka dzīvi mūsdienās? Pēc tam lasiet emuārā, lai redzētu Google izgudrojumus.

    Piektdiena: kas notika ar AI vadītām automašīnām?

    Piektdiena: kas notika ar AI vadītām automašīnām?

    Pašpiedziņas automobiļu koncepcija izbraukt uz ceļiem ar mākslīgā intelekta palīdzību ir mūsu sapnis jau kādu laiku. Bet, neskatoties uz vairākiem solījumiem, tie nekur nav redzami. Lasiet šo emuāru, lai uzzinātu vairāk…

    Tehnoloģiskā singularitāte: cilvēces civilizācijas tāla nākotne?

    Tehnoloģiskā singularitāte: cilvēces civilizācijas tāla nākotne?

    Zinātnei strauji attīstoties, pārņemot lielu daļu mūsu pūļu, palielinās arī risks pakļaut sevi neizskaidrojamai singularitātei. Izlasiet, ko singularitāte varētu nozīmēt mums.

    Lielo datu atsauces arhitektūras slāņu funkcijas

    Lielo datu atsauces arhitektūras slāņu funkcijas

    Lasiet emuāru, lai vienkāršākā veidā uzzinātu dažādus lielo datu arhitektūras slāņus un to funkcijas.

    Datu glabāšanas evolūcija – infografika

    Datu glabāšanas evolūcija – infografika

    Datu uzglabāšanas metodes ir attīstījušās kopš datu dzimšanas. Šajā emuārā ir aprakstīta datu uzglabāšanas attīstība, pamatojoties uz infografiku.

    6 brīnišķīgas priekšrocības, ko sniedz viedo mājas ierīču izmantošana mūsu dzīvē

    6 brīnišķīgas priekšrocības, ko sniedz viedo mājas ierīču izmantošana mūsu dzīvē

    Šajā digitālajā pasaulē viedās mājas ierīces ir kļuvušas par būtisku dzīves sastāvdaļu. Šeit ir daži pārsteidzoši viedo mājas ierīču ieguvumi, lai padarītu mūsu dzīvi dzīves vērtu un vienkāršāku.

    MacOS Catalina 10.15.4 papildinājuma atjauninājums rada vairāk problēmu nekā to risināšana

    MacOS Catalina 10.15.4 papildinājuma atjauninājums rada vairāk problēmu nekā to risināšana

    Nesen Apple izlaida macOS Catalina 10.15.4 papildinājuma atjauninājumu, lai novērstu problēmas, taču šķiet, ka atjauninājums rada vairāk problēmu, kas izraisa Mac datoru bloķēšanu. Izlasiet šo rakstu, lai uzzinātu vairāk