Domov » » Uporaba StrongSwan za IPSec VPN na CentOS 7

Uporaba StrongSwan za IPSec VPN na CentOS 7

  • Namestite strongSwan
  • Ustvarite potrdila
  • Konfigurirajte strongSwan
  • Dovoli posredovanje IPv4
  • Konfigurirajte požarni zid
  • Zaženite VPN

    • StrongSwan je odprtokodna rešitev VPN, ki temelji na IPsec. Podpira protokola za izmenjavo ključev IKEv1 in IKEv2 v povezavi z izvornim skladom NETKEY IPsec jedra Linuxa. Ta vadnica vam bo pokazala, kako uporabiti strongSwan za nastavitev strežnika IPSec VPN na CentOS 7.

    Namestite strongSwan

    Paketi strongSwan so na voljo v skladišču Extra Packages for Enterprise Linux (EPEL). Najprej bi morali omogočiti EPEL, nato namestiti strongSwan.

    yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

    Ustvarite potrdila

    Tako odjemalec kot strežnik VPN potrebujeta potrdilo za identifikacijo in preverjanje pristnosti. Za generiranje in podpis potrdil sem pripravil dva skripta lupine. Najprej prenesemo ta dva skripta v mapo /etc/strongswan/ipsec.d.

    cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

    V teh dveh .shdatotekah sem nastavil ime organizacije kot VULTR-VPS-CENTOS. Če ga želite spremeniti, odprite .shdatoteke in jih zamenjajte O=VULTR-VPS-CENTOSz O=YOUR_ORGANIZATION_NAME.

    Nato uporabite server_key.shz naslovom IP vašega strežnika, da ustvarite ključ overitelja potrdil (CA) in potrdilo za strežnik. Zamenjajte SERVER_IPz naslovom IP vašega Vultr VPS.

    ./server_key.sh SERVER_IP

    Ustvarite odjemalski ključ, potrdilo in datoteko P12. Tukaj bom ustvaril potrdilo in datoteko P12 za uporabnika VPN "john".

    ./client_key.sh john john@gmail.com

    Pred zagonom skripta zamenjajte "john" in njegovo e-pošto s svojim.

    Ko so potrdila za odjemalca in strežnika ustvarjena, kopirajte /etc/strongswan/ipsec.d/john.p12in /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemna svoj lokalni računalnik.

    Konfigurirajte strongSwan

    Odprite konfiguracijsko datoteko strongSwan IPSec.

    vi /etc/strongswan/ipsec.conf

    Zamenjajte njegovo vsebino z naslednjim besedilom.

    config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

    Uredite konfiguracijsko datoteko strongSwan, strongswan.conf.

    vi /etc/strongswan/strongswan.conf

    Izbrišite vse in zamenjajte z naslednjim.

    charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

    Uredite skrivno datoteko IPsec, da dodate uporabnika in geslo.

    vi /etc/strongswan/ipsec.secrets

    Vanj dodajte uporabniški račun "john".

    : RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

    Upoštevajte, da morata obe strani dvopičja ':' presledek.

    Dovoli posredovanje IPv4

    Uredite, /etc/sysctl.confda omogočite posredovanje v jedru Linuxa.

    vi /etc/sysctl.conf

    Dodajte naslednjo vrstico v datoteko.

    net.ipv4.ip_forward=1

    Shranite datoteko, nato uporabite spremembo.

    sysctl -p

    Konfigurirajte požarni zid

    Odprite požarni zid za vaš VPN na strežniku.

    firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

    Zaženite VPN

    systemctl start strongswan
systemctl enable strongswan

    StrongSwan se zdaj izvaja na vašem strežniku. Namestite datoteke strongswanCert.pemin .p12potrdila v odjemalca. Zdaj se boste lahko pridružili svojemu zasebnemu omrežju.

    Pusti komentar

    Vzpon strojev: aplikacije AI v resničnem svetu

    Vzpon strojev: aplikacije AI v resničnem svetu

    Umetna inteligenca ni v prihodnosti, tukaj je prav v sedanjosti. V tem blogu preberite, kako so aplikacije umetne inteligence vplivale na različne sektorje.

    DDOS napadi: kratek pregled

    DDOS napadi: kratek pregled

    Ste tudi vi žrtev DDOS napadov in ste zmedeni glede načinov preprečevanja? Preberite ta članek, če želite rešiti svoja vprašanja.

    Ste se kdaj vprašali, kako hekerji zaslužijo denar?

    Ste se kdaj vprašali, kako hekerji zaslužijo denar?

    Morda ste že slišali, da hekerji zaslužijo veliko denarja, a ste se kdaj vprašali, kako zaslužijo takšen denar? razpravljajmo.

    Revolucionarni Googlovi izumi, ki vam bodo olajšali življenje.

    Revolucionarni Googlovi izumi, ki vam bodo olajšali življenje.

    Ali želite videti revolucionarne izume Googla in kako so ti izumi danes spremenili življenje vsakega človeka? Nato preberite v blogu in si oglejte Googlove izume.

    Friday Essential: Kaj se je zgodilo z avtomobili, ki jih poganja umetna inteligenca?

    Friday Essential: Kaj se je zgodilo z avtomobili, ki jih poganja umetna inteligenca?

    Koncept samovozečih avtomobilov, ki zapeljejo na ceste s pomočjo umetne inteligence, so sanje, ki jih imamo že nekaj časa. A kljub številnim obljubam jih ni nikjer. Preberite ta blog, če želite izvedeti več…

    Tehnološka singularnost: oddaljena prihodnost človeške civilizacije?

    Tehnološka singularnost: oddaljena prihodnost človeške civilizacije?

    Ker se znanost hitro razvija in prevzame veliko naših prizadevanj, se povečuje tudi tveganje, da se podvržemo nerazložljivi singularnosti. Preberite, kaj bi za nas lahko pomenila singularnost.

    Funkcionalnosti slojev referenčne arhitekture velikih podatkov

    Funkcionalnosti slojev referenčne arhitekture velikih podatkov

    Preberite blog, če želite na najpreprostejši način spoznati različne plasti v arhitekturi velikih podatkov in njihove funkcionalnosti.

    Razvoj shranjevanja podatkov – Infografika

    Razvoj shranjevanja podatkov – Infografika

    Metode shranjevanja podatkov so se lahko razvijale od rojstva podatkov. Ta blog pokriva razvoj shranjevanja podatkov na podlagi infografike.

    6 neverjetnih prednosti pametnih naprav za dom v našem življenju

    6 neverjetnih prednosti pametnih naprav za dom v našem življenju

    V tem digitalno vodenem svetu so pametne naprave za dom postale ključni del življenja. Tukaj je nekaj neverjetnih prednosti pametnih naprav za dom o tem, kako naredijo naše življenje vredno življenja in poenostavijo.

    Posodobitev dodatka macOS Catalina 10.15.4 povzroča več težav kot jih rešuje

    Posodobitev dodatka macOS Catalina 10.15.4 povzroča več težav kot jih rešuje

    Pred kratkim je Apple izdal macOS Catalina 10.15.4 dopolnilno posodobitev za odpravo težav, vendar se zdi, da posodobitev povzroča več težav, ki vodijo do opečenja računalnikov Mac. Preberite ta članek, če želite izvedeti več