Domov » » Používanie StrongSwan pre IPSec VPN na CentOS 7

Používanie StrongSwan pre IPSec VPN na CentOS 7

  • Nainštalujte strongSwan
  • Generovať certifikáty
  • Nakonfigurujte strongSwan
  • Povoliť presmerovanie IPv4
  • Nakonfigurujte bránu firewall
  • Spustite VPN

    • StrongSwan je open source riešenie VPN založené na IPsec. Podporuje protokoly výmeny kľúčov IKEv1 aj IKEv2 v spojení s natívnym zásobníkom NETKEY IPsec linuxového jadra. Tento tutoriál vám ukáže, ako používať strongSwan na nastavenie servera IPSec VPN na CentOS 7.

    Nainštalujte strongSwan

    Balíky strongSwan sú dostupné v úložisku Extra Packages for Enterprise Linux (EPEL). Najprv by sme mali povoliť EPEL a potom nainštalovať strongSwan.

    yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

    Generovať certifikáty

    Klient aj server VPN potrebujú certifikát, aby sa mohli identifikovať a overiť. Pripravil som dva shell skripty na generovanie a podpis certifikátov. Najprv si stiahneme tieto dva skripty do priečinka /etc/strongswan/ipsec.d.

    cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

    V týchto dvoch .shsúboroch som nastavil názov organizácie ako VULTR-VPS-CENTOS. Ak ju chcete zmeniť, otvoriť .shsúbory a nahradí O=VULTR-VPS-CENTOSsa O=YOUR_ORGANIZATION_NAME.

    Potom použite server_key.shs IP adresou vášho servera vygenerovanie kľúča certifikačnej autority (CA) a certifikátu pre server. Nahraďte SERVER_IPju IP adresou vášho Vultr VPS.

    ./server_key.sh SERVER_IP

    Vygenerujte klientsky kľúč, certifikát a súbor P12. Tu vytvorím certifikát a súbor P12 pre používateľa VPN „John“.

    ./client_key.sh john john@gmail.com

    Pred spustením skriptu nahraďte „john“ a jeho e-mail svojím.

    Po vygenerovaní certifikátov pre klienta a server skopírujte /etc/strongswan/ipsec.d/john.p12a /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemdo svojho lokálneho počítača.

    Nakonfigurujte strongSwan

    Otvorte konfiguračný súbor strongSwan IPSec.

    vi /etc/strongswan/ipsec.conf

    Nahraďte jeho obsah nasledujúcim textom.

    config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

    Upravte konfiguračný súbor strongSwan, strongswan.conf.

    vi /etc/strongswan/strongswan.conf

    Vymažte všetko a nahraďte ho nasledujúcim.

    charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

    Upravte tajný súbor IPsec a pridajte používateľa a heslo.

    vi /etc/strongswan/ipsec.secrets

    Pridajte do nej používateľský účet „john“.

    : RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

    Upozorňujeme, že obe strany dvojbodky „:“ potrebujú medzeru.

    Povoliť presmerovanie IPv4

    Upravte, /etc/sysctl.confaby ste povolili preposielanie v jadre Linuxu.

    vi /etc/sysctl.conf

    Pridajte nasledujúci riadok do súboru.

    net.ipv4.ip_forward=1

    Uložte súbor a potom použite zmenu.

    sysctl -p

    Nakonfigurujte bránu firewall

    Otvorte bránu firewall pre svoju sieť VPN na serveri.

    firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

    Spustite VPN

    systemctl start strongswan
systemctl enable strongswan

    StrongSwan je teraz spustený na vašom serveri. Nainštalujte súbory strongswanCert.pema .p12certifikáty do svojho klienta. Teraz sa budete môcť pripojiť k svojej súkromnej sieti.

    Zanechať komentár

    The Rise of Machines: Real World Applications of AI

    The Rise of Machines: Real World Applications of AI

    Umelá inteligencia nie je v budúcnosti, je tu priamo v súčasnosti V tomto blogu si prečítajte, ako aplikácie umelej inteligencie ovplyvnili rôzne sektory.

    Útoky DDOS: Stručný prehľad

    Útoky DDOS: Stručný prehľad

    Ste aj vy obeťou DDOS útokov a máte zmätok ohľadom metód prevencie? Ak chcete vyriešiť svoje otázky, prečítajte si tento článok.

    Zaujímalo vás niekedy, ako hackeri zarábajú peniaze?

    Zaujímalo vás niekedy, ako hackeri zarábajú peniaze?

    Možno ste už počuli, že hackeri zarábajú veľa peňazí, ale premýšľali ste niekedy nad tým, ako môžu zarábať také peniaze? poďme diskutovať.

    Revolučné vynálezy od spoločnosti Google, ktoré vám uľahčia život.

    Revolučné vynálezy od spoločnosti Google, ktoré vám uľahčia život.

    Chcete vidieť revolučné vynálezy od Google a ako tieto vynálezy zmenili život každého dnešného človeka? Potom si prečítajte na blogu a pozrite si vynálezy spoločnosti Google.

    Piatok Essential: Čo sa stalo s autami poháňanými AI?

    Piatok Essential: Čo sa stalo s autami poháňanými AI?

    Koncept samoriadených áut vyraziť na cesty s pomocou umelej inteligencie je snom, ktorý máme už nejaký čas. Ale napriek niekoľkým prísľubom ich nikde nevidno. Prečítajte si tento blog a dozviete sa viac…

    Technologická singularita: vzdialená budúcnosť ľudskej civilizácie?

    Technologická singularita: vzdialená budúcnosť ľudskej civilizácie?

    Ako sa veda vyvíja rýchlym tempom a preberá veľa nášho úsilia, zvyšuje sa aj riziko, že sa vystavíme nevysvetliteľnej singularite. Prečítajte si, čo pre nás môže znamenať singularita.

    Funkcionality vrstiev referenčnej architektúry veľkých dát

    Funkcionality vrstiev referenčnej architektúry veľkých dát

    Prečítajte si blog, aby ste čo najjednoduchším spôsobom spoznali rôzne vrstvy architektúry veľkých dát a ich funkcie.

    Vývoj ukladania dát – Infografika

    Vývoj ukladania dát – Infografika

    Spôsoby ukladania údajov sa môžu vyvíjať už od zrodu údajov. Tento blog sa zaoberá vývojom ukladania údajov na základe infografiky.

    6 úžasných výhod toho, že máme v živote inteligentné domáce zariadenia

    6 úžasných výhod toho, že máme v živote inteligentné domáce zariadenia

    V tomto digitálnom svete sa inteligentné domáce zariadenia stali kľúčovou súčasťou života. Tu je niekoľko úžasných výhod inteligentných domácich zariadení o tom, ako robia náš život, ktorý stojí za to žiť, a ktorý zjednodušujú.

    Aktualizácia doplnku macOS Catalina 10.15.4 spôsobuje viac problémov, ako ich rieši

    Aktualizácia doplnku macOS Catalina 10.15.4 spôsobuje viac problémov, ako ich rieši

    Spoločnosť Apple nedávno vydala doplnkovú aktualizáciu macOS Catalina 10.15.4 na opravu problémov, ale zdá sa, že táto aktualizácia spôsobuje ďalšie problémy, ktoré vedú k blokovaniu počítačov Mac. Prečítajte si tento článok a dozviete sa viac