Använder StrongSwan för IPSec VPN på CentOS 7

StrongSwan är en öppen källkod IPsec-baserad VPN-lösning. Den stöder både IKEv1- och IKEv2-nyckelutbytesprotokollen i kombination med den inbyggda NETKEY IPsec-stacken i Linux-kärnan. Denna handledning visar dig hur du använder strongSwan för att konfigurera en IPSec VPN-server på CentOS 7.

Installera strongSwan

strongSwan-paketen är tillgängliga i arkivet Extra Packages for Enterprise Linux (EPEL). Vi bör aktivera EPEL först och sedan installera strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Skapa certifikat

Både VPN-klienten och servern behöver ett certifikat för att identifiera och autentisera sig själva. Jag har förberett två skalskript för att generera och signera certifikaten. Först laddar vi ner dessa två skript till mappen /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

I dessa två .shfiler har jag angett organisationsnamnet som VULTR-VPS-CENTOS. Om du vill ändra det, öppna .shfilerna och ersätt O=VULTR-VPS-CENTOSmed O=YOUR_ORGANIZATION_NAME.

Använd sedan server_key.shdin servers IP-adress för att generera certifikatutfärdarens (CA) nyckel och certifikat för servern. Ersätt SERVER_IPmed IP-adressen för din Vultr VPS.

./server_key.sh SERVER_IP

Generera klientnyckeln, certifikatet och P12-filen. Här kommer jag att skapa certifikatet och P12-filen för VPN-användaren "john".

./client_key.sh john john@gmail.com

Byt ut "john" och hans e-post med din innan du kör skriptet.

Efter att certifikaten för klient och server har genererats, kopiera /etc/strongswan/ipsec.d/john.p12och /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemtill din lokala dator.

Konfigurera strongSwan

Öppna strongSwan IPSec-konfigurationsfilen.

vi /etc/strongswan/ipsec.conf

Ersätt dess innehåll med följande text.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Redigera strongSwan-konfigurationsfilen, strongswan.conf.

vi /etc/strongswan/strongswan.conf

Ta bort allt och ersätt det med följande.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Redigera den hemliga IPsec-filen för att lägga till en användare och lösenord.

vi /etc/strongswan/ipsec.secrets

Lägg till ett användarkonto "John" i den.

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Observera att båda sidor av kolon ':' behöver ett blanksteg.

Tillåt vidarebefordran av IPv4

Redigera för /etc/sysctl.confatt tillåta vidarebefordran i Linux-kärnan.

vi /etc/sysctl.conf

Lägg till följande rad i filen.

net.ipv4.ip_forward=1

Spara filen och tillämpa sedan ändringen.

sysctl -p

Konfigurera brandväggen

Öppna brandväggen för din VPN på servern.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Starta VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan körs nu på din server. Installera strongswanCert.pemoch .p12certifikatfiler till din klient. Du kommer nu att kunna gå med i ditt privata nätverk.