Використання StrongSwan для IPSec VPN на CentOS 7

StrongSwan — це рішення VPN з відкритим вихідним кодом на основі IPsec. Він підтримує протоколи обміну ключами IKEv1 і IKEv2 у поєднанні з рідним стеком NETKEY IPsec ядра Linux. Цей посібник покаже вам, як використовувати strongSwan для налаштування IPSec VPN-сервера на CentOS 7.

Встановіть strongSwan

Пакунки strongSwan доступні в репозиторії Extra Packages for Enterprise Linux (EPEL). Спочатку ми повинні ввімкнути EPEL, а потім встановити strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Створення сертифікатів

І клієнтові, і серверу VPN потрібен сертифікат для ідентифікації та автентифікації. Я підготував два сценарії оболонки для створення та підпису сертифікатів. Спочатку ми завантажуємо ці два скрипти в папку /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

У цих двох .shфайлах я встановив назву організації як VULTR-VPS-CENTOS. Якщо ви хочете змінити його, відкрийте .shфайли та замініть O=VULTR-VPS-CENTOSна O=YOUR_ORGANIZATION_NAME.

Далі використовуйте server_key.shз IP-адресою вашого сервера, щоб створити ключ центру сертифікації (CA) і сертифікат для сервера. Замініть SERVER_IPна IP-адресу вашого Vultr VPS.

./server_key.sh SERVER_IP

Згенеруйте ключ клієнта, сертифікат і файл P12. Тут я створю сертифікат і файл P12 для користувача VPN «john».

./client_key.sh john john@gmail.com

Перед запуском сценарію замініть "john" та його електронну пошту на свою.

Після того, як сертифікати для клієнта і сервера генеруються, скопіюйте /etc/strongswan/ipsec.d/john.p12та /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemна локальному комп'ютері.

Налаштуйте strongSwan

Відкрийте файл конфігурації strongSwan IPSec.

vi /etc/strongswan/ipsec.conf

Замініть його зміст наступним текстом.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Відредагуйте файл конфігурації strongSwan, strongswan.conf.

vi /etc/strongswan/strongswan.conf

Видаліть все та замініть на наступне.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Відредагуйте секретний файл IPsec, щоб додати користувача та пароль.

vi /etc/strongswan/ipsec.secrets

Додайте в нього обліковий запис користувача "john".

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Зверніть увагу, що обидві сторони двокрапки ':' потребують пробілу.

Дозволити пересилання IPv4

Змініть, /etc/sysctl.confщоб дозволити пересилання в ядрі Linux.

vi /etc/sysctl.conf

Додайте наступний рядок у файл.

net.ipv4.ip_forward=1

Збережіть файл, а потім застосуйте зміни.

sysctl -p

Налаштуйте брандмауер

Відкрийте брандмауер для вашого VPN на сервері.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Запустіть VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan зараз працює на вашому сервері. Встановіть файли сертифікатів strongswanCert.pemта .p12у свій клієнт. Тепер ви зможете приєднатися до своєї приватної мережі.