StrongSwan ist eine Open Source IPsec-basierte VPN-Lösung. Es unterstützt sowohl das IKEv1- als auch das IKEv2-Schlüsselaustauschprotokoll in Verbindung mit dem nativen NETKEY IPsec-Stack des Linux-Kernels. Dieses Tutorial zeigt Ihnen, wie Sie mit strongSwan einen IPSec-VPN-Server unter CentOS 7 einrichten.
Die strongSwan-Pakete sind im EPEL-Repository (Extra Packages for Enterprise Linux) verfügbar. Wir sollten zuerst EPEL aktivieren und dann strongSwan installieren.
yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl
Sowohl der VPN-Client als auch der VPN-Server benötigen ein Zertifikat, um sich zu identifizieren und zu authentifizieren. Ich habe zwei Shell-Skripte vorbereitet, um die Zertifikate zu generieren und zu signieren. Zuerst laden wir diese beiden Skripte in den Ordner herunter /etc/strongswan/ipsec.d.
cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh
In diesen beiden .shDateien habe ich den Organisationsnamen als festgelegt VULTR-VPS-CENTOS. Wenn Sie es ändern möchten, öffnen Sie die .shDateien und ersetzen Sie sie O=VULTR-VPS-CENTOSdurch O=YOUR_ORGANIZATION_NAME.
Verwenden Sie als Nächstes server_key.shdie IP-Adresse Ihres Servers, um den CA-Schlüssel (Certificate Authority) und das Zertifikat für den Server zu generieren. Ersetzen Sie SERVER_IPdurch die IP-Adresse Ihres Vultr VPS.
./server_key.sh SERVER_IP
Generieren Sie den Clientschlüssel, das Zertifikat und die P12-Datei. Hier werde ich das Zertifikat und die P12-Datei für den VPN-Benutzer "john" erstellen.
./client_key.sh john john@gmail.com
Ersetzen Sie "John" und seine E-Mail durch Ihre, bevor Sie das Skript ausführen.
Nachdem die Zertifikate für Client und Server generiert werden, kopieren /etc/strongswan/ipsec.d/john.p12und /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemauf dem lokalen Computer.
Öffnen Sie die strongSwan IPSec-Konfigurationsdatei.
vi /etc/strongswan/ipsec.conf
Ersetzen Sie den Inhalt durch den folgenden Text.
config setup
uniqueids=never
charondebug="cfg 2, dmn 2, ike 2, net 0"
conn %default
left=%defaultroute
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.pem
right=%any
rightsourceip=172.16.1.100/16
conn CiscoIPSec
keyexchange=ikev1
fragmentation=yes
rightauth=pubkey
rightauth2=xauth
leftsendcert=always
rekey=no
auto=add
conn XauthPsk
keyexchange=ikev1
leftauth=psk
rightauth=psk
rightauth2=xauth
auto=add
conn IpsecIKEv2
keyexchange=ikev2
leftauth=pubkey
rightauth=pubkey
leftsendcert=always
auto=add
conn IpsecIKEv2-EAP
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
leftauth=pubkey
leftsendcert=always
rightauth=eap-mschapv2
eap_identity=%any
auto=add
Bearbeiten Sie die strongSwan-Konfigurationsdatei strongswan.conf.
vi /etc/strongswan/strongswan.conf
Löschen Sie alles und ersetzen Sie es durch Folgendes.
charon {
load_modular = yes
duplicheck.enable = no
compress = yes
plugins {
include strongswan.d/charon/*.conf
}
dns1 = 8.8.8.8
dns2 = 8.8.4.4
nbns1 = 8.8.8.8
nbns2 = 8.8.4.4
}
include strongswan.d/*.conf
Bearbeiten Sie die geheime IPSec-Datei, um einen Benutzer und ein Kennwort hinzuzufügen.
vi /etc/strongswan/ipsec.secrets
Fügen Sie ein Benutzerkonto "john" hinzu.
: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"
Bitte beachten Sie, dass beide Seiten des Doppelpunkts ':' einen Leerraum benötigen.
Bearbeiten /etc/sysctl.conf, um die Weiterleitung im Linux-Kernel zu ermöglichen.
vi /etc/sysctl.conf
Fügen Sie der Datei die folgende Zeile hinzu.
net.ipv4.ip_forward=1
Speichern Sie die Datei und übernehmen Sie die Änderung.
sysctl -p
Öffnen Sie die Firewall für Ihr VPN auf dem Server.
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
systemctl start strongswan
systemctl enable strongswan
StrongSwan läuft jetzt auf Ihrem Server. Installieren Sie die strongswanCert.pemund die .p12Zertifikatdateien auf Ihrem Client. Sie können jetzt Ihrem privaten Netzwerk beitreten.
Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist
ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.
Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+
Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.
Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren
13 Tools zur kommerziellen Datenextraktion von Big Data
Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true
Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.
Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1
KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.
