Beranda » » Menggunakan StrongSwan untuk IPSec VPN di CentOS 7

Menggunakan StrongSwan untuk IPSec VPN di CentOS 7

StrongSwan adalah solusi VPN berbasis IPsec open source. Ini mendukung protokol pertukaran kunci IKEv1 dan IKEv2 bersamaan dengan tumpukan NETKEY IPsec asli dari kernel Linux. Tutorial ini akan menunjukkan kepada Anda cara menggunakan strongSwan untuk mengatur server IPSec VPN di CentOS 7.

Instal strongSwan

Paket StrongSwan tersedia di repositori Extra Packages for Enterprise Linux (EPEL). Kita harus mengaktifkan EPEL terlebih dahulu, lalu instal strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Buat sertifikat

Klien VPN dan server memerlukan sertifikat untuk mengidentifikasi dan mengotentikasi diri mereka. Saya telah menyiapkan dua skrip shell untuk membuat dan menandatangani sertifikat. Pertama, kami mengunduh dua skrip ini ke folder /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

Dalam dua .shfile ini, saya telah menetapkan nama organisasi sebagai VULTR-VPS-CENTOS. Jika Anda ingin mengubahnya, buka .shfile dan ganti O=VULTR-VPS-CENTOSdengan O=YOUR_ORGANIZATION_NAME.

Selanjutnya, gunakan server_key.shdengan alamat IP server Anda untuk menghasilkan kunci otoritas sertifikat (CA) dan sertifikat untuk server. Ganti SERVER_IPdengan alamat IP Vultr VPS Anda.

./server_key.sh SERVER_IP

Hasilkan kunci klien, sertifikat, dan file P12. Di sini, saya akan membuat file sertifikat dan P12 untuk pengguna VPN "john".

./client_key.sh john john@gmail.com

Ganti "john" dan emailnya dengan Anda sebelum menjalankan skrip.

Setelah sertifikat untuk klien dan server dibuat, salin /etc/strongswan/ipsec.d/john.p12dan /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemke komputer lokal Anda.

Konfigurasikan angsa kuat

Buka file konfigurasi IPSec yang kuat.

vi /etc/strongswan/ipsec.conf

Ganti kontennya dengan teks berikut.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Edit file konfigurasi strongSwan strongswan.conf,.

vi /etc/strongswan/strongswan.conf

Hapus semuanya dan ganti dengan yang berikut ini.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Edit file rahasia IPsec untuk menambahkan pengguna dan kata sandi.

vi /etc/strongswan/ipsec.secrets

Tambahkan akun pengguna "john" ke dalamnya.

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Harap dicatat bahwa kedua sisi usus besar ':' membutuhkan ruang putih.

Izinkan penerusan IPv4

Edit /etc/sysctl.confuntuk memungkinkan penerusan di kernel Linux.

vi /etc/sysctl.conf

Tambahkan baris berikut ke dalam file.

net.ipv4.ip_forward=1

Simpan file, lalu terapkan perubahannya.

sysctl -p

Konfigurasikan firewall

Buka firewall untuk VPN Anda di server.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Mulai VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan sekarang sedang berjalan di server Anda. Instal strongswanCert.pemdan .p12sertifikat file ke klien Anda. Anda sekarang dapat bergabung dengan jaringan pribadi Anda.

Tinggalkan Komentar

Cara Memasang Panel Kontrol Hosting Mudah di Ubuntu 16.04

Cara Memasang Panel Kontrol Hosting Mudah di Ubuntu 16.04

Pelajari langkah-langkah untuk memasang Panel Kontrol Hosting Mudah (EHCP) di Ubuntu 16.04 dengan panduan ini.

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Baca blog untuk mengetahui berbagai lapisan dalam Arsitektur Big Data dan fungsinya dengan cara yang paling sederhana.

6 Hal yang Sangat Menggila dari Nintendo Switch

6 Hal yang Sangat Menggila dari Nintendo Switch

Banyak dari Anda tahu Switch keluar pada Maret 2017 dan fitur-fitur barunya. Bagi yang belum tahu, kami sudah menyiapkan daftar fitur yang membuat 'Switch' menjadi 'gadget yang wajib dimiliki'.

Janji Teknologi Yang Masih Belum Ditepati

Janji Teknologi Yang Masih Belum Ditepati

Apakah Anda menunggu raksasa teknologi untuk memenuhi janji mereka? periksa apa yang belum terkirim.

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Baca ini untuk mengetahui bagaimana Kecerdasan Buatan menjadi populer di antara perusahaan skala kecil dan bagaimana hal itu meningkatkan kemungkinan untuk membuat mereka tumbuh dan memberi keunggulan pada pesaing mereka.

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Saat Sains Berkembang dengan kecepatan tinggi, mengambil alih banyak upaya kita, risiko menundukkan diri kita pada Singularitas yang tidak dapat dijelaskan juga meningkat. Baca, apa arti singularitas bagi kita.

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA telah berkembang cukup sulit bagi pengguna untuk dipecahkan dalam beberapa tahun terakhir. Apakah itu akan tetap efektif dalam deteksi spam dan bot di masa mendatang?

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Apa itu telemedicine, perawatan kesehatan jarak jauh dan dampaknya terhadap generasi mendatang? Apakah itu tempat yang bagus atau tidak dalam situasi pandemi? Baca blog untuk menemukan tampilan!

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Anda mungkin pernah mendengar bahwa peretas menghasilkan banyak uang, tetapi pernahkah Anda bertanya-tanya bagaimana cara mereka mendapatkan uang sebanyak itu? mari berdiskusi.