CentOS 7에서 IPSec VPN에 StrongSwan 사용

• strongSwan 설치
• 인증서 생성
• strongSwan 구성
• IPv4 전달 허용
• 방화벽 구성
• VPN 시작

StrongSwan은 오픈 소스 IPsec 기반 VPN 솔루션입니다. Linux 커널의 기본 NETKEY IPsec 스택과 함께 IKEv1 및 IKEv2 키 교환 프로토콜을 모두 지원합니다. 이 튜토리얼에서는 strongSwan을 사용하여 CentOS 7에서 IPSec VPN 서버를 설정하는 방법을 보여줍니다.

strongSwan 설치

strongSwan 패키지는 EPEL (Extra Packages for Enterprise Linux) 저장소에서 사용 가능합니다. 먼저 EPEL을 활성화 한 다음 strongSwan을 설치해야합니다.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

인증서 생성

VPN 클라이언트와 서버 모두 자신을 식별하고 인증하기위한 인증서가 필요합니다. 인증서를 생성하고 서명하기 위해 두 개의 쉘 스크립트를 준비했습니다. 먼저이 두 스크립트를 폴더에 다운로드합니다 /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

이 두 .sh파일에서 조직 이름을로 설정했습니다 VULTR-VPS-CENTOS. 당신이 그것을 변경하려면 열 .sh파일과 교체 O=VULTR-VPS-CENTOS와 함께 O=YOUR_ORGANIZATION_NAME.

그런 다음 server_key.sh서버의 IP 주소와 함께 사용 하여 서버의 인증 기관 (CA) 키와 인증서를 생성하십시오. SERVER_IPVultr VPS의 IP 주소로 교체하십시오 .

./server_key.sh SERVER_IP

클라이언트 키, 인증서 및 P12 파일을 생성하십시오. 여기에서는 VPN 사용자 "john"에 대한 인증서 및 P12 파일을 작성합니다.

./client_key.sh john john@gmail.com

스크립트를 실행하기 전에 "john"과 그의 이메일을 사용자 이메일로 바꾸십시오.

생성 된 클라이언트와 서버에 대한 인증서 후, 복사 /etc/strongswan/ipsec.d/john.p12및 /etc/strongswan/ipsec.d/cacerts/strongswanCert.pem로컬 컴퓨터입니다.

strongSwan 구성

strongSwan IPSec 구성 파일을여십시오.

vi /etc/strongswan/ipsec.conf

내용을 다음 텍스트로 바꾸십시오.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

strongSwan 구성 파일을 편집하십시오 strongswan.conf.

vi /etc/strongswan/strongswan.conf

모든 것을 삭제하고 다음으로 교체하십시오.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

IPsec 비밀 파일을 편집하여 사용자 및 비밀번호를 추가하십시오.

vi /etc/strongswan/ipsec.secrets

사용자 계정 "john"을 추가하십시오.

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

콜론 ':'의 양쪽에는 공백이 필요합니다.

IPv4 전달 허용

/etc/sysctl.confLinux 커널에서 전달을 허용하도록 편집하십시오 .

vi /etc/sysctl.conf

파일에 다음 줄을 추가하십시오.

net.ipv4.ip_forward=1

파일을 저장 한 다음 변경 사항을 적용하십시오.

sysctl -p

방화벽 구성

서버에서 VPN의 방화벽을 엽니 다.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

VPN 시작

systemctl start strongswan
systemctl enable strongswan

이제 StrongSwan이 서버에서 실행 중입니다. strongswanCert.pem및 .p12인증서 파일을 클라이언트에 설치하십시오 . 이제 개인 네트워크에 가입 할 수 있습니다.