StrongSwan is een open source IPsec-gebaseerde VPN-oplossing. Het ondersteunt zowel de IKEv1- als IKEv2-sleuteluitwisselingsprotocollen in combinatie met de native NETKEY IPsec-stack van de Linux-kernel. Deze tutorial laat je zien hoe je strongSwan gebruikt om een IPSec VPN-server op CentOS 7 op te zetten.
De strongSwan-pakketten zijn beschikbaar in de Extra Packages for Enterprise Linux (EPEL) -repository. We moeten eerst EPEL inschakelen en vervolgens strongSwan installeren.
yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl
Zowel de VPN-client als de server hebben een certificaat nodig om zichzelf te identificeren en te verifiëren. Ik heb twee shell-scripts voorbereid om de certificaten te genereren en te ondertekenen. Eerst downloaden we deze twee scripts in de map /etc/strongswan/ipsec.d.
cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh
In deze twee .shbestanden heb ik de organisatienaam ingesteld als VULTR-VPS-CENTOS. Als je het wilt wijzigen, open je de .shbestanden en vervang je ze O=VULTR-VPS-CENTOSdoor O=YOUR_ORGANIZATION_NAME.
Gebruik vervolgens server_key.shmet het IP-adres van uw server om de CA-sleutel (Certificate Authority) en het certificaat voor de server te genereren. Vervang SERVER_IPdoor het IP-adres van uw Vultr VPS.
./server_key.sh SERVER_IP
Genereer de clientsleutel, het certificaat en het P12-bestand. Hier zal ik het certificaat en het P12-bestand maken voor de VPN-gebruiker "john".
./client_key.sh john john@gmail.com
Vervang "john" en zijn e-mail door die van jou voordat je het script uitvoert.
Na de certificaten voor de client en de server worden gegenereerd, kopiëren /etc/strongswan/ipsec.d/john.p12en /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemnaar uw lokale computer.
Open het strongSwan IPSec-configuratiebestand.
vi /etc/strongswan/ipsec.conf
Vervang de inhoud door de volgende tekst.
config setup
uniqueids=never
charondebug="cfg 2, dmn 2, ike 2, net 0"
conn %default
left=%defaultroute
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.pem
right=%any
rightsourceip=172.16.1.100/16
conn CiscoIPSec
keyexchange=ikev1
fragmentation=yes
rightauth=pubkey
rightauth2=xauth
leftsendcert=always
rekey=no
auto=add
conn XauthPsk
keyexchange=ikev1
leftauth=psk
rightauth=psk
rightauth2=xauth
auto=add
conn IpsecIKEv2
keyexchange=ikev2
leftauth=pubkey
rightauth=pubkey
leftsendcert=always
auto=add
conn IpsecIKEv2-EAP
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
leftauth=pubkey
leftsendcert=always
rightauth=eap-mschapv2
eap_identity=%any
auto=add
Bewerk het strongSwan configuratiebestand strongswan.conf.
vi /etc/strongswan/strongswan.conf
Verwijder alles en vervang het door het volgende.
charon {
load_modular = yes
duplicheck.enable = no
compress = yes
plugins {
include strongswan.d/charon/*.conf
}
dns1 = 8.8.8.8
dns2 = 8.8.4.4
nbns1 = 8.8.8.8
nbns2 = 8.8.4.4
}
include strongswan.d/*.conf
Bewerk het IPsec geheime bestand om een gebruiker en wachtwoord toe te voegen.
vi /etc/strongswan/ipsec.secrets
Voeg er een gebruikersaccount "john" aan toe.
: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"
Houd er rekening mee dat beide zijden van de dubbele punt ':' een witruimte nodig hebben.
Bewerken /etc/sysctl.confom doorsturen in de Linux-kernel toe te staan.
vi /etc/sysctl.conf
Voeg de volgende regel toe aan het bestand.
net.ipv4.ip_forward=1
Sla het bestand op en pas de wijziging toe.
sysctl -p
Open de firewall voor je VPN op de server.
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
systemctl start strongswan
systemctl enable strongswan
StrongSwan draait nu op uw server. Installeer de strongswanCert.pemen .p12certificaatbestanden in uw client. U kunt nu lid worden van uw privé-netwerk.
Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek
ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.
WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+
Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.
Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie
13 Commerciële data-extractietools voor big data
Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true
Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.
Een inzicht in 26 Big Data-analysetechnieken: deel 1
AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.
