Korzystanie z StrongSwan dla IPSec VPN na CentOS 7

• Zainstaluj strongSwan
• Generuj certyfikaty
• Skonfiguruj strongSwan
• Zezwalaj na przekazywanie IPv4
• Skonfiguruj zaporę
• Uruchom VPN

StrongSwan to otwarte rozwiązanie VPN oparte na protokole IPsec. Obsługuje zarówno protokoły wymiany kluczy IKEv1, jak i IKEv2 w połączeniu z natywnym stosem NETKEY IPsec jądra systemu Linux. Ten samouczek pokaże, jak używać strongSwan do skonfigurowania serwera IPSec VPN na CentOS 7.

Zainstaluj strongSwan

Pakiety strongSwan są dostępne w repozytorium Extra Packages for Enterprise Linux (EPEL). Powinniśmy najpierw włączyć EPEL, a następnie zainstalować strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Generuj certyfikaty

Zarówno klient VPN, jak i serwer potrzebują certyfikatu, aby się zidentyfikować i uwierzytelnić. Przygotowałem dwa skrypty powłoki do generowania i podpisywania certyfikatów. Najpierw pobieramy te dwa skrypty do folderu /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

W tych dwóch .shplikach ustawiłem nazwę organizacji jako VULTR-VPS-CENTOS. Jeśli chcesz to zmienić, otworzyć .shpliki i wymienić O=VULTR-VPS-CENTOSz O=YOUR_ORGANIZATION_NAME.

Następnie użyj server_key.shadresu IP serwera, aby wygenerować klucz urzędu certyfikacji (CA) i certyfikat dla serwera. Zastąp SERVER_IPadres IP swojego Vultr VPS.

./server_key.sh SERVER_IP

Wygeneruj klucz klienta, certyfikat i plik P12. Tutaj utworzę certyfikat i plik P12 dla użytkownika VPN „John”.

./client_key.sh john john@gmail.com

Przed uruchomieniem skryptu zamień „John” i jego e-mail na swój.

Po certyfikatów dla klienta i serwera są generowane, skopiuj /etc/strongswan/ipsec.d/john.p12i /etc/strongswan/ipsec.d/cacerts/strongswanCert.pemna komputerze lokalnym.

Skonfiguruj strongSwan

Otwórz plik konfiguracyjny strongSwan IPSec.

vi /etc/strongswan/ipsec.conf

Zamień jego treść na następujący tekst.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Edytuj plik konfiguracyjny strongSwan, strongswan.conf.

vi /etc/strongswan/strongswan.conf

Usuń wszystko i zamień na następujące.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Edytuj tajny plik IPsec, aby dodać użytkownika i hasło.

vi /etc/strongswan/ipsec.secrets

Dodaj do niego konto użytkownika „John”.

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Należy pamiętać, że obie strony dwukropka „:” potrzebują spacji.

Zezwalaj na przekazywanie IPv4

Edytuj, /etc/sysctl.confaby umożliwić przekazywanie w jądrze Linux.

vi /etc/sysctl.conf

Dodaj następujący wiersz do pliku.

net.ipv4.ip_forward=1

Zapisz plik, a następnie zastosuj zmianę.

sysctl -p

Skonfiguruj zaporę

Otwórz zaporę sieci VPN na serwerze.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Uruchom VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan działa teraz na twoim serwerze. Zainstaluj pliki strongswanCert.pemi .p12certyfikaty na swoim kliencie. Teraz będziesz mógł dołączyć do swojej prywatnej sieci.