O StrongSwan é uma solução VPN baseada em IPsec de código aberto. Ele suporta os protocolos de troca de chaves IKEv1 e IKEv2 em conjunto com a pilha nativa NETKEY IPsec do kernel Linux. Este tutorial mostra como usar o strongSwan para configurar um servidor VPN IPSec no CentOS 7.
Os pacotes strongSwan estão disponíveis no repositório Extra Packages for Enterprise Linux (EPEL). Devemos ativar o EPEL primeiro e depois instalar o strongSwan.
yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl
O cliente e o servidor VPN precisam de um certificado para identificar e autenticar-se. Eu preparei dois scripts de shell para gerar e assinar os certificados. Primeiro, baixamos esses dois scripts na pasta /etc/strongswan/ipsec.d.
cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh
Nestes dois .sharquivos, eu configurei o nome da organização como VULTR-VPS-CENTOS. Se você quiser alterá-lo, abra os .sharquivos e substitua O=VULTR-VPS-CENTOSpor O=YOUR_ORGANIZATION_NAME.
Em seguida, use server_key.shcom o endereço IP do seu servidor para gerar a chave e o certificado da autoridade de certificação (CA) do servidor. Substitua SERVER_IPpelo endereço IP do seu Vultr VPS.
./server_key.sh SERVER_IP
Gere a chave do cliente, o certificado e o arquivo P12. Aqui, criarei o certificado e o arquivo P12 para o usuário da VPN "john".
./client_key.sh john john@gmail.com
Substitua "john" e o email dele pelo seu antes de executar o script.
Após a geração dos certificados para cliente e servidor, copie /etc/strongswan/ipsec.d/john.p12e /etc/strongswan/ipsec.d/cacerts/strongswanCert.pempara o seu computador local.
Abra o arquivo de configuração IPSec do strongSwan.
vi /etc/strongswan/ipsec.conf
Substitua seu conteúdo pelo texto a seguir.
config setup
uniqueids=never
charondebug="cfg 2, dmn 2, ike 2, net 0"
conn %default
left=%defaultroute
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.pem
right=%any
rightsourceip=172.16.1.100/16
conn CiscoIPSec
keyexchange=ikev1
fragmentation=yes
rightauth=pubkey
rightauth2=xauth
leftsendcert=always
rekey=no
auto=add
conn XauthPsk
keyexchange=ikev1
leftauth=psk
rightauth=psk
rightauth2=xauth
auto=add
conn IpsecIKEv2
keyexchange=ikev2
leftauth=pubkey
rightauth=pubkey
leftsendcert=always
auto=add
conn IpsecIKEv2-EAP
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
leftauth=pubkey
leftsendcert=always
rightauth=eap-mschapv2
eap_identity=%any
auto=add
Edite o arquivo de configuração strongSwan strongswan.conf.
vi /etc/strongswan/strongswan.conf
Exclua tudo e substitua-o pelo seguinte.
charon {
load_modular = yes
duplicheck.enable = no
compress = yes
plugins {
include strongswan.d/charon/*.conf
}
dns1 = 8.8.8.8
dns2 = 8.8.4.4
nbns1 = 8.8.8.8
nbns2 = 8.8.4.4
}
include strongswan.d/*.conf
Edite o arquivo secreto IPsec para adicionar um usuário e senha.
vi /etc/strongswan/ipsec.secrets
Adicione uma conta de usuário "john" a ela.
: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"
Observe que os dois lados do cólon ':' precisam de um espaço em branco.
Edite /etc/sysctl.confpara permitir o encaminhamento no kernel do Linux.
vi /etc/sysctl.conf
Adicione a seguinte linha ao arquivo.
net.ipv4.ip_forward=1
Salve o arquivo e aplique a alteração.
sysctl -p
Abra o firewall para sua VPN no servidor.
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
systemctl start strongswan
systemctl enable strongswan
O StrongSwan agora está em execução no seu servidor. Instale os arquivos strongswanCert.peme do .p12certificado em seu cliente. Agora você poderá ingressar na sua rede privada.
Os ataques de ransomware estão aumentando, mas a IA pode ajudar a lidar com os vírus de computador mais recentes? AI é a resposta? Leia aqui para saber se é AI boone ou bane
ReactOS, um sistema operacional de código aberto e gratuito está aqui com a versão mais recente. Será que ela pode atender às necessidades dos usuários modernos do Windows e derrubar a Microsoft? Vamos descobrir mais sobre esse estilo antigo, mas uma experiência de sistema operacional mais recente.
O Whatsapp finalmente lançou o aplicativo Desktop para usuários de Mac e Windows. Agora você pode acessar o Whatsapp do Windows ou Mac facilmente. Disponível para Windows 8+ e Mac OS 10.9+
Leia isto para saber como a Inteligência Artificial está se tornando popular entre as empresas de pequena escala e como está aumentando as probabilidades de fazê-las crescer e dar vantagem a seus concorrentes.
Recentemente, a Apple lançou o macOS Catalina 10.15.4, uma atualização suplementar para corrigir problemas, mas parece que a atualização está causando mais problemas, levando ao bloqueio de máquinas mac. Leia este artigo para saber mais
13 Ferramentas de Extração de Dados Comerciais de Big Data
Nosso computador armazena todos os dados de uma maneira organizada conhecida como sistema de arquivos Journaling. É um método eficiente que permite ao computador pesquisar e exibir arquivos assim que você clicar em search.https: //wethegeek.com/? P = 94116 & preview = true
À medida que a ciência evolui em um ritmo rápido, assumindo muitos de nossos esforços, os riscos de nos sujeitarmos a uma singularidade inexplicável também aumentam. Leia, o que a singularidade pode significar para nós.
Uma visão sobre 26 técnicas analíticas de Big Data: Parte 1
A IA na área da saúde deu grandes saltos nas últimas décadas. Portanto, o futuro da IA na área da saúde ainda está crescendo dia a dia.
