Home » » Sử dụng StrongSwan cho IPSec VPN trên CentOS 7

Sử dụng StrongSwan cho IPSec VPN trên CentOS 7

StrongSwan là một Giải pháp VPN dựa trên IP nguồn mở. Nó hỗ trợ cả giao thức trao đổi khóa IKEv1 và IKEv2 kết hợp với ngăn xếp NETKEY IPsec của hạt nhân Linux. Hướng dẫn này sẽ chỉ cho bạn cách sử dụng strongSwan để thiết lập máy chủ IPSec VPN trên CentOS 7.

Cài đặt mạnh mẽ

Các gói strongSwan có sẵn trong kho Gói bổ sung dành cho Enterprise Linux (EPEL). Chúng ta nên kích hoạt EPEL trước, sau đó cài đặt strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Tạo chứng chỉ

Cả máy khách và máy chủ VPN đều cần chứng chỉ để xác định và tự xác thực. Tôi đã chuẩn bị hai kịch bản shell để tạo và ký các chứng chỉ. Đầu tiên, chúng tôi tải hai tập lệnh này vào thư mục /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

Trong hai .shtệp này, tôi đã đặt tên tổ chức là VULTR-VPS-CENTOS. Nếu bạn muốn thay đổi nó, hãy mở các .shtập tin và thay thế O=VULTR-VPS-CENTOSbằng O=YOUR_ORGANIZATION_NAME.

Tiếp theo, sử dụng server_key.shvới địa chỉ IP của máy chủ của bạn để tạo khóa cấp chứng chỉ (CA) và chứng chỉ cho máy chủ. Thay thế SERVER_IPbằng địa chỉ IP của VPS Vultr của bạn.

./server_key.sh SERVER_IP

Tạo khóa máy khách, chứng chỉ và tệp P12. Ở đây, tôi sẽ tạo chứng chỉ và tệp P12 cho người dùng VPN "john".

./client_key.sh john [email protected]

Thay thế "john" và email của anh ấy bằng email của bạn trước khi chạy tập lệnh.

Sau khi chứng chỉ cho máy khách và máy chủ được tạo, sao chép /etc/strongswan/ipsec.d/john.p12/etc/strongswan/ipsec.d/cacerts/strongswanCert.pemvào máy tính cục bộ của bạn.

Cấu hình strongSwan

Mở tệp cấu hình StrongSwan IPSec.

vi /etc/strongswan/ipsec.conf

Thay thế nội dung của nó bằng văn bản sau.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Chỉnh sửa tập tin cấu hình strongSwan , strongswan.conf.

vi /etc/strongswan/strongswan.conf

Xóa mọi thứ và thay thế nó bằng cách sau.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Chỉnh sửa tệp bí mật IPsec để thêm người dùng và mật khẩu.

vi /etc/strongswan/ipsec.secrets

Thêm tài khoản người dùng "john" vào đó.

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Xin lưu ý rằng cả hai mặt của dấu hai chấm ':' cần một khoảng trắng.

Cho phép chuyển tiếp IPv4

Chỉnh sửa /etc/sysctl.confđể cho phép chuyển tiếp trong nhân Linux.

vi /etc/sysctl.conf

Thêm dòng sau vào tập tin.

net.ipv4.ip_forward=1

Lưu tệp, sau đó áp dụng thay đổi.

sysctl -p

Cấu hình tường lửa

Mở tường lửa cho VPN của bạn trên máy chủ.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Bắt đầu VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan hiện đang chạy trên máy chủ của bạn. Cài đặt các tập tin strongswanCert.pem.p12chứng chỉ vào máy khách của bạn. Bây giờ bạn sẽ có thể tham gia mạng riêng của bạn.


Tags: #CentOS #Linux Guides #Networking

Leave a Comment

Cách cài đặt SuiteCRM trên Ubuntu 16.04

Cách cài đặt SuiteCRM trên Ubuntu 16.04

Hướng dẫn cài đặt SuiteCRM, một giải pháp CRM mã nguồn mở, trên Ubuntu 16.04 với các bước chi tiết và dễ hiểu.

ReactOS: Đây có phải là tương lai của Windows?

ReactOS: Đây có phải là tương lai của Windows?

ReactOS, một hệ điều hành mã nguồn mở và miễn phí đã có phiên bản mới nhất. Liệu nó có thể đáp ứng đủ nhu cầu của người dùng Windows hiện đại và hạ gục Microsoft? Hãy cùng tìm hiểu thêm về trải nghiệm hệ điều hành kiểu cũ nhưng mới hơn này.

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Các cuộc tấn công ransomware đang gia tăng, nhưng liệu AI có thể giúp đối phó với loại virus máy tính mới nhất? AI có phải là câu trả lời? Đọc ở đây biết là AI boone hay cấm

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Whatsapp cuối cùng đã ra mắt ứng dụng Máy tính để bàn cho người dùng Mac và Windows. Giờ đây, bạn có thể truy cập Whatsapp từ Windows hoặc Mac một cách dễ dàng. Có sẵn cho Windows 8+ và Mac OS 10.9+

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Hãy đọc phần này để biết Trí tuệ nhân tạo đang trở nên phổ biến như thế nào đối với các công ty quy mô nhỏ và làm thế nào nó đang tăng khả năng khiến họ phát triển và giúp đối thủ cạnh tranh của họ có thể cạnh tranh.

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Gần đây Apple đã phát hành macOS Catalina 10.15.4 một bản cập nhật bổ sung để khắc phục các sự cố nhưng có vẻ như bản cập nhật đang gây ra nhiều vấn đề hơn dẫn đến việc máy mac bị chai. Đọc bài viết này để tìm hiểu thêm

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Máy tính của chúng tôi lưu trữ tất cả dữ liệu một cách có tổ chức được gọi là hệ thống tệp Ghi nhật ký. Đây là một phương pháp hiệu quả cho phép máy tính tìm kiếm và hiển thị các tệp ngay khi bạn nhấn tìm kiếm. Https://wethegeek.com/? P = 94116 & preview = true

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Khi Khoa học phát triển với tốc độ nhanh chóng, chiếm rất nhiều nỗ lực của chúng ta, những rủi ro của việc phục tùng bản thân trước một Điểm kỳ dị không thể giải thích cũng tăng lên. Hãy đọc, điểm kỳ dị có thể có ý nghĩa gì đối với chúng ta.

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1