在Arch Linux上使用Makepkg
在Arch Linux上使用Makepkg可以避免系统污染,确保仅安装必要的依赖关系。
在CentOS 7上将StrongSwan用于IPSec VPN
StrongSwan是基于IPsec的开源VPN解决方案。它与Linux内核的本地NETKEY IPsec堆栈一起支持IKEv1和IKEv2密钥交换协议。本教程将向您展示如何使用strongSwan在CentOS 7上设置IPSec VPN服务器。
安装strongSwan
strongSwan软件包可在企业Linux的附加软件包(EPEL)存储库中找到。我们应该先启用EPEL,然后再安装strongSwan。
yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl
生成证书
VPN客户端和服务器都需要证书来标识和认证自己。我准备了两个Shell脚本来生成和签名证书。首先,我们将这两个脚本下载到文件夹中/etc/strongswan/ipsec.d。
cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh
在这两个.sh文件中,我将组织名称设置为VULTR-VPS-CENTOS。如果要更改它,请打开.sh文件并替换O=VULTR-VPS-CENTOS为O=YOUR_ORGANIZATION_NAME。
接下来,使用server_key.sh服务器的IP地址来生成服务器的证书颁发机构(CA)密钥和证书。替换SERVER_IP为Vultr VPS的IP地址。
./server_key.sh SERVER_IP
生成客户端密钥,证书和P12文件。在这里,我将为VPN用户“ john”创建证书和P12文件。
./client_key.sh john john@gmail.com
在运行脚本之前,将“ john”及其电子邮件替换为您的电子邮件。
生成客户端和服务器的证书后,复制/etc/strongswan/ipsec.d/john.p12并复制/etc/strongswan/ipsec.d/cacerts/strongswanCert.pem到本地计算机。
配置strongSwan
打开strongSwan IPSec配置文件。
vi /etc/strongswan/ipsec.conf
将其内容替换为以下文本。
config setup
uniqueids=never
charondebug="cfg 2, dmn 2, ike 2, net 0"
conn %default
left=%defaultroute
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.pem
right=%any
rightsourceip=172.16.1.100/16
conn CiscoIPSec
keyexchange=ikev1
fragmentation=yes
rightauth=pubkey
rightauth2=xauth
leftsendcert=always
rekey=no
auto=add
conn XauthPsk
keyexchange=ikev1
leftauth=psk
rightauth=psk
rightauth2=xauth
auto=add
conn IpsecIKEv2
keyexchange=ikev2
leftauth=pubkey
rightauth=pubkey
leftsendcert=always
auto=add
conn IpsecIKEv2-EAP
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
leftauth=pubkey
leftsendcert=always
rightauth=eap-mschapv2
eap_identity=%any
auto=add
编辑strongSwan配置文件strongswan.conf。
vi /etc/strongswan/strongswan.conf
删除所有内容,然后将其替换为以下内容。
charon {
load_modular = yes
duplicheck.enable = no
compress = yes
plugins {
include strongswan.d/charon/*.conf
}
dns1 = 8.8.8.8
dns2 = 8.8.4.4
nbns1 = 8.8.8.8
nbns2 = 8.8.4.4
}
include strongswan.d/*.conf
编辑IPsec机密文件以添加用户和密码。
vi /etc/strongswan/ipsec.secrets
在其中添加一个用户帐户“ john”。
: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"
请注意,冒号“:”的两面都需要一个空格。
允许IPv4转发
编辑/etc/sysctl.conf以允许在Linux内核中转发。
vi /etc/sysctl.conf
将以下行添加到文件中。
net.ipv4.ip_forward=1
保存文件,然后应用更改。
sysctl -p
配置防火墙
打开服务器上VPN的防火墙。
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
启动VPN
systemctl start strongswan
systemctl enable strongswan
StrongSwan现在正在您的服务器上运行。将strongswanCert.pem和.p12证书文件安装到客户端中。现在,您将可以加入您的专用网络。
如何在Ubuntu 16.04上安装OpenSIPS控制面板
快速学习如何在Ubuntu 16.04上安装OpenSIPS控制面板,为VoIP提供商提供支持的功能。
在Fedora 28上安装Akaunting
学习如何在Fedora 28上安装Akaunting,一款适合小型企业和自由职业者的开源会计软件。
如何在CentOS 7上安装Mailtrain新闻通讯应用程序
使用其他系统?Mailtrain是一个基于Node.js和MySQL / MariaDB构建的开源自托管新闻通讯应用程序。
诊断Minecraft服务器延迟和低TPS
了解導致Minecraft延遲的原因和解決方案,包括優化伺服器性能和減少滯後的步驟。
AI 能否應對越來越多的勒索軟件攻擊?
勒索軟件攻擊呈上升趨勢,但人工智能能否幫助應對最新的計算機病毒?AI 是答案嗎?在這裡閱讀知道是 AI 布恩還是禍根
ReactOS:這是 Windows 的未來嗎?
ReactOS,一個開源和免費的操作系統,這裡有最新版本。它能否滿足現代 Windows 用戶的需求並打倒微軟?讓我們更多地了解這種老式但更新的操作系統體驗。
通過 WhatsApp 桌面應用程序 24*7 保持聯繫
Whatsapp 終於為 Mac 和 Windows 用戶推出了桌面應用程序。現在您可以輕鬆地從 Windows 或 Mac 訪問 Whatsapp。適用於 Windows 8+ 和 Mac OS 10.9+
人工智能如何將流程自動化提升到新的水平?
閱讀本文以了解人工智能如何在小型公司中變得流行,以及它如何增加使它們成長並為競爭對手提供優勢的可能性。
macOS Catalina 10.15.4 補充更新引發的問題多於解決
最近,Apple 發布了 macOS Catalina 10.15.4 補充更新以修復問題,但似乎該更新引起了更多問題,導致 mac 機器變磚。閱讀這篇文章以了解更多信息