Home » » Sử dụng StrongSwan cho IPSec VPN trên CentOS 7

Sử dụng StrongSwan cho IPSec VPN trên CentOS 7

Sử dụng StrongSwan cho IPSec VPN trên CentOS 7

StrongSwan là một Giải pháp VPN dựa trên IP nguồn mở. Nó hỗ trợ cả giao thức trao đổi khóa IKEv1 và IKEv2 kết hợp với ngăn xếp NETKEY IPsec của hạt nhân Linux. Hướng dẫn này sẽ chỉ cho bạn cách sử dụng strongSwan để thiết lập máy chủ IPSec VPN trên CentOS 7.

Cài đặt mạnh mẽ

Các gói strongSwan có sẵn trong kho Gói bổ sung dành cho Enterprise Linux (EPEL). Chúng ta nên kích hoạt EPEL trước, sau đó cài đặt strongSwan.

yum install http://ftp.nluug.nl/pub/os/Linux/distr/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
yum install strongswan openssl

Tạo chứng chỉ

Cả máy khách và máy chủ VPN đều cần chứng chỉ để xác định và tự xác thực. Tôi đã chuẩn bị hai kịch bản shell để tạo và ký các chứng chỉ. Đầu tiên, chúng tôi tải hai tập lệnh này vào thư mục /etc/strongswan/ipsec.d.

cd /etc/strongswan/ipsec.d
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/server_key.sh
chmod a+x server_key.sh
wget https://raw.githubusercontent.com/michael-loo/strongswan_config/for_vultr/client_key.sh
chmod a+x client_key.sh

Trong hai .shtệp này, tôi đã đặt tên tổ chức là VULTR-VPS-CENTOS. Nếu bạn muốn thay đổi nó, hãy mở các .shtập tin và thay thế O=VULTR-VPS-CENTOSbằng O=YOUR_ORGANIZATION_NAME.

Tiếp theo, sử dụng server_key.shvới địa chỉ IP của máy chủ của bạn để tạo khóa cấp chứng chỉ (CA) và chứng chỉ cho máy chủ. Thay thế SERVER_IPbằng địa chỉ IP của VPS Vultr của bạn.

./server_key.sh SERVER_IP

Tạo khóa máy khách, chứng chỉ và tệp P12. Ở đây, tôi sẽ tạo chứng chỉ và tệp P12 cho người dùng VPN "john".

./client_key.sh john [email protected]

Thay thế "john" và email của anh ấy bằng email của bạn trước khi chạy tập lệnh.

Sau khi chứng chỉ cho máy khách và máy chủ được tạo, sao chép /etc/strongswan/ipsec.d/john.p12/etc/strongswan/ipsec.d/cacerts/strongswanCert.pemvào máy tính cục bộ của bạn.

Cấu hình strongSwan

Mở tệp cấu hình StrongSwan IPSec.

vi /etc/strongswan/ipsec.conf

Thay thế nội dung của nó bằng văn bản sau.

config setup
    uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 0"

conn %default
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=172.16.1.100/16

conn CiscoIPSec
    keyexchange=ikev1
    fragmentation=yes
    rightauth=pubkey
    rightauth2=xauth
    leftsendcert=always
    rekey=no
    auto=add

conn XauthPsk
    keyexchange=ikev1
    leftauth=psk
    rightauth=psk
    rightauth2=xauth
    auto=add

conn IpsecIKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add

conn IpsecIKEv2-EAP
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    rekey=no
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add

Chỉnh sửa tập tin cấu hình strongSwan , strongswan.conf.

vi /etc/strongswan/strongswan.conf

Xóa mọi thứ và thay thế nó bằng cách sau.

charon {
    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    nbns1 = 8.8.8.8
    nbns2 = 8.8.4.4
}

include strongswan.d/*.conf

Chỉnh sửa tệp bí mật IPsec để thêm người dùng và mật khẩu.

vi /etc/strongswan/ipsec.secrets

Thêm tài khoản người dùng "john" vào đó.

: RSA vpnHostKey.pem
: PSK "PSK_KEY"
john %any : EAP "John's Password"
john %any : XAUTH "John's Password"

Xin lưu ý rằng cả hai mặt của dấu hai chấm ':' cần một khoảng trắng.

Cho phép chuyển tiếp IPv4

Chỉnh sửa /etc/sysctl.confđể cho phép chuyển tiếp trong nhân Linux.

vi /etc/sysctl.conf

Thêm dòng sau vào tập tin.

net.ipv4.ip_forward=1

Lưu tệp, sau đó áp dụng thay đổi.

sysctl -p

Cấu hình tường lửa

Mở tường lửa cho VPN của bạn trên máy chủ.

firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

Bắt đầu VPN

systemctl start strongswan
systemctl enable strongswan

StrongSwan hiện đang chạy trên máy chủ của bạn. Cài đặt các tập tin strongswanCert.pem.p12chứng chỉ vào máy khách của bạn. Bây giờ bạn sẽ có thể tham gia mạng riêng của bạn.

Tags: #CentOS #Linux Guides #Networking

Thêm hình mờ nền vào tài liệu Word của bạn

Thêm hình mờ nền vào tài liệu Word của bạn

Microsoft Word cho phép bạn thêm hình mờ vào tài liệu của mình. Hình mờ là những hình ảnh hoặc văn bản nhẹ phía sau văn bản thông thường trong tài liệu của bạn.

Tạo danh sách phân phối Outlook \ Nhóm

Tạo danh sách phân phối Outlook \ Nhóm

Outlook và nhiều ứng dụng e-mail khác có một tính năng cho phép bạn gửi e-mail đến nhiều người nhận cùng một lúc bằng cách sử dụng danh sách phân phối. Bằng cách này khi bạn gửi e-mail, bạn chỉ cần đặt tên danh sách phân phối vào hộp Tới:

5 Xu hướng thiết kế web bổ sung cho nhau

5 Xu hướng thiết kế web bổ sung cho nhau

Luôn có những thứ bổ sung cho nhau. Cho dù đó là ghép nối các loại thực phẩm, kinh nghiệm hay thậm chí là các mối quan hệ cá nhân; một số thứ chỉ hoạt động tốt hơn khi có thứ gì đó khác hỗ trợ nó. Thiết kế web không có gì khác biệt. Có một số kỹ thuật nhất định dựa vào thứ gì đó khác để nó có hiệu quả hoặc thậm chí hoạt động bình thường.

Đã xảy ra sự cố khi gửi lệnh đến lỗi chương trình trong Excel

Đã xảy ra sự cố khi gửi lệnh đến lỗi chương trình trong Excel

Nếu bạn sử dụng Excel 2007 hoặc 2010, bạn có thể gặp lỗi khi mở Excel hoặc nhấp đúp vào tệp Excel có thông báo Đã xảy ra sự cố khi Gửi lệnh tới Chương trình. Điều này có thể được gây ra bởi một vài điều khác nhau.

Favicons là gì và cách sử dụng chúng

Favicons là gì và cách sử dụng chúng

Biểu tượng yêu thích là một hình ảnh nhỏ riêng lẻ của một trang web được hiển thị bên cạnh thanh địa chỉ. Tùy thuộc vào trình duyệt, nó cũng xuất hiện trong dấu trang / dấu trang trong thanh công cụ dấu trang và thanh bảng hoặc dưới dạng lối tắt trên màn hình.

Thay đổi chủ đề Microsoft Outlook của bạn

Thay đổi chủ đề Microsoft Outlook của bạn

Nếu bạn là người dùng Outlook thì bạn có thể tạo phong cách hoặc chủ đề của riêng mình cho các thư email gửi đi của mình chỉ với một vài cú nhấp chuột.

Sử dụng Windows Photo Viewer trong Windows 10

Sử dụng Windows Photo Viewer trong Windows 10

Nếu bạn thích sử dụng Windows Photo Viewer trong Windows 7 nhưng nhận thấy rằng bạn không thể sử dụng nó trong Windows 10 thì đây là cách bạn lấy lại.

Trình giả lập tốt nhất để chơi trò chơi Nintendo DS trên máy tính của bạn

Trình giả lập tốt nhất để chơi trò chơi Nintendo DS trên máy tính của bạn

Ngày nay, hình thức chơi game phổ biến nhất liên quan đến các trò chơi cũ, cổ điển là sử dụng trình giả lập. Hôm nay chúng tôi sẽ giới thiệu cho bạn một số trình giả lập tốt nhất cho Nintendo DS chạy trên mọi máy tính. Sau đó, tất cả những gì bạn phải làm là tải xuống trình giả lập NDS và các trò chơi và bạn đã sẵn sàng chơi.

Thay đổi Phông chữ Mặc định cho Tài liệu Word Mới

Thay đổi Phông chữ Mặc định cho Tài liệu Word Mới

Nếu bạn có một phông chữ nhất định mà bạn muốn sử dụng cho tất cả các tài liệu Word của mình, có một cách để làm cho Word sử dụng phông chữ đó theo mặc định mỗi khi bạn bắt đầu một tài liệu mới. Làm theo các bước đơn giản.

3 cách để tắt tính năng nén tệp tự động trong Windows

3 cách để tắt tính năng nén tệp tự động trong Windows

Bây giờ chúng ta sẽ đi vào cách ngăn Windows tự động nén tệp của bạn, do đó bạn không cần phải lo lắng về điều này xảy ra nữa.