VPN vám umožňuje bezpečný a bezpečný přístup k internetu v nedůvěryhodné veřejné síti Wi-Fi. Pomocí šifrovaného připojení se můžete připojit ke vzdáleným serverům VPN a procházet web anonymně.
strongSwan je bezplatná, open source a nejrozšířenější implementace virtuální privátní sítě na bázi IPsec, která vám umožňuje vytvořit šifrovaný bezpečný tunel mezi dvěma nebo více vzdálenými sítěmi.
strongSwan používá protokol IKEv2, který umožňuje přímé tunelování IPSec mezi serverem a klientem. strongSwan je zkratka pro Strong Secure WAN a podporuje obě verze automatické výměny klíčů v IPsec VPN, IKE V1 a V2.
V tomto tutoriálu vám ukážeme, jak nainstalovat a nakonfigurovat strongSwan VPN na Ubuntu 18.04.
Předpoklady
- Nové Ubuntu 18.04 VPS na cloudové platformě Atlantic.Net.
- Heslo uživatele root nakonfigurované na vašem serveru.
Krok 1 – Vytvoření cloudového serveru Atlantic.Net
Nejprve se přihlaste ke svému cloudovému serveru Atlantic.Net. Vytvořte nový server a jako operační systém vyberte Ubuntu 18.04 s alespoň 1 GB RAM. Připojte se ke svému cloudovému serveru přes SSH a přihlaste se pomocí přihlašovacích údajů zvýrazněných v horní části stránky.
Jakmile se přihlásíte ke svému serveru Ubuntu 18.04, spusťte následující příkaz a aktualizujte svůj základní systém nejnovějšími dostupnými balíčky.
apt-get update -y
Krok 2 – Povolte předávání paketů jádra
Nejprve budete muset nakonfigurovat jádro tak, aby umožňovalo předávání paketů pro IPv4. Můžete jej nakonfigurovat úpravou souboru /etc/sysctl.conf:
nano /etc/sysctl.conf
Na konec souboru přidejte následující řádky:
net.ipv4.ip_forward =1net.ipv6.conf.all.forwarding =1net.ipv4.conf.all.accept_redirects =0net.ipv4.conf.all.send_redirects =0
Uložte a zavřete soubor. Poté spusťte následující příkaz a znovu načtěte nastavení:
sysctl -p
Krok 3 – Instalace strongSwan
Nejprve budete muset do svého systému nainstalovat démona strongSwan IPSec. Můžete jej nainstalovat jednoduše spuštěním následujícího příkazu:
apt-get install strongswan libcharon-extra-plugins strongswan-pki -y
Po dokončení instalace můžete přejít k dalšímu kroku.
Krok 4 – Nastavení certifikační autority
Nyní budete muset vygenerovat certifikát serveru VPN a klíč pro klienta VPN, abyste ověřili pravost serveru VPN.
Nejprve vygenerujte soukromý klíč pro vlastní podepisování certifikátu CA pomocí nástroje PKI:
ipsec pki --gen --size 4096 --type rsa --outform pem> ca.key.pem
Dále vytvořte svou kořenovou certifikační autoritu a pomocí výše uvedeného klíče podepište kořenový certifikát:
ipsec pki --self --in ca.key.pem --type rsa --dn "CN=VPN Server CA" --ca --lifetime 3650 --outform pem> ca.cert.pem
Dále budete muset vytvořit certifikát a klíč pro server VPN, aby klient mohl ověřit pravost serveru pomocí certifikátu CA, který jsme právě vygenerovali.
Nejprve vytvořte soukromý klíč pro server VPN pomocí následujícího příkazu:
ipsec pki --gen --size 4096 --type rsa --outform pem> server.key.pem
Dále vygenerujte certifikát serveru spuštěním následujícího příkazu:
ipsec pki --pub --in server.key.pem --type rsa | ipsec pki --issue --lifetime 2750 --cacert ca.cert.pem --cakey ca.key.pem --dn "CN=vpn.example.com" --san="vpn.example.com" -- flag serverAuth --flag ikeIntermediate --outform pem> server.cert.pem
Dále budete muset zkopírovat výše uvedený certifikát do příslušných adresářů certifikátů IPSec, jak je uvedeno níže:
mv ca.cert.pem /etc/ipsec.d/cacerts/mv server.cert.pem /etc/ipsec.d/certs/mv ca.key.pem /etc/ipsec.d/private/mv server .key.pem /etc/ipsec.d/private/
V tuto chvíli máte všechny certifikáty připraveny a nyní můžete přejít k dalšímu kroku.
Krok 5 – Konfigurace strongSwan
strongSwan má výchozí konfigurační soubor umístěný na /etc/ipsec.conf. Doporučuje se přejmenovat výchozí konfigurační soubor a vytvořit nový soubor.
Chcete-li přejmenovat výchozí konfigurační soubor, spusťte následující příkaz:
mv /etc/ipsec.conf /etc/ipsec.conf.bak
Dále vytvořte nový konfigurační soubor, jak je ukázáno níže:
nano /etc/ipsec.conf
Přidejte následující řádky:
nastavení konfigurace charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" strictcrlpolicy=no uniqueids=yes n ad nc ev =tunel # definuje typ připojení, tunel. keyexchange=ikev2 fragmentation=yes forceencaps=yes dpdaction=clear dpddelay=300s rekey=no vlevo=%any definujte pří[email protected] cer.p. em server pokud používáte IP adresu serveru. cert in /etc/ipsec.d/certs leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 přiřazeno 80 pravému zdroji IP=19.8. klienti rightsendcert=never eap_identity=%identity # definuje identitu, kterou klient používá k odpovědi na požadavek EAP Identity.
Po dokončení uložte a zavřete soubor.
Kde:
nastavení konfigurace: Určuje obecné konfigurační informace pro IPSec, které platí pro všechna připojení.
charondebug : Definuje, kolik výstupu ladění Charonu má být protokolováno.
leftid : Určuje název domény nebo IP adresu serveru.
leftcert : Určuje název certifikátu serveru.
leftsubnet : Určuje soukromou podsíť za levým účastníkem.
rightsourceip : Fond adres IP, který bude přiřazen klientům.
rightdns : DNS, které mají být přiřazeny klientům.
Krok 6 – Konfigurace ověřování
V tomto okamžiku je váš server VPN nakonfigurován tak, aby přijímal připojení klientů. Dále budete muset nakonfigurovat autentizační pověření klient-server pro definování soukromých klíčů RSA pro ověřování a nastavit pověření uživatele EAP.
nano /etc/ipsec.secrets
Přidejte následující řádky:
:RSA "server.key.pem".vpnsecure :EAP "vaše-zabezpečené-heslo"
Uložte a zavřete soubor. Poté restartujte službu strongSwan a povolte její spuštění při restartu:
restart systemctl strongswansystemctl povolit strongswan
Stav služby strongSwan můžete také ověřit pomocí následujícího příkazu:
stav systemctl strongswan
Měli byste vidět následující výstup:
• strongswan.service – démon strongSwan IPsec IKEv1/IKEv2 pomocí ipsec.conf Načteno:načteno (/lib/systemd/system/strongswan.service; povoleno; přednastaveno dodavatelem:povoleno) Aktivní:aktivní (běžící) od pá 2020- 05-08 08:02:08 UTC; Před 8 s Hlavní PID:29947 (startér) Úkoly:18 (limit:2359) CGroup:/system.slice/strongswan.service ├─29947 /usr/lib/ipsec/starter --k 9 └9 3 charon -usr /lib/ipsec/charon --debug-ike 2 --debug-knl 2 --debug-cfg 2 --debug-net 2 --debug-esp 2 --debug-dmn 2 --debug-mgr 2. května 08 08 :02:08 ubuntu1804 charon[29973]:05[CFG] eap_identity=%identityMay 08 08:02:08 ubuntu1804 charon[29973]:05[CFG] 0 dpddelay 305:ron] 05:087050508709 080890May [CFG] dpdtimeout=150May 08 08:02:08 ubuntu1804 charon[29973]:05[CFG] dpdaction=1May 08 08:02:08 ubuntu1804 charon:05 8CF sharon[295973=shano 08] ubuntu1804 charon[29973]:05[CFG] mediace=noMay 08 08:02:08 ubuntu1804 charon[29973]:05[CFG] přidání výměny klíčů=ikev2May 08 08:02:80 ubuntu[charon7CF] virtual[ubuntu1804" Fond adres IP 192.168.0.0/24. května 08 08:02:08 ubuntu1804 charon[29973]:05[CFG] načten certifikát „CN=vpn.example.com“ ze serveru 'server.cert.pem'May 08 088:02 ubunt u1804 charon[29973]:05[CFG] přidal konfiguraci 'ipsec-ikev2-vpn'
Certifikáty strongSwan můžete také ověřit pomocí následujícího příkazu:
IPsec listcerts
Měli byste získat následující výstup:
Seznam certifikátů koncových entit X.509 Předmět: "CN=vpn.example.com" vydavatel: Platnost "CN=VPN Server CA": ne dříve než 8. května 07:59:18 2020, ok ne po 18. listopadu 07 :59:18 2027, ok (vyprší za 2749 dní) seriál: 7b:f8:ab:dc:ca:64:dd:93 altNames: příznaky vpn.example.com: serverAuth ikeIntermediate authkeyId:12:06 :15:80:91:61:d6:e9:8f:72:a3:a5:a5:ff:a7:38:1a:32 subjkeyId:bf:1d:b1:1b:51:a0:f7:63:33:e2:5f:4c:cb:73:4f:64:0f:b9:84:09 pubkey: ID klíče RSA 4096 bitů: e4:72:d0:97:20:ec:a5:79:f2:e0:bf:aa:0e:41:a8:ec:67:06:de:ee subjkey: bf:1d:b1:1b:51:a0:f7:63:33:e2:5f:4c:cb:73:4f :64:0f:b9:84:09
V tomto okamžiku je váš server strongSwan VPN nainstalován a nakonfigurován. Nyní můžete pokračovat v instalaci a konfiguraci klienta VPN pro připojení k serveru VPN.
Krok 7 – Instalace a konfigurace klienta strongSwan
Přihlaste se do klientského systému a spusťte následující příkaz k instalaci klientských balíčků strongSwan:
apt-get install strongswan libcharon-extra-plugins -y
Po instalaci deaktivujte službu strongSwan, aby se spustila při startu:
systemctl zakázat strongswan
Dále zkopírujte soubor ca.cert.pem ze serveru VPN do klienta VPN pomocí následujícího příkazu:
scp [email protected]:/etc/ipsec.d/cacerts/ca.cert.pem /etc/ipsec.d/cacerts/
Dále nakonfigurujte ověřování klienta VPN úpravou souboru /etc/ipsec.secrets:
nano /etc/ipsec.secrets
Přidejte následující řádek:
vpnsecure :EAP "vaše-zabezpečené-heslo"
Uložte a zavřete soubor. Poté upravte výchozí konfigurační soubor strongSwan:
nano /etc/ipsec.conf
Přidejte následující řádky:
conn ipsec-ikev2-vpn-client auto=start right=vpn.example.com rightid=vpn.example.com rightsubnet=0.0.0.0/0 rightauth=pubkey leftsourceip=%configeppns- leftchapv =thapv 2 eap_identity=%identity
Uložte a zavřete soubor. Poté restartujte službu strongSwan pomocí následujícího příkazu:
systemctl restart strongswan
Na serveru strongSwan zkontrolujte stav připojení VPN pomocí následujícího příkazu:
stav ipsec
Měli byste vidět, že IP 192.168.0.5 je přiřazeno klientovi VPN:
Přidružení zabezpečení (1 nahoru, 0 připojení):ipsec-ikev2-vpn-client[1]:Zřízeno před 1 minutou, [vpnsecure]...192.168.0.1[vpn.example.com]ipsec-ikev2-vpn -klient{1}: NAINSTALOVÁNO, TUNNEL, reqid 1, ESP v UDP SPI:74ab87d0db9ea3d5_i 684cb0dbe4d1a70d_ripsec-ikev2-vpn-client{1}: 192.05/000 =192.05/00.0. Závěr
Gratulujeme! Úspěšně jste nainstalovali a nakonfigurovali server a klienta strongSwan VPN na Ubuntu 18.04. Nyní bezpečně procházíte internet a chráníte svou identitu, polohu a provoz před slídiči a cenzory – začněte na svém serveru Ubuntu hostovaném VPS od Atlantic.Net ještě dnes!
Zjistěte více o našich hostingových službách VPS a virtuálních privátních serverech.
Linux