Настройка клиента Ubuntu ikev2

Обновлено: 21.11.2024

Следуйте этому руководству, чтобы узнать, как настроить VPN-клиент strongSwan в Ubuntu 18.04/CentOS 8. Наше предыдущее руководство содержало пошаговое руководство по настройке VPN-сервера strongSwan в Debian 10 Buster.

Перейдите по ссылке ниже, чтобы узнать, как установить и настроить VPN-сервер strongSwan на Debian 10 Buster.

После того как вы настроили VPN-сервер strongSwan, вы можете приступить к проверке назначения IP-адреса и локального подключения через VPN-сервер.

В этой демонстрации мы используем Ubuntu 18.04 и CentOS 8 в качестве тестовых VPN-клиентов strongSwan.

Настройка VPN-клиента strongSwan в Ubuntu 18.04/CentOS 8

Установите strongSwan в Ubuntu 18.04

strongSwan и дополнительные плагины можно установить в Ubuntu 18.04, выполнив приведенную ниже команду;

Установите strongSwan на CentOS 8

Пакеты strongSwan предоставляются репозиториями EPEL для CentOS 8 и аналогичных производных. Следовательно, начните с установки репозиториев EPEL;

Установите сертификат CA strongSwan VPN Server на клиенте

  • поместите его в каталог /etc/ipsec.d/cacerts/ в Ubuntu 18.04
  • поместите его в каталог /etc/strongswan/ipsec.d/cacerts в CentOS 8.

Настройка VPN-клиента strongSwan в Ubuntu 18.04/CentOS 8

Обновите файл конфигурации /etc/ipsec.conf, чтобы определить способ подключения к VPN-серверу strongSwan. См. файл конфигурации ниже;

Настройка секретов аутентификации

Сохраните файл конфигурации и перезапустите strongswan.

Отключить запуск strongSwan при загрузке системы;

Проверьте статус;

Обновите файл конфигурации /etc/strongswan/ipsec.conf, чтобы определить способ подключения к VPN-серверу strongSwan.

Затем откройте файл конфигурации /etc/strongswan/ipsec.secrets и настройте данные аутентификации EAP так, как они определены на сервере.

Перезапустите strongswan.

Отключить запуск strongSwan при загрузке системы;

Проверьте состояние VPN-подключения

На VPN-сервере strongSwan проверьте статус;

В этой демонстрации наш VPN-сервер strongSwan работает под управлением Debian 10 Buster. Следовательно, вы можете проверить статус, как показано ниже;

Проверить подключение VPN-клиентов

  • Убунту 18.04: 172.16.7.1
  • CentOS 8: 172.16.7.2

Чтобы проверить соединение, вы можете просто запустить ping-тест.

Начиная с Ubuntu 18.04, пропингуйте CentOS 8;

В CentOS 8 пропингуйте Ubuntu 18.04.

Попробуйте SSH с обеих сторон;

На этом мы заканчиваем наше руководство по настройке VPN-клиента strongSwan в Ubuntu 18.04/CentOS 8.

Виртуальная частная сеть, или VPN, позволяет безопасно шифровать трафик, когда он проходит через ненадежные сети, например, в кафе, на конференции или в аэропорту.

IKEv2 или Internet Key Exchange v2 – это протокол, позволяющий осуществлять прямое туннелирование IPSec между сервером и клиентом. В реализациях IKEv2 VPN IPSec обеспечивает шифрование сетевого трафика. IKEv2 изначально поддерживается на некоторых платформах (OS X 10.11+, iOS 9.1+ и Windows 10) без дополнительных приложений и довольно плавно справляется с икотой клиента.

В этом руководстве вы настроите VPN-сервер IKEv2 с помощью StrongSwan на сервере Ubuntu 18.04 и подключитесь к нему из клиентов Windows, macOS, Ubuntu, iOS и Android.

Предпосылки

Для выполнения этого руководства вам потребуется:

  • Один сервер Ubuntu 18.04, настроенный в соответствии с руководством по первоначальной настройке сервера Ubuntu 18.04, включая пользователя без полномочий root и брандмауэр.

Шаг 1 — Установка StrongSwan

Сначала мы установим StrongSwan, демон IPSec с открытым исходным кодом, который мы настроим в качестве нашего VPN-сервера. Мы также установим компонент инфраструктуры открытого ключа, чтобы мы могли создать центр сертификации для предоставления учетных данных для нашей инфраструктуры.

Обновите локальный кэш пакетов и установите программное обеспечение, введя:

Теперь, когда все установлено, давайте перейдем к созданию наших сертификатов.

Шаг 2. Создание центра сертификации

Серверу IKEv2 требуется сертификат, чтобы идентифицировать себя для клиентов. Чтобы помочь нам создать необходимый сертификат, в пакет strongswan-pki входит утилита для создания центра сертификации и сертификатов сервера. Для начала давайте создадим несколько каталогов для хранения всех ресурсов, над которыми мы будем работать. Структура каталогов соответствует некоторым каталогам в /etc/ipsec.d, куда мы в конечном итоге переместим все созданные нами элементы. Мы заблокируем разрешения, чтобы другие пользователи не могли видеть наши личные файлы:

Теперь, когда у нас есть структура каталогов для хранения всего, мы можем сгенерировать корневой ключ. Это будет 4096-битный ключ RSA, который будет использоваться для подписи нашего корневого центра сертификации.

Выполните эти команды, чтобы сгенерировать ключ:

Теперь, когда у нас есть ключ, мы можем перейти к созданию нашего корневого центра сертификации, используя ключ для подписи корневого сертификата:

При желании вы можете изменить значения уникального имени (DN) на другое. Общее имя здесь — это просто индикатор, поэтому он не должен соответствовать чему-либо в вашей инфраструктуре.

Теперь, когда наш корневой центр сертификации запущен и работает, мы можем создать сертификат, который будет использовать VPN-сервер.

Шаг 3. Создание сертификата для VPN-сервера

Теперь мы создадим сертификат и ключ для VPN-сервера. Этот сертификат позволит клиенту проверить подлинность сервера, используя только что созданный нами сертификат ЦС.

Сначала создайте закрытый ключ для VPN-сервера с помощью следующей команды:

Теперь создайте и подпишите сертификат VPN-сервера с помощью ключа центра сертификации, который вы создали на предыдущем шаге. Выполните следующую команду, но измените поля Common Name (CN) и Subject Alternate Name (SAN) на DNS-имя или IP-адрес вашего VPN-сервера:

Теперь, когда мы сгенерировали все файлы TLS/SSL, которые нужны StrongSwan, мы можем переместить файлы на место в каталоге /etc/ipsec.d, набрав:

На этом шаге мы создали пару сертификатов, которые будут использоваться для защиты связи между клиентом и сервером. Мы также подписали сертификаты ключом ЦС, поэтому клиент сможет проверить подлинность VPN-сервера с помощью сертификата ЦС. Теперь, когда все сертификаты готовы, мы перейдем к настройке программного обеспечения.

Шаг 4 — Настройка StrongSwan

У StrongSwan есть файл конфигурации по умолчанию с некоторыми примерами, но большую часть конфигурации нам придется выполнить самостоятельно. Давайте создадим резервную копию файла для справки, прежде чем начинать с нуля:

Создайте и откройте новый пустой файл конфигурации, введя:

Во-первых, мы скажем StrongSwan регистрировать статусы демонов для отладки и разрешать повторяющиеся подключения. Добавьте эти строки в файл:

Затем мы создадим раздел конфигурации для нашей VPN. Мы также скажем StrongSwan создать VPN-туннели IKEv2 и автоматически загрузить этот раздел конфигурации при запуске. Добавьте в файл следующие строки:

Мы также настроим обнаружение неработающих узлов, чтобы сбрасывать все «зависшие» соединения в случае неожиданного отключения клиента. Добавьте эти строки:

Затем мы настроим параметры IPSec на стороне сервера (слева). Добавьте это в файл:

Примечание. При настройке идентификатора сервера (leftid) включайте символ @ только в том случае, если ваш VPN-сервер будет идентифицироваться по доменному имени:

Если сервер будет идентифицирован по его IP-адресу, просто введите IP-адрес:

Далее мы можем настроить параметры IPSec на стороне клиента (справа), такие как диапазоны частных IP-адресов и используемые DNS-серверы:

Наконец, мы скажем StrongSwan запрашивать у клиента учетные данные пользователя при подключении:

Файл конфигурации должен выглядеть следующим образом:

Сохраните и закройте файл, как только убедитесь, что вы настроили все, как показано.

Теперь, когда мы настроили параметры VPN, давайте перейдем к созданию учетной записи, чтобы наши пользователи могли подключаться к серверу.

Шаг 5. Настройка аутентификации VPN

Наш VPN-сервер теперь настроен на прием клиентских подключений, но у нас еще нет настроенных учетных данных. Нам нужно настроить пару вещей в специальном файле конфигурации с именем ipsec.secrets:

  • Нам нужно сообщить StrongSwan, где найти закрытый ключ для нашего сертификата сервера, чтобы сервер мог аутентифицировать клиентов.
  • Нам также необходимо настроить список пользователей, которым будет разрешено подключаться к VPN.

Откроем файл секретов для редактирования:

Сначала мы укажем StrongSwan, где найти наш закрытый ключ:

Затем мы определим учетные данные пользователя. Вы можете составить любую комбинацию имени пользователя или пароля, которая вам нравится:

Сохраните и закройте файл. Теперь, когда мы закончили работать с параметрами VPN, перезапустим службу VPN, чтобы наша конфигурация применилась:

Теперь, когда VPN-сервер полностью настроен как с параметрами сервера, так и с учетными данными пользователя, пришло время перейти к настройке самой важной части: брандмауэра.

Шаг 6. Настройка брандмауэра и IP-переадресации ядра

После завершения настройки StrongSwan нам нужно настроить брандмауэр для пересылки и пропуска трафика VPN.

Если вы следовали предварительному руководству, у вас должен быть включен очень простой брандмауэр UFW. Если вы еще не настроили UFW, вы можете создать базовую конфигурацию и включить ее, набрав:

Теперь добавьте правило, разрешающее трафик UDP на стандартные порты IPSec, 500 и 4500:

Далее мы откроем один из файлов конфигурации UFW, чтобы добавить несколько низкоуровневых политик для маршрутизации и пересылки пакетов IPSec.Прежде чем мы это сделаем, нам нужно найти, какой сетевой интерфейс на нашем сервере используется для доступа в Интернет. Мы можем найти это, запросив интерфейс, связанный с маршрутом по умолчанию:

Ваш общедоступный интерфейс должен следовать за словом «dev». Например, этот результат показывает интерфейс с именем eth0, который выделен ниже:

В верхней части файла (перед строкой *filter) добавьте следующий блок конфигурации:

Измените каждый экземпляр eth0 в приведенной выше конфигурации, чтобы он соответствовал имени интерфейса, которое вы нашли с помощью ip route . Строки *nat создают правила, чтобы брандмауэр мог правильно маршрутизировать и управлять трафиком между VPN-клиентами и Интернетом. Строка *mangle регулирует максимальный размер сегмента пакета, чтобы предотвратить возможные проблемы с некоторыми VPN-клиентами.

Далее, после строк *фильтра и определения цепочки, добавьте еще один блок конфигурации:

Эти строки указывают брандмауэру пересылать трафик ESP (Encapsulating Security Payload), чтобы VPN-клиенты могли подключиться. ESP обеспечивает дополнительную безопасность наших пакетов VPN, поскольку они проходят через ненадежные сети.

По завершении сохраните и закройте файл.

Прежде чем мы перезапустим брандмауэр, мы изменим некоторые параметры сетевого ядра, чтобы разрешить маршрутизацию с одного интерфейса на другой. Откройте файл конфигурации параметров ядра UFW:

  • Во-первых, мы включим переадресацию пакетов IPv4.
  • Мы отключим обнаружение Path MTU, чтобы предотвратить проблемы с фрагментацией пакетов.
  • Мы также не принимаем переадресацию ICMP и не отправляем переадресацию ICMP, чтобы предотвратить атаки типа "злоумышленник посередине".

Изменения, которые необходимо внести в файл, выделены в следующем коде:

Сохраните файл, когда закончите. UFW применит эти изменения при следующем запуске.

Теперь мы можем включить все наши изменения, отключив и снова включив брандмауэр:

Вам будет предложено подтвердить процесс. Введите Y, чтобы снова включить UFW с новыми настройками.

Шаг 7. Тестирование VPN-подключения в Windows, iOS и macOS

Теперь, когда вы все настроили, пришло время попробовать. Во-первых, вам нужно скопировать созданный сертификат ЦС и установить его на свои клиентские устройства, которые будут подключаться к VPN. Самый простой способ сделать это — войти на свой сервер и вывести содержимое файла сертификата:

Вы увидите вывод, похожий на этот:

Скопируйте этот вывод на свой компьютер, включая строки -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----, и сохраните его в файл с узнаваемым именем, например, ca-cert.pem. Убедитесь, что создаваемый файл имеет расширение .pem.

Загрузив файл ca-cert.pem на свой компьютер, вы можете настроить подключение к VPN.

Подключение из Windows

Сначала импортируйте корневой сертификат, выполнив следующие действия:

Нажмите WINDOWS+R, чтобы открыть диалоговое окно «Выполнить», и введите mmc.exe, чтобы запустить консоль управления Windows.

В меню "Файл" выберите "Добавить или удалить оснастку", выберите "Сертификаты" в списке доступных оснасток и нажмите "Добавить".

Мы хотим, чтобы VPN работал с любым пользователем, поэтому выберите «Учетная запись компьютера» и нажмите «Далее».

Мы настраиваем все на локальном компьютере, поэтому выберите «Локальный компьютер» и нажмите «Готово».

В узле Корень консоли разверните запись Сертификаты (локальный компьютер), разверните Доверенные корневые центры сертификации, а затем выберите запись Сертификаты:

В меню «Действие» выберите «Все задачи» и нажмите «Импорт», чтобы открыть мастер импорта сертификатов. Нажмите «Далее», чтобы пройти мимо введения.

На экране «Файл для импорта» нажмите кнопку «Обзор» и выберите сохраненный файл сертификата. Затем нажмите «Далее».

Убедитесь, что для хранилища сертификатов установлено значение "Доверенные корневые центры сертификации", и нажмите "Далее".

Нажмите "Готово", чтобы импортировать сертификат.

Затем настройте VPN, выполнив следующие действия:

  1. Запустите панель управления, затем перейдите в Центр управления сетями и общим доступом.
  2. Нажмите «Настроить новое подключение или сеть», затем выберите «Подключиться к рабочему месту».
  3. Выберите Использовать мое подключение к Интернету (VPN).
  4. Введите сведения о VPN-сервере. Введите доменное имя или IP-адрес сервера в поле «Интернет-адрес», затем заполните поле «Назначение» тем, что описывает ваше VPN-подключение. Затем нажмите "Готово".

Ваше новое VPN-подключение будет отображаться в списке сетей. Выберите VPN и нажмите Подключиться. Вам будет предложено ввести имя пользователя и пароль. Введите их, нажмите OK, и вы будете подключены.

Подключение из macOS

Чтобы импортировать сертификат, выполните следующие действия:

  1. Дважды щелкните файл сертификата.Появится всплывающее окно Keychain Access с диалоговым окном «Keychain Access пытается изменить системную связку ключей. Введите свой пароль, чтобы разрешить это».
  2. Введите пароль и нажмите «Изменить связку ключей».
  3. Дважды щелкните только что импортированный сертификат VPN. Откроется небольшое окно свойств, в котором вы можете указать уровни доверия. Установите для IP-безопасности (IPSec) значение «Всегда доверять», и вам снова будет предложено ввести пароль. Этот параметр сохраняется автоматически после ввода пароля.

Теперь, когда сертификат важен и доверен, настройте VPN-подключение, выполнив следующие действия:

  1. Откройте «Системные настройки» и выберите «Сеть».
  2. Нажмите маленькую кнопку "плюс" в левом нижнем углу списка сетей.
  3. В появившемся всплывающем окне выберите для параметра Интерфейс значение VPN, установите для параметра Тип VPN значение IKEv2 и дайте имя соединению.
  4. В поле Сервер и удаленный идентификатор введите доменное имя или IP-адрес сервера. Оставьте поле Local ID пустым.
  5. Нажмите «Настройки аутентификации», выберите «Имя пользователя» и введите имя пользователя и пароль, которые вы настроили для своего пользователя VPN. Затем нажмите "ОК".

Наконец, нажмите «Подключиться», чтобы подключиться к VPN. Теперь вы должны быть подключены к VPN.

Подключение из Ubuntu

Чтобы подключиться с компьютера с Ubuntu, вы можете настроить и управлять StrongSwan как службой или использовать одноразовую команду каждый раз, когда вы хотите подключиться. Инструкции предоставляются для обоих.

Управление StrongSwan как услугой

  1. Обновите локальный кэш пакетов: sudo apt update
  2. Установите StrongSwan и соответствующее программное обеспечение sudo apt install strongswan libcharon-extra-plugins
  3. Скопируйте сертификат ЦС в каталог /etc/ipsec.d/cacerts: sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts
  4. Отключите StrongSwan, чтобы VPN не запускалась автоматически: sudo systemctl disable --now strongswan
  5. Настройте имя пользователя и пароль VPN в файле /etc/ipsec.secrets: your_username : EAP "your_password"
  6. Отредактируйте файл /etc/ipsec.conf, чтобы определить свою конфигурацию.

Чтобы подключиться к VPN, введите:

Чтобы снова отключиться, введите:

Использование простого клиента для разовых подключений

  1. Обновите локальный кэш пакетов: sudo apt update
  2. Установите charon-cmd и соответствующее программное обеспечение sudo apt install charon-cmd libcharon-extra-plugins
  3. Перейдите в каталог, в который вы скопировали сертификат ЦС: cd /path/to/ca-cert.pem
  4. Подключитесь к VPN-серверу с помощью charon-cmd, используя сертификат CA сервера, IP-адрес VPN-сервера и настроенное вами имя пользователя: sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username
  5. При появлении запроса введите пароль пользователя VPN.

Теперь вы должны быть подключены к VPN. Чтобы отключиться, нажмите CTRL+C и дождитесь закрытия соединения.

Подключение с iOS

Чтобы настроить VPN-подключение на устройстве iOS, выполните следующие действия:

  1. Отправьте себе электронное письмо с прикрепленным корневым сертификатом.
  2. Откройте электронное письмо на устройстве iOS и коснитесь прикрепленного файла сертификата, затем коснитесь «Установить» и введите код доступа. После установки нажмите "Готово".
  3. Откройте «Настройки», «Основные», «VPN» и нажмите «Добавить конфигурацию VPN». Откроется экран настройки VPN-подключения.
  4. Нажмите «Тип» и выберите IKEv2.
  5. В поле «Описание» введите краткое имя VPN-подключения. Это может быть что угодно.
  6. В поле Сервер и удаленный идентификатор введите доменное имя или IP-адрес сервера. Поле «Местный идентификатор» можно оставить пустым.
  7. Введите свое имя пользователя и пароль в разделе "Аутентификация", затем нажмите "Готово".
  8. Выберите только что созданное VPN-подключение, коснитесь переключателя в верхней части страницы, и подключение будет установлено.

Подключение с Android

Чтобы импортировать сертификат, выполните следующие действия:

  1. Отправьте себе электронное письмо с прикрепленным сертификатом ЦС. Сохраните сертификат ЦС в папке загрузок.
  2. Загрузите VPN-клиент StrongSwan из Play Маркета.
  3. Откройте приложение. Коснитесь значка "Дополнительно" в правом верхнем углу (значок с тремя точками) и выберите Сертификаты ЦС.
  4. Снова коснитесь значка "еще" в правом верхнем углу. Выберите Импорт сертификата.
  5. Перейдите к файлу сертификата ЦС в папке загрузок и выберите его, чтобы импортировать в приложение.

Теперь, когда сертификат импортирован в приложение StrongSwan, вы можете настроить VPN-подключение, выполнив следующие действия:

  1. В приложении вверху нажмите ДОБАВИТЬ ПРОФИЛЬ VPN.
  2. В поле Сервер введите доменное имя или общедоступный IP-адрес вашего VPN-сервера.
  3. Убедитесь, что в качестве типа VPN выбран IKEv2 EAP (имя пользователя/пароль).
  4. Заполните имя пользователя и пароль учетными данными, которые вы указали на сервере.
  5. Снимите флажок «Выбирать автоматически» в разделе «Сертификат ЦС» и нажмите «Выбрать сертификат ЦС».
  6. Нажмите вкладку ИМПОРТИРОВАНИЕ в верхней части экрана и выберите импортированный ЦС (он будет называться «Корневой ЦС VPN», если вы не изменили «DN» ранее).
  7. При желании укажите в поле Имя профиля (необязательно) более описательное имя.

Если вы хотите подключиться к VPN, нажмите на профиль, который вы только что создали в приложении StrongSwan.

Устранение неполадок с подключениями

Если вам не удается импортировать сертификат, убедитесь, что файл имеет расширение .pem, а не .pem.txt.

Наконец, дважды проверьте конфигурацию VPN, чтобы убедиться, что значение leftid настроено с символом @, если вы используете доменное имя:

И если вы используете IP-адрес, убедитесь, что символ @ опущен.

Заключение

В этом руководстве вы создали VPN-сервер, использующий протокол IKEv2. Теперь вы можете быть уверены, что ваши действия в Интернете останутся в безопасности, куда бы вы ни пошли!

Чтобы добавить или удалить пользователей, еще раз просмотрите шаг 5. Каждая строка предназначена для одного пользователя, поэтому добавлять или удалять пользователей так же просто, как редактировать файл.

Возможно, вы захотите изучить настройку анализатора файлов журналов, поскольку StrongSwan выгружает свои журналы в системный журнал. Учебное пособие Как установить и использовать Logwatch Log Analyzer and Reporter на VPS содержит дополнительную информацию о настройке.

Хотите узнать больше? Присоединяйтесь к сообществу DigitalOcean!

Присоединяйтесь к нашему сообществу DigitalOcean, насчитывающему более миллиона разработчиков, бесплатно! Получайте помощь и делитесь знаниями в нашем разделе "Вопросы и ответы", находите руководства и инструменты, которые помогут вам расти как разработчику и масштабировать свой проект или бизнес, а также подписывайтесь на интересующие вас темы.

Сегодня наиболее часто используемый протокол называется Internet Key Exchange (IKE). Первая версия была выпущена в 1998 году и получила обычное название IKEv1. Следует отметить, что первая версия IKE использовалась IPsec по умолчанию. Особенности IKEv1 обновили его скрытые части. Для его обновления в 2005 году был создан IKEv2. С этим обновлением протокол стал более надежным и устойчивым к DOS-атакам. IKEv2 — это протокол на основе IPsec, обозначающий Internet Key Exchange Version 2. Это совместный продукт Cisco и Microsoft, совместимый с несколькими платформами. В этой статье мы хотим познакомить вас с Учебником по настройке IKev2 в Ubuntu 20.04. Следует отметить, что вы можете посетить пакеты, доступные в Eldernode, если хотите приобрести сервер Ubuntu VPS.

Оглавление

Как настроить IKev2 в Ubuntu 20.04 шаг за шагом

Протокол IKEv2 — это один из протоколов, производных от известного протокола IPsec, который хорошо выполняет процесс туннелирования. Существует несколько версий IKE для платформ с открытым исходным кодом. Одной из наиболее важных сильных сторон IKEv2, которая отличает его от других протоколов VPN, является возможность повторного подключения и восстановления соединения. Это означает, что если соединение разрывается, IKEv2 может продолжить соединение и продолжить рабочий процесс. Хотя многие мобильные устройства предпочитают использовать комбинацию протоколов L2TP/IPsec, IKEv2 также может быть очень хорошей альтернативой.

Следуйте руководству по установке, настройке и запуску IKEv2 в Ubuntu 20.04.

Настройка IKev2 в Ubuntu 20.04 | Убунту 18.04

Установить IKEv2 в Ubuntu 20.04 несложно. В этой статье мы шаг за шагом научим вас настраивать и настраивать VPN-сервер IKEv2 в Ubuntu. Оставайтесь с нами.

Установите StrongSwan в Ubuntu 20.04

Как создать центр сертификации (настройка IKev2 в Ubuntu 20.04)

Теперь, когда вы успешно установили StrongSwan, давайте перейдем к созданию сертификатов. Обратите внимание, что серверу IKEv2 требуется сертификат, чтобы идентифицировать себя для клиента. Теперь, когда вы успешно установили StrongSwan, давайте перейдем к созданию сертификатов. В пакет strongswan-pki входит инструмент для создания ссылки на сертификат и сертификатов сервера, чтобы помочь пользователям создавать сертификаты.

Сначала необходимо создать несколько каталогов для сохранения ресурсов, над которыми вы работаете. Следует отметить, что структура каталогов совместима с некоторыми каталогами в /etc/ipsec.d. Итак, куда мы в конечном итоге переместим все созданные элементы. Здесь мы решаем заблокировать лицензии, чтобы другие пользователи не видели личные файлы. Для этого используйте следующие команды:

Теперь вам нужно сгенерировать корневой ключ. Корневой ключ — это 4096-битный ключ RSA, используемый для подписи ссылки на корневой сертификат. Таким образом, вы можете выполнить следующую команду для генерации ключа:

После того, как вы успешно создали ключ, вам нужно выполнить следующие команды, чтобы создать ссылку на корневой сертификат, используя этот ключ для подписи корневого сертификата:

Как сгенерировать сертификат для VPN-сервера

После того как вы смогли активировать и настроить лицензию на корневой сертификат в предыдущем разделе, теперь вы можете создать сертификат, который может использовать VPN-сервер. Следует отметить, что этот сертификат позволяет клиенту проверить сервер с помощью сертификата CA. Для этого сначала создайте закрытый ключ для VPN-сервера с помощью следующей команды:

На следующем шаге вам нужно создать и подписать сертификат VPN-сервера с помощью эталонного ключа сертификации, созданного на предыдущем шаге. Поэтому вы должны выполнить следующие команды по порядку.

Примечание. Вы должны изменить общее имя (CN) и альтернативное имя субъекта (SAN) на DNS или IP-адрес вашего VPN-сервера в следующих командах.

Теперь, когда вы создали все файлы TLS/SSL, необходимые для StrongSwan, вы можете переместить файлы в /etc/ipsec.d:

Как настроить StrongSwan

Давайте сделаем резервную копию файла для справки, прежде чем начинать с нуля с помощью следующей команды:

На следующем шаге вы можете создать и открыть новый пустой файл конфигурации, введя следующую команду:

Сначала вам нужно сообщить StrongSwan, чтобы он записал статус демона и разрешил повторяющиеся соединения, чтобы исправить ошибку. Поэтому вам нужно добавить следующую команду в файл /etc/ipsec.conf:

Следующим шагом является создание раздела конфигурации для VPN. StrongSwan также должен быть уведомлен о создании туннеля IKEv2 VPN. Затем необходимо автоматически загрузить этот раздел конфигурации при запуске. Добавьте в файл следующие строки:

Обратите внимание, что если клиент неожиданно отключается, вы должны настроить соединение с отключенным узлом, чтобы сбросить «висячие» соединения:

Далее необходимо настроить параметры IPSec на стороне сервера:

Здесь вам необходимо настроить параметры IPSec на стороне клиента, такие как диапазон частных IP-адресов и DNS-серверов, с помощью следующих команд:

Чтобы получить учетные данные при подключении от клиента, необходимо ввести следующую команду:

Наконец, вам нужно сохранить файл и выйти из него.

Настройка аутентификации VPN

В предыдущем разделе мы успешно настроили VPN-сервер. Но так как учетные данные еще не настроены, здесь нам нужно настроить несколько элементов в специальном файле конфигурации ipsec.secrets. Откройте файл секретов в любом редакторе:

Добавив следующую команду в файл конфигурации, сообщите StrongSwan, где найти ваш закрытый ключ:

На следующем шаге вы должны указать информацию о пользователе с помощью следующей команды:

Сохраните файл конфигурации и закройте его. Затем для применения изменений необходимо перезагрузить систему с помощью следующей команды:

Как настроить брандмауэр и IP-переадресацию ядра

В этом разделе мы намерены завершить настройку StrongSwan, чтобы настроить брандмауэр для пропуска через него трафика VPN. Для этого необходимо выполнить следующие команды:

Добавьте правило с помощью следующей команды, чтобы разрешить трафик UDP на стандартные порты IPSec, 500 и 4500:

Для маршрутизации и отправки пакетов IPSec необходимо открыть один из файлов конфигурации UFW и добавить некоторые низкоуровневые политики. Обратите внимание, что вы должны сначала использовать следующую команду, чтобы узнать, какой сетевой интерфейс используется на сервере для доступа в Интернет:

Важным моментом здесь является то, что ваш общедоступный интерфейс должен следовать за словом «dev». Например, следующий вывод показывает интерфейс с именем eth0:

Следующий шаг — добавить следующую конфигурацию вверху файла (перед строкой *filter):

Вы должны изменить каждый экземпляр eth0 в приведенной выше конфигурации, чтобы имя интерфейса, которое вы нашли, соответствовало IP-пути. Теперь пришло время добавить еще один блок конфигурации, используя следующую команду после *filter и строк определения цепочки:

После внесения вышеуказанных изменений сохраните файл и закройте его.

Чтобы иметь возможность выполнять маршрутизацию с одного интерфейса на другой, вам необходимо открыть файл конфигурации ядра UFW с помощью следующей команды и изменить некоторые параметры сетевого ядра:

Изменения, которые необходимо внести в файл, выделены в следующем коде:

После внесения изменений сохраните файл и закройте его. Наконец, вы можете включить все свои изменения, отключив и снова включив брандмауэр. Для этого вы должны использовать следующие команды.

Примечание. После выполнения следующих команд вам будет предложено подтвердить процесс. Введите Y, чтобы снова включить UFW с новыми настройками.

Как подключиться к IKEv2 из Ubuntu Linux

Вот как подключиться к IKEv2 через Ubuntu 20.04. Вы можете выполнить следующие шаги, чтобы подключиться к IKEv2, используя Manage StrongSwan как сервисный метод. Сначала необходимо обновить локальный кеш пакетов с помощью следующей команды:

Далее вам нужно скопировать сертификат ЦС в /etc/ipsec.d/cacerts:

Еще одним важным шагом является отключение StrongSwan, чтобы VPN не запускалась автоматически. Поэтому для этого вам нужно получить помощь от следующей команды:

Теперь вам нужно настроить имя пользователя и пароль VPN в файле /etc/ipsec.secrets:

Наконец, вам нужно отредактировать файл /etc/ipsec.conf следующим образом, чтобы определить вашу конфигурацию:

Вы можете использовать следующие команды для подключения и отключения VPN соответственно:

Заключение

IKEv2, как и любой другой протокол VPN, отвечает за создание безопасного туннеля между пользователем и сервером VPN. Этот процесс сначала выполняется путем аутентификации пользователя и сервера. Затем согласовывается, какой метод шифрования использовать. В этой статье мы постарались пошагово ознакомить вас с Tutorial Setup IKev2 на Ubuntu 20.04. Если хотите, можете обратиться к статье Как настроить IKev2 на Centos 8.

Виртуальная частная сеть используется для создания частной сети из общедоступного интернет-соединения для защиты вашей личности. VPN использует зашифрованный туннель для безопасной отправки и получения данных.

strongSwan — одно из самых известных программ для VPN, которое поддерживает различные операционные системы, включая Linux, OS X, FreeBSD, Windows, Android и iOS. Он использует протоколы IKEv1 и IKEv2 для безопасного установления соединения. Вы можете расширить его функциональность с помощью встроенных плагинов.

В этом руководстве мы объясним пошаговые инструкции по настройке VPN-сервера KEv2 с помощью StrongSwan в Ubuntu 20.04.

Необходимое условие

• Две системы с сервером Ubuntu 20.04
• На обоих серверах настроен пароль root

Установите StrongSwan

По умолчанию StrongSwan доступен в стандартном репозитории Ubuntu 20.04. Вы можете установить его с другими необходимыми компонентами, используя следующую команду:

После установки всех пакетов вы можете приступить к созданию сертификата ЦС.

Создать сертификат для VPN-сервера

Далее вам потребуется сгенерировать сертификат и ключ для VPN-сервера, чтобы проверить подлинность сервера на стороне клиента.

Сначала создайте закрытый ключ для корневого центра сертификации с помощью следующей команды:

Далее создайте корневой ЦС и подпишите его с помощью приведенного выше ключа:

Далее создайте закрытый ключ для VPN-сервера с помощью следующей команды:

Наконец, сгенерируйте сертификат сервера с помощью следующей команды:

На данный момент все сертификаты готовы для VPN-сервера.

Настройка StrongSwan VPN

Файл конфигурации strongswan по умолчанию — /etc/ipsec.conf. Мы можем сделать резервную копию основного файла конфигурации и создать новый файл:

Далее создайте новый файл конфигурации:

Добавьте следующие параметры конфигурации и подключения:

Сохраните и закройте файл /etc/ipsec.conf.

Затем вам нужно будет определить учетные данные пользователя EAP и закрытые ключи RSA для аутентификации.

Вы можете настроить его, отредактировав файл /etc/ipsec.secrets:

Добавьте следующую строку:

Затем перезапустите службу StrongSwan следующим образом:

Чтобы включить StrongSwan при загрузке системы, введите:

Проверьте состояние VPN-сервера, введите:

Включить пересылку пакетов ядра

Затем вам нужно настроить ядро ​​для включения пересылки пакетов, отредактировав файл /etc/sysctl.conf:

Раскомментируйте следующие строки:

Сохраните и закройте файл, затем перезагрузите новые настройки с помощью следующей команды:

Установка и настройка клиента StrongSwan

В этом разделе мы установим клиент StrongSwan на удаленном компьютере и подключимся к VPN-серверу.

Сначала установите все необходимые пакеты с помощью следующей команды:

После установки всех пакетов остановите службу StrongSwan с помощью следующей команды:

Далее вам нужно скопировать файл ca.cert.pem с VPN-сервера в каталог /etc/ipsec.d/cacerts/. Вы можете скопировать его с помощью команды SCP, как показано ниже:

Чтобы настроить аутентификацию VPN-клиента, используйте файл /etc/ipsec.secrets:

Добавьте следующую строку:

Затем отредактируйте основной файл конфигурации strongSwan:

Добавьте следующие строки, соответствующие вашему домену и паролю, который вы указали в файле /etc/ipsec.secrets.

Теперь запустите службу StrongSwan VPN с помощью следующей команды:

Далее проверьте состояние VPN-подключения с помощью следующей команды:

Вы должны получить следующий результат:

Приведенный выше вывод указывает на то, что между клиентом и сервером установлено VPN-подключение, а IP-адрес 10.10.10.1 назначен клиентскому компьютеру.

Вы также можете подтвердить свой новый IP-адрес с помощью следующей команды:

Вы должны получить следующий результат:

Заключение

В приведенном выше руководстве мы узнали, как настроить VPN-сервер и клиент StrongSwan в Ubuntu 20.04. Теперь вы можете защитить свою личность и свои действия в Интернете.

Теги UbuntuVPN slug; $list = get_page_by_title('related', 'OBJECT', 'wp_show_posts'); wpsp_display($list->ID, 'tax_term="' . $cat_slug . '"' );*/ ?>

Читайте также: