🖧 نصب و پیکربندی VPN StrongSwan در اوبونتو 20.04 – جوخه امنیت اطلاعات

VPN برای ایجاد یک شبکه خصوصی از طریق اینترنت عمومی برای محافظت از داده های شما استفاده می شود.

VPN از یک تونل رمزگذاری شده برای ارسال و دریافت داده به صورت امن استفاده می کند.

strongSwan یکی از معروف ترین برنامه های VPN است سیستم عامل های مختلف ، از جمله Linux ، OS X ، FreeBSD ، Windows ، Android و iOS.

از پروتکل های IKEv1 و IKEv2 برای برقراری ایمن اتصال استفاده می کند. در این آموزش ، ما گام به گام دستورالعمل های راه اندازی سرور KEv2 VPN با StrongSwan را در اوبونتو 20.04 توضیح خواهیم داد. به طور پیش فرض StrongSwan در مخزن پیش فرض اوبونتو 20.04 موجود است.

می توانید آن را با هر مورد دیگری نصب کنید با دستور زیر:

 apt-get install installs strongswan strongswan-pki libcharon-extra-plugins libcharon-extauth-plugins libstrongswan-extra-plugins -y 

پس از نصب همه بسته ها ، می توانید برای ایجاد گواهینامه CA اقدام کنید.

نحوه ایجاد گواهی برای سرور VPN

سپس برای تأیید اعتبار سرور در سمت سرویس گیرنده ، باید یک گواهینامه و کلید برای سرور VPN ایجاد کنید. با دستور زیر:

 ipsec pki --gen - اندازه 4096 - نوع rsa - فرم pem> /etc/ipsec.d/private/ca.key.pem 

سپس یک CA ریشه ایجاد کنید و آن را امضا کنید با استفاده از کلید فوق:

 ipsec pki - self --in /etc/ipsec.d/private/ca.key.pem - نوع rsa --dn "CN = My VPN Server CA" --ca - -lifetime 3650 --outform pem> /etc/ipsec.d/cacerts/ca.cert.pem 

سپس با استفاده از دستور زیر یک کلید خصوصی برای سرور VPN ایجاد کنید: [19659013] ipsec pki –gen – اندازه 4096 – نوع rsa – فرم pem> /etc/ipsec.d/private/server.key.pem

 ipsec pki - میخانه - در /etc/ipsec.d/private/server.key.pem - نوع rsa | ipsec pki --issue --lifetime 2750 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN = vpn .domain.com "--san =" vpn.domain.com "- سرور فلگAuth --flag ikeIntermediate - فرم pem> /etc/ipsec.d/certs/server.cert.pem 

StrongSwan VPN setup

فایل پیکربندی پیش فرض strongswan /etc/ipsec.conf است.

ما می توانیم از فایل پیکربندی اصلی نسخه پشتیبان تهیه کنیم و یک پرونده جدید ایجاد کنیم:

 mv /etc/ipsec.conf /etc/ipsec.conf-bak 

 nano /etc/ipsec.conf 

پیکربندی و تنظیمات اتصال زیر را اضافه کنید:

 تنظیمات پیکربندی
        charondebug = "ike 2، knl 2، cfg 2، net 2، esp 2، dmn 2، mgr 2"
        strikcrlpolicy = نه
        منحصر به فرد = بله
        حافظه پنهان = نه

اتصال ipsec-ikev2-vpn
      خودکار = اضافه کردن
      فشرده سازی = نه
      نوع = تونل
      keyexchange = ikev2
      تکه تکه شدن = بله
      نیروی محکم = بله
      dpdaction = روشن است
      dpddelay = 300s
      rekey = نه
      چپ =٪ هر
      [email protected]
      leftcert = server.cert.pem
      leftsendcert = همیشه
      leftsubnet = 0.0.0.0 / 0
      راست =٪ هر
      درست =٪ هر
      rightauth = eap-mschapv2
      منابع منبع = 10.10.10.0 / 24
      rightdns = 8.8.8.8
      rightsendcert = هرگز
      eap_identity =٪ identity 

پرونده /etc/ipsec.conf را ذخیره کرده و ببندید.

سپس باید احراز هویت کاربر EAP و کلیدهای خصوصی RSA را تعیین کنید.

می توانید با ویرایش / و غیره آن را شخصی سازی کنید ipsec.secrets:

 nano /etc/ipsec.secrets 

: RSA "server.key.pem"
vpnsecure: "رمز عبور" EAP 

 systemctl starts strongswan-starter 

 systemctl enables strongswan-starter 

 net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0 

 sysctl -p 

 apt-get install strongswan libcharon-extra-plugins -y 

 systemctl stop strongswan-starter 

 scp [email protected]: /etc/ipsec.d/cacerts/ca.cert.pem /etc/ipsec.d/cacerts/ 

 nano /etc/ipsec.secrets 

 vpnsecure: "رمز عبور" EAP 

 nano /etc/ipsec.conf 

 اتصال ipsec-ikev2-vpn-client
    خودکار = شروع
    راست = vpn.domain.com
    rightid = vpn.domain.com
    Rightsubnet = 0.0.0.0 / 0
    rightauth = میخانه
    leftsourceip =٪ پیکربندی
    leftid = vpnsecure
    leftauth = eap-mschapv2
    eap_identity =٪ identity 

 systemctl start strongswan-starter 

 وضعیت ipsec 

 انجمن های امنیتی (1 به بالا ، 0 اتصال):
ipsec-ikev2-vpn-client [1]: 28 ثانیه پیش تأسیس شد ، 104.245.32.158 [vpnsecure] ... 104.245.33.84 [vpn.domain.com]
ipsec-ikev2-vpn-client {1}: INSTALLED ، TUNNEL ، reqid 1 ، ESP در SPI های UDP: ca6f451c_i ca9f9ff7_o
ipsec-ikev2-vpn-client {1}: 10.10.10.1/32 === 0.0.0.0/0 

 ip a 

 eth0:  mtu 1500 qdisc fq_codel state UP group qlen 1000 پیش فرض
پیوند / اتر 00: 00: 68: f5: 20: 9e brd ff: ff: ff: ff: ff: ff
inet 104.245.32.158/25 brd 104.245.32.255 حوزه جهانی eth0
valid_lft برای همیشه ترجیح داد_lft برای همیشه
inet 10.10.10.1/32 حوزه جهانی eth0
valid_lft برای همیشه ترجیح داد_lft برای همیشه
inet6 fe80 :: 200: 68ff: fef5: 209e / 64 پیوند دامنه
valid_lft Forever_lft Forever