strongswan+freeradius+daloradius+ad域控認證ikev2
實驗時間:2018年8月2日-2018年8月3日
環境:
服務器:Centos7
IP地址131.107.0.100
strongswan-5.6.3
客戶端:Windows7
自帶客戶端 epa-mschapv2模式 、 mschapv2模式
1、 CentOS 7 最小安裝
安裝vim
yum install -y vim
2、 設置IP地址
cd /etc/sysconfig/networks-scripts
vi ifcfg-ens34
BOOTPROTO=static
ONBOOT=yes
IPADDR=131.107.0.100
GATEWAY=131.107.0.1
DNS1=131.107.0.1
reboot
3、 安裝完後升級系統
yum -y upgrade
升級所有包,不改變軟件設置和系統設置,系統版本升級,內核不改變
yum -y update
升級所有包,改變軟件設置和系統設置,系統版本內核都升級
4、 關閉selinux
vim /etc/sysconfig/selinux
SELINUX=disabled
reboot
sestatus
SELinux status: disabled5、 安裝strongswan
yum -y install epel-release
yum -y install strongswan
strongswan的配置文件在/etc/strongswan/
查看版本
strongswan versionLinux strongSwan U5.6.3/K3.10.0-862.9.1.el7.x86_64
Institute for Internet Technologies and Applications
University of Applied Sciences Rapperswil, Switzerland
See ‘strongswan --copyright‘ for copyright information.
6、 制作證書
(1)strongswan官方對Windows 7 客戶端對證書的要求的說明:
鏈接:https://wiki.strongswan.org/projects/strongswan/wiki/Win7CertReq
關於ipsec pki 的官方說明看下面的鏈接:
https://wiki.strongswan.org/projects/strongswan/wiki/IpsecPKI
(2)建一個目錄保存要生成的證書,在哪建都行:
mkdir /etc/strongswan/ca
cd /etc/strongswan/ca
(3)生成一個私鑰用作CA根證書的私鑰,文件名為YIMIDECA.key.pem,文件名可以自己隨便改。
strongswan pki --gen -- outform pem > YIMIDECA.key.pem
(4)自簽名形式生成CA根證書
strongswan pki --self --in YIMIDECA.key.pem --dn "C=CN, O=YIMIDEZUZHI, CN=YIMIDE CA" --ca --lifetime 3650 --outform pem > YIMIDECA.cert.pem
C=CN 國家代碼,我沒試亂填會怎樣,老實填CN 跟其他證書的C要一致
O=YIMIDEZUZHI 組織代碼,自己隨便填的,1米的組織 跟其他證書的O要一致
CN=YIMIDE CA 自己隨便填。
(5)生成一個私鑰用作strongswan服務器的私鑰,文件名為YIMIDESERVER.key.pem
strongswan pki --gen -- outform pem > YIMIDESERVER.key.pem
從這個私鑰文件YIMIDESERVER.key.pem中提取公鑰,文件名為YIMIDESERVER.pub.pem
strongswan pki --pub --in YIMIDESERVER.key.pem --outform pem > YIMIDESERVER.pub.pem
用提取的公鑰文件YIMIDESERVER.pub.pem和剛才生成的CA證書YIMIDECA.cert.pem簽發一個服務器證書,文件名為YIMIDESERVER.cert.pem
strongswan pki --issue --lifetime 1200 --cacert YIMIDECA.cert.pem --cakey YIMIDECA.key.pem --in YIMIDESERVER.pub.pem --dn "C=CN, O=YIMIDEZUZHI, CN= strongswan.test.com" --san "dns:131.107.0.10" --san "strongswan.test.com" --san "mystrongswan.test.com" --flag serverAuth --flag ikeIntermediate --outform pem > YIMIDESERVER.cert.pem
C=CN 國家代碼,我沒試亂填會怎樣,老實填CN 跟其他證書的C要一致
O=YIMIDEZUZHI 組織代碼,自己隨便填的,一米的組織 跟其他證書的O要一致
CN=strongswan.test.com 這個填strongswan服務器的域名
--san "dns:131.107.0.10" 這個填strongswan服務器的ip地址
--san --flag 的設置還是看這個:
strongswan官方對Windows 7 客戶端對證書的要求的說明:
鏈接:https://wiki.strongswan.org/projects/strongswan/wiki/Win7CertReq
(6)生成一個私鑰用作客戶端的私鑰,文件名為YIMIDECLIENT.key.pem
strongswan pki --gen --outform pem > YIMIDECLIENT.key.pem
從這個私鑰文件YIMIDECLIENT.key.pem中提取公鑰,文件名為YIMIDECLIENT.pub.pem
strongswan pki --pub --in YIMIDECLIENT.key.pem --outform pem > YIMIDECLIENT.pub.pem
用提取的公鑰文件YIMIDECLIENT.pub.pem和剛才生成的CA證書YIMIDECA.cert.pem簽發一個服務器證書,文件名為YIMIDECLIENT.cert.pem
strongswan pki --issue --lifetime 1200 --cacert YIMIDECA.cert.pem --cakey YIMIDECA.key.pem --in YIMIDECLIENT.pub.pem --dn "C=CN, O=YIMIDEZUZHI, CN=YIMIDECLIENT" --outform pem > YIMIDECLIENT.cert.pem
C=CN 國家代碼,我沒試亂填會怎樣,老實填CN 跟其他證書的C要一致
O=YIMIDEZUZHI 組織代碼,自己隨便填的,一米的組織 跟其他證書的O要一致
CN=YIMIDECLIENT 這個自己起名。
生成一個pkcs12格式的證書,把證書導入到客戶端時使用。
openssl pkcs12 -export -inkey YIMIDECLIENT.key.pem -in YIMIDECLIENT.cert.pem -name "YIMIDECLIENT" -certfile YIMIDECA.cert.pem -caname "YIMIDE CA" -out YIMIDECLIENT.cert.p12
這條命令會要求輸入兩次證書密碼,用於導入計算機時填入。
證書制作完畢!!!!!!!!!!
現在這個文件夾有9個文件:
YIMIDECA.key.pem
YIMIDECA.cert.pem
YIMIDESERVER.key.pem
YIMIDESERVER.pub.pem
YIMIDESERVER.cert.pem
YIMIDECLIENT.key.pem
YIMIDECLIENT.pub.pem
YIMIDECLIENT.cert.pem
YIMIDECLIENT.cert.p12
為strongswan服務器安裝證書,就是將證書復制到規定的目錄
cp -r YIMIDECA.cert.pem /etc/strongswan/ipsec.d/cacerts/
cp -r YIMIDESERVER.cert.pem /etc/strongswan/ipsec.d/certs/
cp -r YIMIDECLIENT.cert.pem /etc/strongswan/ipsec.d/certs/
cp -r YIMIDECA.key.pem /etc/strongswan/ipsec.d/private/
cp -r YIMIDESERVER.key.pem /etc/strongswan/ipsec.d/private/
cp -r YIMIDECLIENT.key.pem /etc/strongswan/ipsec.d/private/
7、 編輯strongswan配置文件
(1)vim /etc/strongswan/ipsec.conf
config setup
uniqueids=never #關閉ID唯一性,即允許多個客戶端使用同一個證書,多設備同時在線
conn %default #默認配置項,其他conn配置項都會調用此默認項
left=%any #left表示local,即本地端(服務器端)IP地址;%any是魔數字,表示任意地址
leftsubnet=0.0.0.0/0 #本地端網絡,0.0.0.0/0為通配,表示所有IP網段
right=%any #right表示remote,即遠程端(客戶端)IP地址可為任意地址
rightsourceip=131.107.0.0/24 #分配給遠程端的虛擬IP地址段,盡量避免使用常用私網地址段以免沖突
dpdaction=clear #dpd表示Dead Peer Detection,對端失效檢測,clear表示對端失效時關閉連接
ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1!
conn IKEv1-CERT-XAUTH #供老版本IOS使用。IKEv1,使用證書和XAUTH驗證
keyexchange=ikev1 #密鑰交換使用IKEv1
fragmentation=yes #允許分片
leftauth=pubkey #本地端使用公鑰驗證
leftcert= YIMIDESERVER.cert.pem #指定本地端證書
rightauth=pubkey #遠程端使用公鑰驗證
rightauth2=xauth #遠程端使用用戶賬號驗證
rightcert=YIMIDECLIENT.cert.pem #指定遠程端證書
auto=add #auto定義strongSwan服務啟動時該連接的行為,add是添加連接類型但不啟動
conn IKEv1-PSK-XAUTH #供IOS, Android使用。IKEv1,使用預共享密鑰和XAUTH驗證
keyexchange=ikev1 #密鑰交換使用IKEv1
leftauth=psk #本地端使用預共享密鑰驗證
rightauth=psk #遠程端使用預共享密鑰驗證
rightauth2=xauth #遠程端使用用戶賬號驗證
auto=add #strongSwan啟動時添加連接類型但不啟動
conn IKEv2-CERT #供Windows 7+, Linux使用。IKEv2,使用證書驗證
keyexchange=ikev2 #密鑰交換使用IKEv2
leftauth=pubkey #本地端使用公鑰驗證
leftcert= YIMIDESERVER.cert.pem #指定本地端證書
rightauth=pubkey #遠程端使用公鑰驗證
rightcert= YIMIDECLIENT.cert.pem #指定遠程端證書
auto=add #strongSwan啟動時添加連接類型但不啟動
conn IKEv2-EAP #供Windows 7+, IOS9+使用。IKEv2,EAP驗證
keyexchange=ikev2 #密鑰交換使用IKEv2
ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024! #第一階段加密方式
esp=aes256-sha256,3des-sha1,aes256-sha1! #ESP的順序與IKE一致
rekey=no #本地端對Windows遠程端發出rekey請求會斷開連接,所以需配置為no
leftauth=pubkey #本地端使用公鑰驗證
leftcert=YIMIDESERVER.cert.pem #指定本地端證書
leftsendcert=always #本地端總是發送證書
[email protected] #本地端標識,使用本地端公網IP地址作為標識,和生成服務器證書時的--san參數對應
rightauth=eap-mschapv2 #遠程端使用eap-mschapv2驗證
rightsendcert=never #不要求遠程端發送證書
rightsourceip=%dhcp
eap_identity=%any #指定EAP驗證身份,任意賬戶
fragmentation=yes #允許分片
auto=add #strongSwan啟動時添加連接類型但不啟動
vim /etc/strongswan/strongswan.conf
charon{
filelog {
/var/log/strongswan.charon.log {
time_format = %b %e %T
default = 2
append = no
flush_line = yes
}
}
load_modular = yes
duplicheck.enble = no
compress = yes
plugins {
include strongswan.d/charon/*.conf
}
dns1 = 131.107.0.1
dns2 = 131.107.0.2
nbns1 = 131.107.0.1
nbns2 = 131.107.0.2
}
include strongswan.d/.conf
vim /etc/strongswan/ipsec.secrets
: RSA YIMIDESERVER.key.pem
: PSK "123456"
: XAUTH "123456"
admin : EAP "123456"
8、 防火墻配置
打開防火墻端口
firewall-cmd --permanent --add-port=500/udp
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --reload
允許esp ah 協議
firewall-cmd --permanent --add-rich-rule=‘rule protocol value="esp" accept‘
firewall-cmd --permanent --add-rich-rule=‘rule protocol value="ah" accept‘
firewall-cmd --reload
開啟內核轉發
編輯 /etc/systcl.conf
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
#啟用ip偽裝
firewall-cmd --add-masquerade --permanent
firewall-cmd --reload
reboot
9、 啟動服務
systemctl enable strongswan
systemctl start strongswan
systemctl status strongswan
查看加載的CA證書
strongswan listcacerts
顯示:
List of X.509 CA Certificates
subject: "C=CN, O=YIMIDEZUZHI, CN=YIMIDE CA"
issuer: "C=CN, O=YIMIDEZUZHI, CN=YIMIDE CA"
validity: not before Jul 24 16:05:12 2018, ok
not after Jul 21 16:05:12 2028, ok (expires in 3649 days)
serial: 07:f8:c4:ad:18:64:7d:4c
flags: CA CRLSign self-signed
subjkeyId: ff:e1:cb:fc:c0:91:37:c7:cd:6e:66:f6:40:f0:77:a1:5d:d2:fa:a4
pubkey: RSA 2048 bits
keyid: 78:93:01:ae:43:76:f1:b3:ed:6a:58:1e:73:23:ae:b1:09:ce:52:b5
subjkey: ff:e1:cb:fc:c0:91:37:c7:cd:6e:66:f6:40:f0:77:a1:5d:d2:fa:a4
10、 為Windows 7安裝客戶端證書
想辦法把客戶端證書文件YIMIDECLIENT.cert.p12復制到Windows 7 客戶端計算機
運行mmc
文件-->添加-->證書-->計算機賬戶
證書安裝完畢!!!!!!!!!!!!!!!!!!!
11、 第一種鏈接--建立使用證書驗證的連接:
12、 第二種鏈接--建立使用證書+密碼驗證的連接:
用戶密碼使用ipsec.secret 中的 admin 密碼 123456
strongswan+freeradius+daloradius+ad域控認證ikev2