1. 程式人生 > >strongswan+freeradius+daloradius+ad域控認證ikev2

strongswan+freeradius+daloradius+ad域控認證ikev2

req chap redirect 分享圖片 .org 就是 ip地址 同時 密碼驗證

Centos7 strongswan安裝配置支持Windows7 eap-machapv2模式

實驗時間:2018年8月2日-2018年8月3日

環境:
服務器:Centos7
IP地址131.107.0.100
strongswan-5.6.3

客戶端:Windows7
自帶客戶端 epa-mschapv2模式 、 mschapv2模式

1、 CentOS 7 最小安裝
安裝vim
yum install -y vim

2、 設置IP地址
cd /etc/sysconfig/networks-scripts

vi ifcfg-ens34

BOOTPROTO=static
ONBOOT=yes
IPADDR=131.107.0.100

NETMASK=255.255.255.0
GATEWAY=131.107.0.1
DNS1=131.107.0.1

reboot

3、 安裝完後升級系統

yum -y upgrade

升級所有包,不改變軟件設置和系統設置,系統版本升級,內核不改變

yum -y update

升級所有包,改變軟件設置和系統設置,系統版本內核都升級
4、 關閉selinux

vim /etc/sysconfig/selinux

SELINUX=disabled

reboot

sestatus

SELinux status: disabled

5、 安裝strongswan

yum -y install epel-release

yum -y install strongswan

strongswan的配置文件在/etc/strongswan/

查看版本

strongswan version

Linux strongSwan U5.6.3/K3.10.0-862.9.1.el7.x86_64
Institute for Internet Technologies and Applications
University of Applied Sciences Rapperswil, Switzerland
See ‘strongswan --copyright‘ for copyright information.

6、 制作證書

(1)strongswan官方對Windows 7 客戶端對證書的要求的說明:

鏈接:https://wiki.strongswan.org/projects/strongswan/wiki/Win7CertReq

關於ipsec pki 的官方說明看下面的鏈接:

https://wiki.strongswan.org/projects/strongswan/wiki/IpsecPKI

(2)建一個目錄保存要生成的證書,在哪建都行:

mkdir /etc/strongswan/ca

cd /etc/strongswan/ca

(3)生成一個私鑰用作CA根證書的私鑰,文件名為YIMIDECA.key.pem,文件名可以自己隨便改。

strongswan pki --gen -- outform pem > YIMIDECA.key.pem
(4)自簽名形式生成CA根證書

strongswan pki --self --in YIMIDECA.key.pem --dn "C=CN, O=YIMIDEZUZHI, CN=YIMIDE CA" --ca --lifetime 3650 --outform pem > YIMIDECA.cert.pem

C=CN 國家代碼,我沒試亂填會怎樣,老實填CN 跟其他證書的C要一致
O=YIMIDEZUZHI 組織代碼,自己隨便填的,1米的組織 跟其他證書的O要一致
CN=YIMIDE CA 自己隨便填。

(5)生成一個私鑰用作strongswan服務器的私鑰,文件名為YIMIDESERVER.key.pem

strongswan pki --gen -- outform pem > YIMIDESERVER.key.pem
從這個私鑰文件YIMIDESERVER.key.pem中提取公鑰,文件名為YIMIDESERVER.pub.pem

strongswan pki --pub --in YIMIDESERVER.key.pem --outform pem > YIMIDESERVER.pub.pem

用提取的公鑰文件YIMIDESERVER.pub.pem和剛才生成的CA證書YIMIDECA.cert.pem簽發一個服務器證書,文件名為YIMIDESERVER.cert.pem

strongswan pki --issue --lifetime 1200 --cacert YIMIDECA.cert.pem --cakey YIMIDECA.key.pem --in YIMIDESERVER.pub.pem --dn "C=CN, O=YIMIDEZUZHI, CN= strongswan.test.com" --san "dns:131.107.0.10" --san "strongswan.test.com" --san "mystrongswan.test.com" --flag serverAuth --flag ikeIntermediate --outform pem > YIMIDESERVER.cert.pem

C=CN 國家代碼,我沒試亂填會怎樣,老實填CN 跟其他證書的C要一致

O=YIMIDEZUZHI 組織代碼,自己隨便填的,一米的組織 跟其他證書的O要一致

CN=strongswan.test.com 這個填strongswan服務器的域名

--san "dns:131.107.0.10" 這個填strongswan服務器的ip地址

--san --flag 的設置還是看這個:

strongswan官方對Windows 7 客戶端對證書的要求的說明:

鏈接:https://wiki.strongswan.org/projects/strongswan/wiki/Win7CertReq

(6)生成一個私鑰用作客戶端的私鑰,文件名為YIMIDECLIENT.key.pem

strongswan pki --gen --outform pem > YIMIDECLIENT.key.pem

從這個私鑰文件YIMIDECLIENT.key.pem中提取公鑰,文件名為YIMIDECLIENT.pub.pem

strongswan pki --pub --in YIMIDECLIENT.key.pem --outform pem > YIMIDECLIENT.pub.pem

用提取的公鑰文件YIMIDECLIENT.pub.pem和剛才生成的CA證書YIMIDECA.cert.pem簽發一個服務器證書,文件名為YIMIDECLIENT.cert.pem

strongswan pki --issue --lifetime 1200 --cacert YIMIDECA.cert.pem --cakey YIMIDECA.key.pem --in YIMIDECLIENT.pub.pem --dn "C=CN, O=YIMIDEZUZHI, CN=YIMIDECLIENT" --outform pem > YIMIDECLIENT.cert.pem

C=CN 國家代碼,我沒試亂填會怎樣,老實填CN 跟其他證書的C要一致
O=YIMIDEZUZHI 組織代碼,自己隨便填的,一米的組織 跟其他證書的O要一致
CN=YIMIDECLIENT 這個自己起名。

生成一個pkcs12格式的證書,把證書導入到客戶端時使用。

openssl pkcs12 -export -inkey YIMIDECLIENT.key.pem -in YIMIDECLIENT.cert.pem -name "YIMIDECLIENT" -certfile YIMIDECA.cert.pem -caname "YIMIDE CA" -out YIMIDECLIENT.cert.p12

這條命令會要求輸入兩次證書密碼,用於導入計算機時填入。

證書制作完畢!!!!!!!!!!

現在這個文件夾有9個文件:

YIMIDECA.key.pem

YIMIDECA.cert.pem

YIMIDESERVER.key.pem

YIMIDESERVER.pub.pem

YIMIDESERVER.cert.pem

YIMIDECLIENT.key.pem

YIMIDECLIENT.pub.pem

YIMIDECLIENT.cert.pem

YIMIDECLIENT.cert.p12

為strongswan服務器安裝證書,就是將證書復制到規定的目錄

cp -r YIMIDECA.cert.pem /etc/strongswan/ipsec.d/cacerts/
cp -r YIMIDESERVER.cert.pem /etc/strongswan/ipsec.d/certs/
cp -r YIMIDECLIENT.cert.pem /etc/strongswan/ipsec.d/certs/
cp -r YIMIDECA.key.pem /etc/strongswan/ipsec.d/private/
cp -r YIMIDESERVER.key.pem /etc/strongswan/ipsec.d/private/
cp -r YIMIDECLIENT.key.pem /etc/strongswan/ipsec.d/private/

7、 編輯strongswan配置文件

(1)vim /etc/strongswan/ipsec.conf

config setup
uniqueids=never #關閉ID唯一性,即允許多個客戶端使用同一個證書,多設備同時在線

conn %default #默認配置項,其他conn配置項都會調用此默認項
left=%any #left表示local,即本地端(服務器端)IP地址;%any是魔數字,表示任意地址
leftsubnet=0.0.0.0/0 #本地端網絡,0.0.0.0/0為通配,表示所有IP網段
right=%any #right表示remote,即遠程端(客戶端)IP地址可為任意地址
rightsourceip=131.107.0.0/24 #分配給遠程端的虛擬IP地址段,盡量避免使用常用私網地址段以免沖突
dpdaction=clear #dpd表示Dead Peer Detection,對端失效檢測,clear表示對端失效時關閉連接

ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1!

conn IKEv1-CERT-XAUTH #供老版本IOS使用。IKEv1,使用證書和XAUTH驗證
keyexchange=ikev1 #密鑰交換使用IKEv1
fragmentation=yes #允許分片
leftauth=pubkey #本地端使用公鑰驗證
leftcert= YIMIDESERVER.cert.pem #指定本地端證書
rightauth=pubkey #遠程端使用公鑰驗證
rightauth2=xauth #遠程端使用用戶賬號驗證
rightcert=YIMIDECLIENT.cert.pem #指定遠程端證書
auto=add #auto定義strongSwan服務啟動時該連接的行為,add是添加連接類型但不啟動

conn IKEv1-PSK-XAUTH #供IOS, Android使用。IKEv1,使用預共享密鑰和XAUTH驗證
keyexchange=ikev1 #密鑰交換使用IKEv1
leftauth=psk #本地端使用預共享密鑰驗證
rightauth=psk #遠程端使用預共享密鑰驗證
rightauth2=xauth #遠程端使用用戶賬號驗證
auto=add #strongSwan啟動時添加連接類型但不啟動

conn IKEv2-CERT #供Windows 7+, Linux使用。IKEv2,使用證書驗證
keyexchange=ikev2 #密鑰交換使用IKEv2
leftauth=pubkey #本地端使用公鑰驗證
leftcert= YIMIDESERVER.cert.pem #指定本地端證書
rightauth=pubkey #遠程端使用公鑰驗證
rightcert= YIMIDECLIENT.cert.pem #指定遠程端證書
auto=add #strongSwan啟動時添加連接類型但不啟動

conn IKEv2-EAP #供Windows 7+, IOS9+使用。IKEv2,EAP驗證
keyexchange=ikev2 #密鑰交換使用IKEv2
ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024! #第一階段加密方式
esp=aes256-sha256,3des-sha1,aes256-sha1! #ESP的順序與IKE一致
rekey=no #本地端對Windows遠程端發出rekey請求會斷開連接,所以需配置為no
leftauth=pubkey #本地端使用公鑰驗證
leftcert=YIMIDESERVER.cert.pem #指定本地端證書
leftsendcert=always #本地端總是發送證書
[email protected] #本地端標識,使用本地端公網IP地址作為標識,和生成服務器證書時的--san參數對應
rightauth=eap-mschapv2 #遠程端使用eap-mschapv2驗證
rightsendcert=never #不要求遠程端發送證書
rightsourceip=%dhcp
eap_identity=%any #指定EAP驗證身份,任意賬戶
fragmentation=yes #允許分片
auto=add #strongSwan啟動時添加連接類型但不啟動

vim /etc/strongswan/strongswan.conf

charon{
filelog {
/var/log/strongswan.charon.log {
time_format = %b %e %T
default = 2
append = no
flush_line = yes
}
}

load_modular = yes

duplicheck.enble = no

compress = yes

plugins {
include strongswan.d/charon/*.conf
}

dns1 = 131.107.0.1

dns2 = 131.107.0.2

nbns1 = 131.107.0.1

nbns2 = 131.107.0.2

}

include strongswan.d/.conf

vim /etc/strongswan/ipsec.secrets

: RSA YIMIDESERVER.key.pem
: PSK "123456"
: XAUTH "123456"
admin : EAP "123456"

8、 防火墻配置

打開防火墻端口

firewall-cmd --permanent --add-port=500/udp
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --reload

允許esp ah 協議

firewall-cmd --permanent --add-rich-rule=‘rule protocol value="esp" accept‘
firewall-cmd --permanent --add-rich-rule=‘rule protocol value="ah" accept‘
firewall-cmd --reload

開啟內核轉發

編輯 /etc/systcl.conf
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

#啟用ip偽裝

firewall-cmd --add-masquerade --permanent
firewall-cmd --reload

reboot

9、 啟動服務

systemctl enable strongswan
systemctl start strongswan
systemctl status strongswan

查看加載的CA證書
strongswan listcacerts
顯示:

List of X.509 CA Certificates
subject: "C=CN, O=YIMIDEZUZHI, CN=YIMIDE CA"
issuer: "C=CN, O=YIMIDEZUZHI, CN=YIMIDE CA"
validity: not before Jul 24 16:05:12 2018, ok
not after Jul 21 16:05:12 2028, ok (expires in 3649 days)
serial: 07:f8:c4:ad:18:64:7d:4c
flags: CA CRLSign self-signed
subjkeyId: ff:e1:cb:fc:c0:91:37:c7:cd:6e:66:f6:40:f0:77:a1:5d:d2:fa:a4
pubkey: RSA 2048 bits
keyid: 78:93:01:ae:43:76:f1:b3:ed:6a:58:1e:73:23:ae:b1:09:ce:52:b5
subjkey: ff:e1:cb:fc:c0:91:37:c7:cd:6e:66:f6:40:f0:77:a1:5d:d2:fa:a4

10、 為Windows 7安裝客戶端證書

想辦法把客戶端證書文件YIMIDECLIENT.cert.p12復制到Windows 7 客戶端計算機

運行mmc

文件-->添加-->證書-->計算機賬戶

技術分享圖片

技術分享圖片
技術分享圖片

技術分享圖片

技術分享圖片

技術分享圖片
證書安裝完畢!!!!!!!!!!!!!!!!!!!

11、 第一種鏈接--建立使用證書驗證的連接:
技術分享圖片
技術分享圖片
12、 第二種鏈接--建立使用證書+密碼驗證的連接:

技術分享圖片

用戶密碼使用ipsec.secret 中的 admin 密碼 123456

技術分享圖片

strongswan+freeradius+daloradius+ad域控認證ikev2