2. 程式人生 > >在阿里雲CentOS 7.4 簡單快速搭建Strongswan IKEv2型別 教程模板

在阿里雲CentOS 7.4 簡單快速搭建Strongswan IKEv2型別 教程模板

阿新 發佈:2019-01-06

1、安裝strongswan

yum install strongswan

2、建立證書

strongswan pki --gen --outform pem > ca.key.pem
strongswan pki --self --in ca.key.pem --dn "C=CN, O=one, CN=one t CA" --ca --lifetime 3650 --outform pem > ca.cert.pem

strongswan pki --gen --outform pem > server.key.pem
strongswan pki --pub --in server.key.pem --outform pem > server.pub.pem
strongswan pki --pub --in server.key.pem | strongswan pki --issue --lifetime 3601 --cacert ca.cert.pem --cakey ca.key.pem --dn "C=CN, O=one, CN=one t CA" --san="你的伺服器公網ip" --flag serverAuth --flag ikeIntermediate --outform pem > server.cert.pem

3、安裝證書

cp -r ca.key.pem /etc/strongswan/ipsec.d/private/
cp -r ca.cert.pem /etc/strongswan/ipsec.d/cacerts/
cp -r server.cert.pem /etc/strongswan/ipsec.d/certs/
cp -r server.pub.pem /etc/strongswan/ipsec.d/certs/
cp -r server.key.pem /etc/strongswan/ipsec.d/private/

4、配置VPN

vi /etc/strongswan/ipsec.conf
config setup  
    uniqueids=never #允許多個客戶端使用同一個證書

conn %default  #定義連線項, 命名為 %default 所有連線都會繼承它
    compress = yes #是否啟用壓縮, yes 表示如果支援壓縮會啟用.
    dpdaction = hold #當意外斷開後嘗試的操作, hold, 保持並重連直到超時.
    dpddelay = 30s #意外斷開後嘗試重連時長
    dpdtimeout = 60s #意外斷開後超時時長, 只對 IKEv1 起作用
    inactivity = 300s #閒置時長,超過後斷開連線.
    leftdns = 8.8.8.8,8.8.4.4 #指定服務端與客戶端的dns, 多個用","分隔
    rightdns = 8.8.8.8,8.8.4.4

conn IKEv2-BASE
    leftca = "C=CN, O=one, CN=one t CA" #伺服器端根證書DN名稱,與 --dn 內容一致 
    leftsendcert = always #是否傳送伺服器證書到客戶端
    rightsendcert = never #客戶端不傳送證書

conn IKEv2-EAP  
    keyexchange=ikev2       #預設的金鑰交換演算法, ike 為自動, 優先使用 IKEv2
    left=%any       #伺服器端標識,%any表示任意  
    leftid= 你的伺服器公網ip     #伺服器端ID標識,你的伺服器公網ip  
    leftsubnet=0.0.0.0/0        #伺服器端虛擬ip, 0.0.0.0/0表示通配.  
    leftcert = server.cert.pem     #伺服器端證書  
    leftauth=pubkey     #伺服器校驗方式,使用證書  
    right=%any      #客戶端標識,%any表示任意  
    rightsourceip = 10.1.0.0/16    #客戶端IP地址分配範圍  
    rightauth=eap-mschapv2  #eap-md5#客戶端校驗方式#KEv2 EAP(Username/Password)   
    also=IKEv2-BASE
    eap_identity = %any #指定客戶端eap id
    rekey = no #不自動重置金鑰
    fragmentation = yes #開啟IKE 訊息分片
    auto = add  #當服務啟動時, 應該如何處理這個連線項. add 新增到連線表中.

 

5、修改 dns 配置

vi /etc/strongswan/strongswan.d/charon.conf
charon {
    duplicheck.enable = no #同時連線多個裝置,把冗餘檢查關閉.

    # windows 公用 dns
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4

    #以下是日誌輸出, 生產環境請關閉.
    filelog {
        /var/log/charon.log {
            # add a timestamp prefix
            time_format = %b %e %T
            # prepend connection name, simplifies grepping
            ike_name = yes
            # overwrite existing files
            append = no
            # increase default loglevel for all daemon subsystems
            default = 1
            # flush each line to disk
            flush_line = yes
        }
    }
}
 
vi /etc/strongswan/strongswan.conf
charon {
        load_modular = yes
        duplicheck.enable = no
        compress = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
        dns1 = 8.8.8.8
        nbns1 =8.8.4.4
}
include strongswan.d/*.conf

6、配置使用者和密碼

vi /etc/strongswan/ipsec.secrets
# ipsec.secrets - strongSwan IPsec secrets file
#使用證書驗證時的伺服器端私鑰
#格式 : RSA <private key file> [ <passphrase> | %prompt ]
: RSA server.key.pem

#使用預設加密金鑰, 越長越好
#格式 [ <id selectors> ] : PSK <secret>
oneTT : PSK "oneTT"

#EAP 方式, 格式同 psk 相同 (使用者名稱/密碼 例:oneAA/oneTT)
oneAA : EAP "oneTT"

#XAUTH 方式, 只適用於 IKEv1
#格式 [ <servername> ] <username> : XAUTH "<password>"
oneAA : XAUTH "oneTT"

7、開啟核心轉發

vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding=1

8、配置防火

vi /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <interface name="eth0"/>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="ipsec"/>
  <port protocol="tcp" port="1723"/>
  <port protocol="tcp" port="47"/>
    <port protocol="tcp" port="1701"/>
    <port protocol="tcp" port="22"/>
    <masquerade/>
    <rule family="ipv4">
     <source address="10.1.0.0/16"/>
      <masquerade/>                                                                                                                                                                                    
    </rule>
    <rule family="ipv4">
      <source address="10.1.0.0/16"/>
      <forward-port to-port="4500" protocol="udp" port="4500"/>
    </rule>
    <rule family="ipv4">
      <source address="10.1.0.0/16"/>
     <forward-port to-port="500" protocol="udp" port="500"/>
   </rule>
  <masquerade/>
</zone>

9、開啟 防火牆/strongswan 以及 自動啟動

systemctl enable firewalld
systemctl start firewalld
systemctl enable strongswan
systemctl start strongswan

10、阿里雲開放埠
登入阿里雲管理控制檯- -> 雲伺服器ECS- ->網路和安全- ->安全組- ->新增安全組規則:
授權策略:允許
協議型別:自定義UDP
埠範圍:500/4500
授權型別:地址段訪問
授權物件:0.0.0.0/0
優先順序:100
描述:隨便填

注意!新增完成後必須 重啟 伺服器

 

11、證書安裝及連線,用ftp工具(例:FileZilla)下載 ca.key.pem 證書到本地。
ios證書安裝:將之前建立的 ca.cert.pem 用 ftp 匯出 , 寫郵件以附件的方式發到郵箱, 在ios Safari瀏覽器登入郵箱, 下載附件, 安裝證書。
步驟:設定-->VPN- ->新增VPN配置 
例:型別:IKEv2
      描述:隨便填
      伺服器:你的伺服器公網ip
      遠端ID:你的伺服器公網ip
      本地ID:不用填,空著
      選擇- ->使用者名稱,填寫-使用者名稱-密碼 - ->點選--完成

      回到VPN 介面- ->勾選你在描述裡填寫的內容顯示- ->點選--連線

mac證書安裝:雙擊 ca.cert.pem -->選中你的證書-->顯示簡介-->信任-->始終信任(然後會彈框填寫mac登入密碼)。
步驟:系統編好設定- ->網路- ->左側點選+號- ->介面:VPN - ->VPN型別:IKEv2 - ->服務名稱:隨便填- ->點選 建立。
接下來填寫賬戶密碼地址 例:伺服器地址:你的伺服器公網ip                                                           
                                        遠端ID:你的伺服器公網ip                                                           
                                        本地ID:不用填,空著

                                        點選- -鑑定設定- ->選擇- ->使用者名稱,填寫-使用者名稱-密碼 - ->點選--連線

android:去strongswan官網下載安裝 例:https://download.strongswan.org/Android/strongSwan-1.9.6.apk 
                                                            或:https://download.csdn.net/download/qq_29364417/10482582
                                     或者編譯原始碼:https://github.com/strongswan/strongswan/tree/master/src/frontends/android      
步驟:右上角選項-->CA證書-->再選擇右上角選項-->匯入證書-->找到ca.cert.pem點選即可。
         回到主介面-->新增VPN配置-->例:伺服器地址:你的伺服器公網ip
                                                           VPN型別:IKEv2 EAP(使用者名稱/密碼),填寫使用者名稱和密碼
                                                           CA證書:選擇剛才匯入的ca.cert.pem證書
                                                           點選右上角--儲存

                                                           回到主介面--點選配置連線即可

window 本人沒有測試,具體可以參照:https://blog.csdn.net/wengzilai/article/details/78707134

至此,以上是本人根據網上教程所理解並實際運用的例子!

最後非常感謝 https://blog.csdn.net/wengzilai/article/details/78707134 這位博主的貢獻!

 

相關推薦

阿里CentOS 7.4 簡單快速搭建Strongswan IKEv2型別 教程模板

1、安裝strongswan yum install strongswan 2、建立證書 strongswan pki --gen --outform pem > ca.key.pem strongswan pki --self --in ca.key.pem --dn "C=CN

阿里CentOS 7.4配置ftp服務

阿里雲CentOS 7.4配置ftp服務 1.遠端連線並登入到 Linux 例項。 2.更新yum源 yum -y update(可選) 3.執行以下命令安裝 vsftpd。 yum install -y vsftpd 4. 執行以下命令設定開機自啟動。 systemct

阿里CentOS 7.4下安裝WSTMart開源商城系統

商淘軟體B2B2C(WSTMart)開源商城系統在linux下的安裝,阿里雲Cent 7.4版本安裝命令教程: WSTMart 安裝apache 安裝服務 yum install httpd

阿里CentOS 7.3 裸機搭建 Apache、MySql、PHP、Node環境、並繫結域名

阿里雲CentOS 7.3 裸機搭建 Apache、MySql、PHP、Node境、並繫結域名 最近一直想在阿里雲申請一個伺服器,可以在上面跑一些服務,輸入域名訪問,那種感覺肯定很不一樣。所以就花學生價買了一年,還是挺划算的。 域名備案花了挺長時間,又上傳照片又打電話核實的挺麻煩的,不過

CentOS 7使用yum快速搭建LAMP環境

default load ati ets use server httpd leave pin 1、安裝Apache [root@localhost ~]# yum -y install httpd # 開機自啟動 [root@localhost ~]# chkconfig

阿裏CentOS 7.4 使用Flask建站

forward rem eal font ssi pid 功能 正則表達式 兼容 python web 部署方式為:nginx + gunicorn + supervisor + flask 一、準備工作,先來安裝pip 詳細教程如: 1、首先檢查linux有沒有安裝p

CentOS 7.4 yum方式搭建LNMP環境,部署WordPress博客,並安裝XCache模塊

LNMP wordpress xcache 一、演示環境:IP安裝的程序包版本192.168.1.221nginx(epel源)1.12.2php5.4.16php-fpm(FastCGI進程管理器)php-mysql(PHP連接MySQL時需要用到的驅動)192.168.1.222mariadb

阿里Centos 7部署DJango2.0應用(uwsgi3 +Nginx)

目錄 前言 上傳以及伺服器環境部分 uwsgi部分 nginx部分 靜態檔案 阿里雲端口許可權開啟 前言 先概括下訪問流程: 首先客戶端發起請求,這裡會有TCP的握手,三次握手結束之時,客戶端會帶上http資料給伺服器(請求行,請求頭,請求體),伺服器會接

阿里 Centos 7.2 環境配置 LNMP

首先更新系統軟體 $ yum update   安裝nginx 1.安裝nginx源 $ yum localinstall http://nginx.org/packages/centos/7/noarch/RPMS/n

騰訊 CentOS 7.4 安裝 Mysql

一、前言:CentOS 7 版本將MySQL資料庫軟體從預設的程式列表中移除,用MariaDB代替了,MariaDB資料庫管理系統是MySQL的一個分支,主要由開源社群在維護,採用GPL授權許可。開發這個分支的原因之一是:甲骨文公司收購了MySQL後,有將MySQL閉源的潛在

阿里CentOS 7無外網IP的ECS訪問外網(配置閘道器伺服器)

說明: 1、必須要有一臺機器具有外網IP的ECS。 2、如果不想配置具有外網IP的ECS時,可以購買NAT閘道器,但需要錢,貴。下面會說明NAT閘道器的配置。 3、最後吐槽一下阿里雲VPC閘道器導致不能按照配置普通閘道器一樣配置(參考:https://www.cnblogs.com/EasonJim/p

阿里 Centos 7.2開啟ftp服務用到埠

記錄1 https://www.jianshu.com/p/bf772ffc0c95 阿里雲CentOS7搭建任何網路服務,需要配置相應的安全組規則。 開啟阿里雲端口許可權 阿里雲伺服器埠許可權是由安全組規則控制,所以配置FTP服務,需要開啟伺服器的20/21埠許可權。 由於需要F

騰訊CentOS 7.4 64位安裝Redis並開啟遠端連線

在騰訊雲CentOS 7.4 64位安裝Redis。安全組預設先開放所有埠。使用Xshell+FileZilla操作更方便安裝Redis第一步:下載redis安裝包(具體版本請自行檢視網站)wget http://download.redis.io/releases/redis-4.0

阿里Centos 7 安裝mysql伺服器

  1. 下載mysql源安裝包: wget http://dev.mysql.com/get/mysql57-community-release-el7-8.noarch.rpm 2. 安裝mysql源: yum localinstall mysql57-communit

阿里centos 7 安裝 mysql 8 navicat連線不上問題解決

伺服器上安裝的MySQL服務,一般都會用Navicat做日常資料庫的使用工具。今天在阿里雲上安裝MySQL8,但是Navicat始終連線不上,試了網上很多方法都沒用,以下記錄一些關鍵的地方。1.阿里雲要新增安全規則即使伺服器防火牆已經開放了3306埠,或者關掉了防火牆,還需要

Linux(阿里centos 7)掛載無法硬碟怎麼解決

Linux(阿里雲centos 7)報錯error mounting/dev/vdb5 at/run/media/root/新加捲:filesystem type ntfs not configured in kernel掛載無法硬碟怎麼解決 解決步驟: 1. 需要安裝ntfs-3

阿里(centOS 7)安裝apache

安裝 apache: # yum install httpd httpd-devel  # service httpd start  防火牆中開啟 80 埠:  # firewall-cmd --zone=public --add-port=80/tcp --perman

阿里Centos 7.2 安裝apache踩的坑

./configure --prefix=/usr/local/apache2 Centos安裝 Apache2.4提示 APR not found的解決辦法: 1.下載所需軟體包: 具體步驟如下: 1、:解決apr not foun

Nginx(一)安裝 【阿里 CentOS 7 yum安裝 】

目錄 新增Nginx到YUM源 新增CentOS 7 Nginx yum資源庫,開啟終端,使用以下命令: # sudo rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx

阿里Centos 7.2 安裝Svn

這兩天因為專案需要在Linux系統下安裝SVN,由於很少使用Centos環境,直接百度貼程式碼,但安裝過程中還是遇到不少問題,記錄下來。1.安裝subversion yum install subversion -y使用 -y 命令安裝過程中無需任何操作,直接安裝完成2.檢視