IKE verwaltet die Authentifizierung zwischen zwei kommunizierenden Endpunkten. Außerdem können Endpunkte über Algorithmen verhandeln, die zum Einrichten eines IPsec-Tunnels verwendet werden.
In unserem vorherigen Handbuch haben wir behandelt, wie Sie IPSec VPN mit StrongSwan unter Ubuntu 18.04 installieren und konfigurieren. Siehe den Link unten;
Konfigurieren Sie IPSEC VPN mit StrongSwan auf Ubuntu 18.04
Richten Sie den IPSec-VPN-Server mit Libreswan auf CentOS 8 ein
Es gibt verschiedene VPN-Server-Client-Implementierungen von Libreswan. In diesem Handbuch erfahren wir, wie Sie den IPSec-VPN-Server für die mobilen Clients (Clients mit dynamisch zugewiesenen IPs wie Laptops) einrichten, die hier als road warriors bekannt sind , sodass sie sich von überall aus mit dem lokalen LAN verbinden können. Mobile Clients werden über Zertifikate authentifiziert und verwenden daher das IKEv2-Protokoll.
IKEv2 (Internet Key Exchange Version 2) ist ein VPN-Verschlüsselungsprotokoll, das Anforderungs- und Antwortaktionen verarbeitet. IKE führt eine gegenseitige Authentifizierung zwischen zwei Parteien durch und richtet eine IKE-Sicherheitszuordnung (SA) ein, die gemeinsam genutzte geheime Informationen enthält, die verwendet werden können, um SAs für Encapsulating Security Payload (ESP) oder Authentication Header (AH) und eine Reihe von kryptografischen Algorithmen effizient einzurichten Wird von den SAs verwendet, um den von ihnen übertragenen Datenverkehr zu schützen.
Systemaktualisierung ausführen
Aktualisieren Sie Ihre Systempakete auf dem Server, der als Libreswan-VPN-Server verwendet werden soll.
dnf update
Installieren Sie Libreswan auf CentOS 8
Sobald das Update abgeschlossen ist, installieren Sie Libreswan. Libreswan ist in CentOS 8 AppStream Repos verfügbar und daher können Sie es einfach mit dem Paketmanager wie folgt installieren:
dnf install libreswan
Libreswan ausführen
Sobald die Installation abgeschlossen ist, starten und aktivieren Sie Libreswan ipsec Dienst, der beim Systemstart ausgeführt werden soll.
systemctl enable --now ipsec
Initialisieren Sie die IPSec-NSS-Datenbank
Als nächstes müssen Sie die Network Security Services (NSS)-Datenbank initialisieren. Die NSS-Datenbank wird verwendet, um Authentifizierungsschlüssel und Identitätszertifikate zu speichern.
ipsec initnss
Wenn eine vorherige Datenbank vorhanden ist, können Sie sie entfernen, damit Sie eine neue Datenbank haben. Die NSS-Datenbank wird unter /etc/ipsec.d gespeichert .
Um alte Datenbanken zu entfernen, stoppen Sie IPsec, falls es ausgeführt wird, und entfernen Sie NSS-Datenbanken, indem Sie die folgenden Befehle ausführen:
systemctl stop ipsec
rm -rf /etc/ipsec.d/*db
Anschließend können Sie die NSS-Datenbank neu initialisieren;
ipsec initnss
Starten Sie dann IPSec;
systemctl start ipsec
Öffnen Sie Libreswan-Ports und -Protokolle in der Firewall
Das IKE Protokoll verwendet UDP port 500 und 4500 während IPsec-Protokolle Encapsulated Security Payload (ESP) und Authenticated Header (AH) verwendet protocol number 50 and 51 bzw.
Öffnen Sie daher diese Ports und Protokolle in Ihrer aktiven Firewallzone auf Ihrem VPN (Left Endpoint) Server in diesem Handbuch.
firewall-cmd --get-active-zone
So öffnen Sie die Ports und die Firewall in der standardmäßigen Firewalld-Zone:
firewall-cmd --add-port={4500,500}/udp --permanent firewall-cmd --add-protocol={50,51} --permanent Oder Sie nutzen einfach den IPSec-Dienst;
firewall-cmd --add-service=ipsec --permanent
Laden Sie FirewallD neu
firewall-cmd --reload
Konfigurieren Sie den IPSec-VPN-Server mit Libreswan
Libreswan verwendet nicht das Client-Server-Modell. Es verwendet jedoch die Begriffe left und right um auf Endpunkte zu verweisen, die an einer bestimmten Verbindung beteiligt sind. Die Links/Rechts-Begriffe können willkürlich verwendet werden, um sich auf jedes System zu beziehen, solange Sie bei der Verwendung der Begriffe beim Konfigurieren Ihrer Verbindungen konsistent bleiben.
IP-Weiterleitung aktivieren
Sowohl auf dem VPN server , müssen Sie die IP-Weiterleitung aktivieren.
Führen Sie den folgenden Befehl aus, um zu prüfen, ob die IP-Weiterleitung aktiviert ist:
sysctl net.ipv4.ip_forward
Wenn die Ausgabe net.ipv4.ip_forward = 0 , dann ist die IP-Weiterleitung deaktiviert und Sie müssen sie aktivieren, indem Sie einen der folgenden Befehle ausführen;
Die IP-Weiterleitung kann aktiviert werden, indem Sie einfach die IP-Maskierung auf Firewalld aktivieren.
firewall-cmd --add-masquerade --permanent firewall-cmd --reload
Sie können die IP-Weiterleitung überprüfen;
cat /proc/sys/net/ipv4/ip_forward 1
Ein Wert von 1 bedeutet, dass die IP-Weiterleitung aktiviert ist.
Ähnlich. Sie können die IP-Weiterleitung aktivieren, indem Sie die folgenden Befehle ausführen:
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
Aktualisieren Sie mit der sysctl.conf mit neuer Konfiguration.
sysctl -p
Stellen Sie außerdem sicher, dass Weiterleitungen deaktiviert sind.
less /etc/sysctl.d/50-libreswan.conf
# We disable redirects for XFRM/IPsec net.ipv6.conf.default.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.rp_filter = 0
Generieren Sie VPN-Server- und Client-Zertifikate
Als Nächstes müssen Sie die VPN-Server- und -Client-Zertifikate zur Verwendung bei der Authentifizierung generieren.
Datenbank zur Generierung von Zertifikaten erstellen
Führen Sie den folgenden Befehl aus, um eine Datenbank zu erstellen, die verwendet werden kann, um einen privaten Schlüssel und ein CA-Zertifikat zur Verwendung beim Generieren von Hostzertifikaten zu speichern. Wir werden certutil Befehl zum Generieren der Zertifikate.
mkdir /etc/ipsec.d/certsdb
certutil -N -d sql:/etc/ipsec.d/certsdb
Der Befehl fordert Sie auf, das Passwort zum Verschlüsseln Ihrer Schlüssel einzugeben.
Enter a password which will be used to encrypt your keys. The password should be at least 8 characters long, and should contain at least one non-alphabetic character. Enter new password: StRONgPassw0Rd Re-enter password: StRONgPassw0Rd
CA-Zertifikat generieren
Wir verwenden in diesem Tutorial selbstsignierte Zertifikate und können daher auf diese Weise unser lokales CA-Zertifikat generieren.
certutil -S -x -n "Kifarunix-demo CA" -s "O=Kifarunix-demo,CN=Kifarunix-demo CA" -k rsa -g 4096 -v 12 -d sql:/etc/ipsec.d/certsdb -t "CT,," -2
Siehe man certutil um mehr über die verwendeten Optionen zu erfahren.
Wenn der Befehl ausgeführt wird, werden Sie zunächst aufgefordert, das Kennwort für die oben festgelegten Verschlüsselungsschlüssel einzugeben. Geben Sie das Passwort ein, um fortzufahren.
Als Nächstes müssen Sie einen Zufallsstartwert für die Verwendung beim Erstellen Ihrer Schlüssel generieren, indem Sie beliebige Tasten auf der Tastatur eingeben, bis die Fortschrittsanzeige voll ist. Sobald es voll ist, drücken Sie die Eingabetaste, um fortzufahren.
... Continue typing until the progress meter is full: |************************************************************| Finished. Press enter to continue: ENTER
- Geben Sie als Nächstes y ein um anzugeben, dass dies ein CA-Zertifikat ist, das generiert wird.
- Drücken Sie ENTER für die Pfadlänge
- Geben Sie n ein um anzugeben, dass dies keine kritische Erweiterung ist.
Generating key. This may take a few moments... Is this a CA certificate [y/N]? y Enter the path length constraint, enter to skip [<0 for unlimited path]: > ENTER Is this a critical extension [y/N]? n
Generieren Sie das VPN-Serverzertifikat
Generieren Sie als Nächstes das mit der oben erstellten CA signierte Serverzertifikat und weisen Sie ihm Erweiterungen zu.
certutil -S -c "Kifarunix-demo CA" -n "vpn.kifarunix-demo.com" -s "O=Kifarunix-demo,CN=vpn.kifarunix-demo.com" -k rsa -g 4096 -v 12 -d sql:/etc/ipsec.d/certsdb -t ",," -1 -6 -8 "vpn.kifarunix-demo.com"
Geben Sie auf ähnliche Weise das Kennwort für die Schlüsselverschlüsselung ein, generieren Sie den Seed über die Tastatur und drücken Sie die EINGABETASTE, um fortzufahren.
Definieren Sie den Schlüssel und die Verwendung der Schlüsselerweiterung.
Generating key. This may take a few moments... 0 - Digital Signature 1 - Non-repudiation 2 - Key encipherment 3 - Data encipherment 4 - Key agreement 5 - Cert signing key 6 - CRL signing key Other to finish > 0 0 - Digital Signature 1 - Non-repudiation 2 - Key encipherment 3 - Data encipherment 4 - Key agreement 5 - Cert signing key 6 - CRL signing key Other to finish > 2 0 - Digital Signature 1 - Non-repudiation 2 - Key encipherment 3 - Data encipherment 4 - Key agreement 5 - Cert signing key 6 - CRL signing key Other to finish > 8
Is this a critical extension [y/N]? n 0 - Server Auth 1 - Client Auth 2 - Code Signing 3 - Email Protection 4 - Timestamp 5 - OCSP Responder 6 - Step-up 7 - Microsoft Trust List Signing Other to finish > 0 0 - Server Auth 1 - Client Auth 2 - Code Signing 3 - Email Protection 4 - Timestamp 5 - OCSP Responder 6 - Step-up 7 - Microsoft Trust List Signing Other to finish > 8 Is this a critical extension [y/N]? N
Generieren Sie das VPN-Client-Zertifikat
Führen Sie den folgenden Befehl aus, um ein VPN-Client-Zertifikat zu generieren. Ersetzen Sie den Namen des Zertifikats (hier verwendeter Hostname) durch den Namen des Hosts, für dessen Client-Zertifikat Sie das Zertifikat generieren;
certutil -S -c "Kifarunix-demo CA" -n "janedoe.kifarunix-demo.com" -s "O=Kifarunix-demo,CN=janedoe.kifarunix-demo.com" -k rsa -g 4096 -v 12 -d sql:/etc/ipsec.d/certsdb -t ",," -1 -6 -8 "janedoe.kifarunix-demo.com"
Geben Sie auf ähnliche Weise dieselben Optionen wie oben ein.
Auflisten der verfügbaren Zertifikate in der Datenbank
certutil -L -d sql:/etc/ipsec.d/certsdb
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
Kifarunix-demo CA CTu,u,u
vpn.kifarunix-demo.com u,u,u
janedoe.kifarunix-demo.com u,u,u
johndoe.kifarunix-demo.com u,u,u
Exportieren und importieren Sie das Gateway-Zertifikat in die Pluto-DB.
pk12util -o vpn.kifarunix-demo.com.p12 -n "vpn.kifarunix-demo.com" -d sql:/etc/ipsec.d/certsdb
Sie können das PKCS12-Passwort überspringen.
ls
vpn.kifarunix-demo.com.p12
Importieren Sie nach dem Export das VPN-Serverzertifikat in die DB.
ipsec import vpn.kifarunix-demo.com.p12
Exportieren Sie die Client-Host-Zertifikate, den privaten Schlüssel und das CA-Zertifikat. All dies wird in einer .p12-Datei als angegebene Ausgabedatei im folgenden Befehl gespeichert.
pk12util -o janedoe.kifarunix-demo.com.p12 -n "janedoe.kifarunix-demo.com" -d sql:/etc/ipsec.d/certsdb
Überspringen Sie in ähnlicher Weise das PKCS12-Passwort.
ls
janedoe.kifarunix-demo.com.p12 vpn.kifarunix-demo.com.p12
Wenn Sie Zertifikate für andere Client-Hosts erstellt haben, können Sie diese auch exportieren.
IPsec-VPN-Endpunkt-Konfigurationsdatei erstellen
Erstellen Sie auf Ihrem IPSec-VPN-Host eine Konfigurationsdatei unter /etc/ipsec.d Verzeichnis für Ihre mobilen Clients. /etc/ipsec.conf ist die Standardkonfigurationsdatei für Libreswan und hat eine Anweisung, andere Konfigurationen einzuschließen, die in /etc/ipsec.d definiert sind Verzeichnis.
vim /etc/ipsec.d/mobile-clients.conf
Setzen Sie die folgenden Konfigurationen in die obige Datei.
conn roadwarriors
left=vpn.kifarunix-demo.com
leftsubnet=0.0.0.0/0
leftcert=vpn.kifarunix-demo.com
leftid=%fromcert
leftrsasigkey=%cert
leftsendcert=always
right=%any
rightaddresspool=10.0.8.10-10.0.8.254
rightca=%same
rightrsasigkey=%cert
modecfgdns="8.8.8.8,10.0.8.1"
authby=rsasig
auto=start
dpddelay=60
dpdtimeout=300
dpdaction=clear
mobike=yes
ikev2=insist
fragmentation=yes
type=tunnel
Siehe man ipsec.conf für eine umfassende Beschreibung der oben verwendeten Optionen.
Überprüfen Sie die Konfigurationsdatei auf Fehler;
/usr/libexec/ipsec/addconn --config /etc/ipsec.conf --checkconfig
Wenn kein Fehler vorhanden ist, beenden Sie den Befehl mit dem Status 0.
echo $?
Andernfalls wird jeder Fehler auf der Standardausgabe angezeigt. Beheben Sie die Fehler, bevor Sie fortfahren können.
Aktivieren Sie die IPsec-Protokollierung, indem Sie die Zeile #logfile=/var/log/pluto.log , auf der /etc/ipsec.conf configuration.
config setup
# Normally, pluto logs via syslog.
logfile=/var/log/pluto.log
... IPsec neu starten;
systemctl restart ipsec
Status prüfen;
systemctl status ipsec
Wenn ipsec nicht gestartet werden kann, muss ein Konfigurationssyntaxfehler vorliegen. Führen Sie den folgenden Befehl aus, um den Fehler zu lokalisieren.
journalctl -xe
Deaktivieren Sie rp_filter für Libreswan und laden Sie alle Kernel-Konfigurationen neu.
echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
sysctl --system
IPsec-Konfiguration überprüfen
Um zu bestätigen, dass die IPsec-Konfiguration in Ordnung ist, führen Sie einfach den folgenden Befehl aus:
ipsec verify
Verifying installed system and configuration files
Version check and ipsec on-path [OK]
Libreswan 3.29 (netkey) on 4.18.0-193.6.3.el8_2.x86_64
Checking for IPsec support in kernel [OK]
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects [OK]
ICMP default/accept_redirects [OK]
XFRM larval drop [OK]
Pluto ipsec.conf syntax [OK]
Checking rp_filter [OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for IKE/NAT-T on udp 4500 [OK]
Pluto ipsec.secret syntax [OK]
Checking 'ip' command [OK]
Checking 'iptables' command [OK]
Checking 'prelink' command does not interfere with FIPS [OK]
Checking for obsolete ipsec.conf options [OK]
Kopieren Sie VPN-Client-Zertifikate auf Ihre mobilen Clients
Sie können jetzt die Client-Zertifikate auf Ihre Remote-Clients kopieren und verbinden Sie sich mit dem VPN-Server.
In diesem Tutorial verwenden wir Ubuntu 20.04- und Ubuntu 18.04-Systeme als unsere Remote-Clients.
Wir haben Zertifikate für zwei Hosts generiert, janedoe.kifarunix-demo.com und johndoe.kifarunix-demo.com für Ubuntu 20.04- bzw. Ubuntu 18.04-Client-Hosts.
Konfigurieren des Libreswan-Clients
Installieren Sie auf Ihrem Ubuntu-System das Paket libreswan.
apt update
apt install libreswan
Erstellen Sie die Konfigurationsdatei für die VPN-Verbindung des Libreswan-Clients
vim /etc/ipsec.d/johndoe.conf
Geben Sie den folgenden Inhalt ein:
conn vpn.kifarunix-demo.com left=%defaultroute leftcert=johndoe.kifarunix-demo.com leftid=%fromcert leftrsasigkey=%cert leftsubnet=0.0.0.0/0 leftmodecfgclient=yes right=vpn.kifarunix-demo.com rightsubnet=0.0.0.0/0 [email protected] rightrsasigkey=%cert narrowing=yes ikev2=insist rekey=yes fragmentation=yes mobike=no auto=start
Wenn Sie Hostnamen verwenden, stellen Sie sicher, dass sie auflösbar sind.
Ebenso auf Ihrem zweiten Host;
vim /etc/ipsec.d/janedoe.conf
conn vpn.kifarunix-demo.com left=%defaultroute leftcert=janedoe.kifarunix-demo.com leftid=%fromcert leftrsasigkey=%cert leftsubnet=0.0.0.0/0 leftmodecfgclient=yes right=vpn.kifarunix-demo.com rightsubnet=0.0.0.0/0 [email protected] rightrsasigkey=%cert narrowing=yes ikev2=insist rekey=yes fragmentation=yes mobike=no auto=start
Überprüfen Sie die Konfigurationssyntax;
/usr/lib/ipsec/addconn --config /etc/ipsec.conf --checkconfig
NSS-Datenbank initialisieren;
sudo ipsec checknss
Importieren Sie PKCS#12 X.509-Zertifikatsdateien in die NSS-Datenbank;
sudo ipsec import janedoe.kifarunix-demo.com.p12
Machen Sie dasselbe auf dem anderen Client-Host. Drücken Sie ENTER, um das PCKS12-Passwort zu überspringen.
Enter password for PKCS12 file: ENTER pk12util: PKCS12 IMPORT SUCCESSFUL correcting trust bits for Kifarunix-demo CA
Sie können verfügbare Zertifikate auf dem Client-Host auflisten;
certutil -L -d sql:/var/lib/ipsec/nss
Starten Sie IPsec und aktivieren Sie es für die Ausführung beim Systemstart.
sudo ipsec setup start
Prüfen Sie den Status;
systemctl status ipsec
● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
Loaded: loaded (/lib/systemd/system/ipsec.service; enabled; vendor preset: disabled)
Active: active (running) since Sun 2020-06-21 12:28:02 EAT; 7min ago
Docs: man:ipsec(8)
man:pluto(8)
man:ipsec.conf(5)
Process: 11251 ExecStartPre=/usr/lib/ipsec/addconn --config /etc/ipsec.conf --checkconfig (code=exited, status=0/SUCCESS)
Process: 11266 ExecStartPre=/usr/lib/ipsec/_stackmanager start (code=exited, status=0/SUCCESS)
Process: 11742 ExecStartPre=/usr/sbin/ipsec --checknss (code=exited, status=0/SUCCESS)
Process: 11743 ExecStartPre=/usr/sbin/ipsec --checknflog (code=exited, status=0/SUCCESS)
Main PID: 11757 (pluto)
Status: "Startup completed."
Tasks: 2 (limit: 2319)
Memory: 10.3M
CGroup: /system.slice/ipsec.service
└─11757 /usr/lib/ipsec/pluto --leak-detective --config /etc/ipsec.conf --nofork
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: certificate verified OK: O=Kifarunix-demo,CN=vpn.kifarunix-demo>
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: IKEv2 mode peer ID is ID_DER_ASN1_DN: 'CN=vpn.kifarunix-demo.co>
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: Authenticated using RSA
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: received INTERNAL_IP4_ADDRESS 10.0.8.10
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: received INTERNAL_IP4_DNS 8.8.8.8
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: received INTERNAL_IP4_DNS 10.0.8.1
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: up-client output: updating resolvconf
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: negotiated connection [10.0.8.10-10.0.8.10:0-65535 0] -> [0.0.0>
Jun 21 12:28:02 koromicha pluto[11757]: "vpn.kifarunix-demo.com"[1] 192.168.56.133 #2: STATE_V2_IPSEC_I: IPsec SA established tunnel mode {ESP/NAT=
Überprüfen Sie den Status auf dem anderen Remote-Host.
In der Statusausgabe können Sie die zugewiesene IP-Adresse überprüfen, INTERNAL_IP4_ADDRESS 10.0.8.10 . Auf meinem anderen Client-Host INTERNAL_IP4_ADDRESS 10.0.8.11 .
Laden Sie die Verbindung auf jedem Client-Host;
sudo ipsec auto --add vpn.kifarunix-demo.com
Richten Sie den Tunnel ein, indem Sie die Verbindung auf jedem Host herstellen;
sudo ipsec auto --up vpn.kifarunix-demo.com
Pingen Sie von jedem Host die VPN-zugewiesene IP-Adresse des anderen.
ping 10.0.8.11 -c 4
PING 10.0.8.11 (10.0.8.11) 56(84) bytes of data. 64 bytes from 10.0.8.11: icmp_seq=1 ttl=63 time=2.82 ms 64 bytes from 10.0.8.11: icmp_seq=2 ttl=63 time=2.84 ms 64 bytes from 10.0.8.11: icmp_seq=3 ttl=63 time=3.06 ms 64 bytes from 10.0.8.11: icmp_seq=4 ttl=63 time=2.83 ms --- 10.0.8.11 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3010ms rtt min/avg/max/mdev = 2.820/2.888/3.060/0.099 ms
Auf dem anderen Host;
ping 10.0.8.10 -c 4
PING 10.0.8.10 (10.0.8.10) 56(84) bytes of data. 64 bytes from 10.0.8.10: icmp_seq=1 ttl=63 time=1.63 ms 64 bytes from 10.0.8.10: icmp_seq=2 ttl=63 time=2.38 ms 64 bytes from 10.0.8.10: icmp_seq=3 ttl=63 time=3.18 ms 64 bytes from 10.0.8.10: icmp_seq=4 ttl=63 time=2.86 ms --- 10.0.8.10 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3005ms rtt min/avg/max/mdev = 1.631/2.516/3.187/0.588 ms
Die beiden Remote-Hosts können nun über den IPsec-VPN-Server kommunizieren. Damit sind wir am Ende unseres Tutorials zum Einrichten eines IPSec-VPN-Servers mit Libreswan unter CentOS 8 angelangt.
Weiterführende Literatur/Referenz
Libreswan-Konfigurationsbeispiele
Verwandte Tutorials
Installieren und Einrichten von OpenVPN Server auf Ubuntu 20.04
Konfigurieren Sie die OpenVPN-LDAP-basierte Authentifizierung
Konfigurieren Sie den strongSwan VPN-Client auf Ubuntu 18.04/CentOS 8
Richten Sie IPSEC VPN mit StrongSwan auf Debian 10 ein
Stellen Sie eine Verbindung zu Cisco VPN her, indem Sie die PCF-Datei auf Ubuntu verwenden