Konfigurieren Sie den strongSwan VPN-Client auf Ubuntu 18.04/CentOS 8

Folgen Sie diesem Tutorial, um zu erfahren, wie Sie den strongSwan-VPN-Client unter Ubuntu 18.04/CentOS 8 konfigurieren. Unser vorheriges Tutorial lieferte eine Schritt-für-Schritt-Anleitung zur Einrichtung des strongSwan-VPN-Servers unter Debian 10 Buster.

Folgen Sie dem Link unten, um zu erfahren, wie Sie den strongSwan VPN-Server auf Debian 10 Buster installieren und einrichten.

Richten Sie IPSEC VPN mit StrongSwan auf Debian 10 ein

Sobald Sie den strongSwan-VPN-Server eingerichtet haben, können Sie nun die IP-Zuweisung und die lokale Verbindung über den VPN-Server testen.

In dieser Demo verwenden wir Ubuntu 18.04 und CentOS 8 als unsere StrongSwan-VPN-Testclients.

Konfigurieren Sie den StrongSwan-VPN-Client auf Ubuntu 18.04/CentOS 8

Installieren Sie strongSwan auf Ubuntu 18.04

strongSwan und zusätzliche Plugins können auf Ubuntu 18.04 installiert werden, indem Sie den folgenden Befehl ausführen:

apt update

apt install strongswan libcharon-extra-plugins

StrongSwan auf CentOS 8 installieren

strongSwan-Pakete werden von den EPEL-Repos auf CentOS 8 und ähnlichen Derivaten bereitgestellt. Beginnen Sie daher mit der Installation von EPEL-Repos;

dnf install epel-release

dnf update

dnf install strongswan strongswan-charon-nm

Installieren Sie das CA-Zertifikat von strongSwan VPN Server auf dem Client

Kopieren Sie das oben generierte strongSwan-CA-Zertifikat , /etc/ipsec.d/cacerts/vpn_ca_cert.pem zu den Client-Servern und;

• Platzieren Sie es auf /etc/ipsec.d/cacerts/ Verzeichnis auf Ubuntu 18.04
• Platzieren Sie es auf /etc/strongswan/ipsec.d/cacerts Verzeichnis unter CentOS 8.

StrongSwan-VPN-Client auf Ubuntu 18.04/CentOS 8 konfigurieren

Unter Ubuntu 18.04;

Aktualisieren Sie die /etc/ipsec.conf Konfigurationsdatei, um zu definieren, wie eine Verbindung zum strongSwan-VPN-Server hergestellt wird. Siehe die folgende Konfigurationsdatei:

vim /etc/ipsec.conf

conn ipsec-ikev2-vpn-client
    auto=start
    right=vpnsvr.kifarunix-demo.com
    rightid=vpnsvr.kifarunix-demo.com
    rightsubnet=0.0.0.0/0
    rightauth=pubkey
    leftsourceip=%config
    leftid=vpnsecure
    leftauth=eap-mschapv2
    eap_identity=%identity

Authentifizierungsgeheimnisse einrichten

vim /etc/ipsec.secrets

...
# user id : EAP secret
vpnsecure : EAP "[email protected]"

# this file is managed with debconf and will contain the automatically created private key
include /var/lib/strongswan/ipsec.secrets.inc

Speichern Sie die Konfigurationsdatei und starten Sie Strongswan neu.

systemctl restart strongswan

Deaktivieren Sie die Ausführung von strongSwan beim Systemstart;

systemctl disable strongswan

Überprüfen Sie den Status;

ipsec statusall

Security Associations (1 up, 0 connecting):
ipsec-ikev2-vpn-client[1]: ESTABLISHED 1 minutes ago, 10.0.2.15[vpnsecure]...192.168.56.174[vpnsvr.kifarunix-demo.com]
ipsec-ikev2-vpn-client{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cc36db97_i cb5ceb5b_o
ipsec-ikev2-vpn-client{1}:   172.16.7.1/32 === 0.0.0.0/0

Auf CentOS 8;

Aktualisieren Sie die /etc/strongswan/ipsec.conf Konfigurationsdatei, um zu definieren, wie eine Verbindung zum strongSwan-VPN-Server hergestellt wird.

vim /etc/strongswan/ipsec.conf

conn ipsec-ikev2-vpn-client
    auto=start
    right=vpnsvr.kifarunix-demo.com
    rightid=vpnsvr.kifarunix-demo.com
    rightsubnet=0.0.0.0/0
    rightauth=pubkey
    leftsourceip=%config
    leftid=koromicha
    leftauth=eap-mschapv2
    eap_identity=%identity

Als nächstes öffnen Sie /etc/strongswan/ipsec.secrets Konfigurationsdatei und richten Sie die EAP-Authentifizierungsdetails so ein, wie sie auf dem Server definiert sind.

vim /etc/strongswan/ipsec.secrets

# user id : EAP secret
koromicha : EAP "mypassword"

Starten Sie Strongswan neu.

systemctl restart strongswan

Deaktivieren Sie die Ausführung von strongSwan beim Systemstart;

systemctl disable strongswan

Überprüfen Sie den VPN-Verbindungsstatus

strongswan statusall

Security Associations (1 up, 0 connecting):
ipsec-ikev2-vpn-client[1]: ESTABLISHED 2 minutes ago, 10.0.2.15[vpnsecure]...192.168.56.174[vpnsvr.kifarunix-demo.com]
ipsec-ikev2-vpn-client{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c573b6a1_i cd8306eb_o
ipsec-ikev2-vpn-client{1}:   172.16.7.2/32 === 0.0.0.0/0

Auf dem strongSwan VPN-Server , überprüfen Sie den Status;

In dieser Demo läuft unser strongSwan-VPN-Server auf Debian 10 Buster. Daher können Sie den Status wie unten gezeigt überprüfen:

ipsec status

Security Associations (2 up, 0 connecting):
 ipsec-ikev2-vpn[4]: ESTABLISHED 18 seconds ago, 192.168.56.174[vpnsvr.kifarunix-demo.com]…192.168.56.1[koromicha]
 ipsec-ikev2-vpn{4}:  INSTALLED, TUNNEL, reqid 4, ESP in UDP SPIs: c4e5f1c2_i c8e1a02f_o
 ipsec-ikev2-vpn{4}:   0.0.0.0/0 === 172.16.7.2/32
 ipsec-ikev2-vpn[3]: ESTABLISHED 21 seconds ago, 192.168.56.174[vpnsvr.kifarunix-demo.com]…192.168.56.1[vpnsecure]
 ipsec-ikev2-vpn{3}:  INSTALLED, TUNNEL, reqid 3, ESP in UDP SPIs: c7a4ee1d_i c558073b_o
 ipsec-ikev2-vpn{3}:   0.0.0.0/0 === 172.16.7.1/32

VPN-Client-Verbindung testen

Nun, da wir zwei Clients ihre individuellen Adressen zugewiesen haben;

• Ubuntu 18.04:172.16.7.1
• CentOS 8:172.16.7.2

Um die Verbindung zu testen, können Sie einfach den Ping-Test ausführen.

Ping ab Ubuntu 18.04 CentOS 8;

ping 172.16.7.2

PING 172.16.7.2 (172.16.7.2) 56(84) bytes of data.
64 bytes from 172.16.7.2: icmp_seq=1 ttl=64 time=3.18 ms
64 bytes from 172.16.7.2: icmp_seq=2 ttl=64 time=4.15 ms
64 bytes from 172.16.7.2: icmp_seq=3 ttl=64 time=3.47 ms
64 bytes from 172.16.7.2: icmp_seq=4 ttl=64 time=3.61 ms

--- 172.16.7.2 ping statistics --- 
4 packets transmitted, 4 received, 0% packet loss, time 10ms
rtt min/avg/max/mdev = 3.176/3.602/4.154/0.360 ms

Pingen Sie von CentOS 8 aus Ubuntu 18.04.

ping 172.16.7.1

PING 172.16.7.1 (172.16.7.1) 56(84) bytes of data.
64 bytes from 172.16.7.1: icmp_seq=1 ttl=64 time=3.24 ms
64 bytes from 172.16.7.1: icmp_seq=2 ttl=64 time=4.37 ms
64 bytes from 172.16.7.1: icmp_seq=3 ttl=64 time=4.08 ms
64 bytes from 172.16.7.1: icmp_seq=4 ttl=64 time=3.43 ms

--- 172.16.7.1 ping statistics --- 
4 packets transmitted, 4 received, 0% packet loss, time 9ms
rtt min/avg/max/mdev = 3.237/3.780/4.371/0.462 ms

Versuchen Sie, beide Seiten per SSH zu verbinden;

ssh [email protected]

The authenticity of host '172.16.7.2 (172.16.7.2)' can't be established.
ECDSA key fingerprint is SHA256:wKoh/MWvCicV6cEe6jY19AkcBgk1lyjZorQt3aqflJM.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.7.2' (ECDSA) to the list of known hosts.
[email protected]'s password: 
[[email protected] ~]$

ssh [email protected]

The authenticity of host '172.16.7.1 (172.16.7.1)' can't be established.
ECDSA key fingerprint is SHA256:v20whQz4a4zpTJQfny/CGG56fRnP3Dpx8g5CkeCtFpo.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.7.1' (ECDSA) to the list of known hosts.
[email protected]'s password: 
Linux debian 4.19.0-8-amd64 #1 SMP Debian 4.19.98-1 (2020-01-26) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Wed Feb 26 00:54:04 2020 from 172.16.7.2
[email protected]:~$

Damit endet unser Leitfaden zur Konfiguration des strongSwan VPN-Clients unter Ubuntu 18.04/CentOS 8.

Verwandte Tutorials

Stellen Sie eine Verbindung zu Cisco VPN her, indem Sie die PCF-Datei auf Ubuntu verwenden

Konfigurieren Sie IPSEC VPN mit StrongSwan auf Ubuntu 18.04

Installation und Einrichtung des OpenVPN-Servers auf Fedora 29/CentOS 7

Installieren Sie den Cisco AnyConnect-Client auf CentOS 8