您当前的位置:首页 > 学海无涯 > 应用搭建网站首页应用搭建
企业使用strongswan搭建
发布时间:2023-11-01作者:♂逸風★淩軒
一、安装strongswan(centos7有效)
yum install -y strongswan
二、创建SSL
#服务端 strongswan pki --gen --type rsa --outform pem > ca.key.pem strongswan pki --self --in ca.key.pem --dn "C=CN, O=52aiops, CN=v.52aiops.cn" --ca --lifetime 3650 --outform pem > ca.cert.pem strongswan pki --gen --type rsa --size 2048 --outform pem > server.key.pem strongswan pki --pub --type rsa --in server.key.pem --outform pem > server.pub.pem strongswan pki --pub --in server.key.pem | strongswan pki --issue --lifetime 3601 --serial 01 --cacert ca.cert.pem --cakey ca.key.pem --dn "C=CN, O=52aiops, CN=v.52aiops.cn" --san="39.98.186.203" --san="v.52aiops.cn" --san="172.16.100.1" --flag serverAuth --flag ikeIntermediate --outform pem > server.cert.pem #客服端 strongswan pki --gen --outform pem > client.key.pem strongswan pki --pub --in client.key.pem --outform pem > client.pub.pem strongswan pki --issue --lifetime 1200 --cacert ca.cert.pem --cakey ca.key.pem --in client.pub.pem --dn "C=CN, O=52aiops, CN=v.52aiops.cn" --outform pem > client.cert.pem openssl pkcs12 -export -in ca.cert.pem -out ca.p12 -inkey ca.key.pem openssl pkcs12 -export -inkey client.key.pem -in client.cert.pem -name "52aiops Client Cert" -certfile ca.cert.pem -caname "v.52aiops.cn" -out client.cert.p12 \cp -rf ca.key.pem /etc/strongswan/ipsec.d/private/ \cp -rf ca.cert.pem /etc/strongswan/ipsec.d/cacerts/ \cp -rf server.cert.pem /etc/strongswan/ipsec.d/certs/ \cp -rf server.pub.pem /etc/strongswan/ipsec.d/certs/ \cp -rf server.key.pem /etc/strongswan/ipsec.d/private/ \cp -rf client.cert.pem /etc/strongswan/ipsec.d/certs/ \cp -rf client.key.pem /etc/strongswan/ipsec.d/private/
三、配置服务
1、配置strongswan
配置/etc/strongswan/strongswan.conf
charon {
#duplicheck.enable = no
load_modular = yes
compress = yes
dns1 = 223.5.5.5
dns2 = 223.6.6.6
plugins {
include strongswan.d/charon/*.conf
}
filelog {
/var/log/strongvpn {
# add a timestamp prefix
time_format = %b %e %T
# prepend connection name, simplifies grepping
ike_name = yes
# overwrite existing files
append = no
# increase default loglevel for all daemon subsystems
default = 1
# flush each line to disk
flush_line = yes
}
}
}
include strongswan.d/*.conf2、配置Ipsec
配置/etc/strongswan/ipsec.conf
config setup uniqueids=no # 如果同一个用户在不同的设备上重复登录,yes 断开旧连接,创建新连接;no 保持旧连接,并发送通知; never 同 no, 但不发送通知. conn %default compress = yes # 是否启用压缩, yes 表示如果支持压缩会启用 esp = aes256-sha256,aes256-sha1,3des-sha1! # 数据传输协议加密算法列表,对于IKEv2,可以在包含相同类型的多个算法(由-分隔)。 ike = aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048,3des-sha1-modp2048,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! # 密钥交换协议加密算法列表,可以包括多个算法和>协议。 keyexchange = ike # 默认的密钥交换算法, ike 为自动, 优先使用 IKEv2 keyingtries = 1 leftsubnet = 192.168.31.1 # 服务器端虚拟IP,0.0.0.0/0表示通配 rightsourceip=192.168.31.2-192.168.31.10 # 客户端IP地址分配范围 leftdns = 100.100.2.138,100.100.2.136 rightdns = 100.100.2.138,100.100.2.136 #dpdaction = hold # 当意外断开后尝试的操作, hold, 保持并重连直到超时 #dpddelay = 30s # 意外断开后尝试重连时长 #inactivity = 300s # 闲置时长,超过后断开连接 conn ikev2-eap leftca = "C=CN, O=52aiops, CN=v.52aiops.cn" leftcert = server.cert.pem leftsendcert = always rightsendcert = never leftid = v.52aiops.cn left = %any # 服务器端标识,%any表示任意 right = %any #客户端标识,%any表示任意 leftauth = pubkey # 服务器校验方式,使用证书pubkey rightauth = eap-mschapv2 leftfirewall = yes leftsubnet = 0.0.0.0/0 rightsourceip = 192.168.31.0/24 fragmentation = yes rekey = no # 不自动重置密钥 eap_identity=%any # 指定客户端eap id auto = add # 当服务启动时, 应该如何处理这个连接项,add 添加到连接表中
配置/etc/strongswan/ipsec.secrets
: RSA server.key.pem # 使用预设加密密钥, 越长越好 # 格式 [ <id selectors> ] : PSK <secret> #EAP 方式, 格式同 psk 相同 账号 %any : EAP "密码"
四、启动服务
service strongswan start chkconfig strongswan on
五、windows使用strongswan
1、安装client.cert.p12
2、配置IKE2链接
关键字词:strongswan
上一篇:企业使用OpenVpn搭建
相关文章
-
无相关信息