Debian 10 BusterにstrongSwanVPNサーバーをインストールしてセットアップする方法については、以下のリンクをたどってください。
Debian10でStrongSwanを使用してIPSECVPNをセットアップする
strongSwan VPNサーバーのセットアップが完了したら、VPNサーバーを介したIP割り当てとローカル接続のテストに進むことができます。
このデモでは、テスト用のstrongSwanVPNクライアントとしてUbuntu18.04とCentOS8を使用しています。
Ubuntu 18.04 /CentOS8でstrongSwanVPNクライアントを構成する
Ubuntu18.04にstrongSwanをインストールする
strongSwanおよび追加のプラグインは、以下のコマンドを実行してUbuntu18.04にインストールできます;
apt update
apt install strongswan libcharon-extra-plugins
CentOS8にstrongSwanをインストールする
strongSwanパッケージは、CentOS8および同様の派生物のEPELリポジトリによって提供されます。したがって、EPELリポジトリをインストールすることから始めます;
dnf install epel-release
dnf update
dnf install strongswan strongswan-charon-nm
クライアントにstrongSwanVPNサーバーCA証明書をインストールする
上記で生成されたstrongSwanCA証明書をコピーします 、/etc/ipsec.d/cacerts/vpn_ca_cert.pem クライアントサーバーに;
-
/etc/ipsec.d/cacerts/に配置します Ubuntu18.04のディレクトリ -
/etc/strongswan/ipsec.d/cacertsに配置します CentOS8のディレクトリ。
Ubuntu 18.04 /CentOS8でstrongSwanVPNクライアントを構成する
Ubuntu18.04の場合;
/etc/ipsec.confを更新します strongSwanVPNサーバーへの接続方法を定義する構成ファイル。以下の構成ファイルを参照してください;
vim /etc/ipsec.conf
conn ipsec-ikev2-vpn-client
auto=start
right=vpnsvr.kifarunix-demo.com
rightid=vpnsvr.kifarunix-demo.com
rightsubnet=0.0.0.0/0
rightauth=pubkey
leftsourceip=%config
leftid=vpnsecure
leftauth=eap-mschapv2
eap_identity=%identity 認証シークレットを設定する
vim /etc/ipsec.secrets
... # user id : EAP secret vpnsecure : EAP "[email protected]" # this file is managed with debconf and will contain the automatically created private key include /var/lib/strongswan/ipsec.secrets.inc
設定ファイルを保存してstrongswanを再起動します。
systemctl restart strongswan
システムブートでのstrongSwanの実行を無効にします;
systemctl disable strongswan
ステータスを確認します;
ipsec statusall
Security Associations (1 up, 0 connecting):
ipsec-ikev2-vpn-client[1]: ESTABLISHED 1 minutes ago, 10.0.2.15[vpnsecure]...192.168.56.174[vpnsvr.kifarunix-demo.com]
ipsec-ikev2-vpn-client{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cc36db97_i cb5ceb5b_o
ipsec-ikev2-vpn-client{1}: 172.16.7.1/32 === 0.0.0.0/0CentOS8の場合;
/etc/strongswan/ipsec.confを更新します strongSwanVPNサーバーへの接続方法を定義する構成ファイル。
vim /etc/strongswan/ipsec.conf
conn ipsec-ikev2-vpn-client
auto=start
right=vpnsvr.kifarunix-demo.com
rightid=vpnsvr.kifarunix-demo.com
rightsubnet=0.0.0.0/0
rightauth=pubkey
leftsourceip=%config
leftid=koromicha
leftauth=eap-mschapv2
eap_identity=%identity
次に、/etc/strongswan/ipsec.secretsを開きます サーバーで定義されているとおりに、構成ファイルとEAP認証の詳細を設定します。
vim /etc/strongswan/ipsec.secrets
# user id : EAP secret koromicha : EAP "mypassword"
strongswanを再起動します。
systemctl restart strongswan
システムブートでのstrongSwanの実行を無効にします;
systemctl disable strongswan
VPN接続ステータスを確認します
strongswan statusall
Security Associations (1 up, 0 connecting):
ipsec-ikev2-vpn-client[1]: ESTABLISHED 2 minutes ago, 10.0.2.15[vpnsecure]...192.168.56.174[vpnsvr.kifarunix-demo.com]
ipsec-ikev2-vpn-client{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c573b6a1_i cd8306eb_o
ipsec-ikev2-vpn-client{1}: 172.16.7.2/32 === 0.0.0.0/0strongSwanVPNサーバー上 、ステータスを確認します。
このデモでは、strongSwanVPNサーバーがDebian10Busterで実行されています。したがって、以下に示すようにステータスを確認できます。
ipsec status
Security Associations (2 up, 0 connecting):
ipsec-ikev2-vpn[4]: ESTABLISHED 18 seconds ago, 192.168.56.174[vpnsvr.kifarunix-demo.com]…192.168.56.1[koromicha]
ipsec-ikev2-vpn{4}: INSTALLED, TUNNEL, reqid 4, ESP in UDP SPIs: c4e5f1c2_i c8e1a02f_o
ipsec-ikev2-vpn{4}: 0.0.0.0/0 === 172.16.7.2/32
ipsec-ikev2-vpn[3]: ESTABLISHED 21 seconds ago, 192.168.56.174[vpnsvr.kifarunix-demo.com]…192.168.56.1[vpnsecure]
ipsec-ikev2-vpn{3}: INSTALLED, TUNNEL, reqid 3, ESP in UDP SPIs: c7a4ee1d_i c558073b_o
ipsec-ikev2-vpn{3}: 0.0.0.0/0 === 172.16.7.1/32 VPNクライアント接続のテスト
これで、2つのクライアントに個別のアドレスが割り当てられました。
- Ubuntu 18.04: 172.16.7.1
- CentOS 8: 172.16.7.2
接続をテストするには、pingテストを実行するだけです。
Ubuntu 18.04から、CentOS8にpingを実行します;
ping 172.16.7.2
PING 172.16.7.2 (172.16.7.2) 56(84) bytes of data.
64 bytes from 172.16.7.2: icmp_seq=1 ttl=64 time=3.18 ms
64 bytes from 172.16.7.2: icmp_seq=2 ttl=64 time=4.15 ms
64 bytes from 172.16.7.2: icmp_seq=3 ttl=64 time=3.47 ms
64 bytes from 172.16.7.2: icmp_seq=4 ttl=64 time=3.61 ms
--- 172.16.7.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 10ms
rtt min/avg/max/mdev = 3.176/3.602/4.154/0.360 msCentOS 8から、Ubuntu18.04にpingを実行します。
ping 172.16.7.1
PING 172.16.7.1 (172.16.7.1) 56(84) bytes of data.
64 bytes from 172.16.7.1: icmp_seq=1 ttl=64 time=3.24 ms
64 bytes from 172.16.7.1: icmp_seq=2 ttl=64 time=4.37 ms
64 bytes from 172.16.7.1: icmp_seq=3 ttl=64 time=4.08 ms
64 bytes from 172.16.7.1: icmp_seq=4 ttl=64 time=3.43 ms
--- 172.16.7.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 9ms
rtt min/avg/max/mdev = 3.237/3.780/4.371/0.462 ms両側をSSHで接続してみてください;
ssh [email protected]
The authenticity of host '172.16.7.2 (172.16.7.2)' can't be established.
ECDSA key fingerprint is SHA256:wKoh/MWvCicV6cEe6jY19AkcBgk1lyjZorQt3aqflJM.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.7.2' (ECDSA) to the list of known hosts.
[email protected]'s password:
[[email protected] ~]$ssh [email protected]
The authenticity of host '172.16.7.1 (172.16.7.1)' can't be established.
ECDSA key fingerprint is SHA256:v20whQz4a4zpTJQfny/CGG56fRnP3Dpx8g5CkeCtFpo.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.7.1' (ECDSA) to the list of known hosts.
[email protected]'s password:
Linux debian 4.19.0-8-amd64 #1 SMP Debian 4.19.98-1 (2020-01-26) x86_64
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Wed Feb 26 00:54:04 2020 from 172.16.7.2
[email protected]:~$これで、Ubuntu 18.04 /CentOS8でstrongSwanVPNクライアントを構成する方法に関するガイドは終わりです。
関連チュートリアル
UbuntuでPCFファイルを使用してCiscoVPNに接続する
Ubuntu18.04でStrongSwanを使用してIPSECVPNを構成する
Fedora 29 /CentOS7にOpenVPNサーバーをインストールしてセットアップする
CentOS8にCiscoAnyConnectクライアントをインストールします