第五节:Centos7配置strongswan
更新日期:2018年4月23日
本节主要内容为:在Centos7上安装strongswan( VPN服务器软件)、strongswan生成证、strongswan配置文件修改、strongswan对接freeradius
通过源码安装与配置strongswan
说明:本文通过源码安装,通过yum安转也是可以的,如果您希望通过yum安装,可以查看centos7配置strongswan-yum/
但本系列教程均是源码安装,如果通过yum安装,strongswan的路径会有所不同,命令也有所不同
1、安装基础包
yum -y install pam-devel openssl-devel make gcc curl wget
2、获取strongswan,并通过源码的形式安装,版本为5.5.3
cd /root/ wget --no-check-certificate https://download.strongswan.org/strongswan-5.5.3.tar.gz tar xzvf strongswan-5.5.3.tar.gz cd strongswan-5.5.3 ./configure --enable-eap-identity --enable-eap-md5 --enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap --enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap --enable-xauth-pam --enable-dhcp --enable-openssl --enable-addrblock --enable-unity --enable-certexpire --enable-radattr --enable-swanctl --enable-openssl --disable-gmp make && make install
3、配置证书脚本文件
注意:将下面的ip地址192.168.0.107替换为实际ip地址,如果是IP地址影射,填写映射后的公网地址
cd /root/ vi zhengshu.sh
#证书制作脚本文件 ipsec pki --gen --outform pem > ca.key.pem ipsec pki --self --in ca.key.pem --dn "C=CN, O=Huayu, CN=Huayu CA" --ca --lifetime 3650 --outform pem > ca.cert.pem ipsec pki --gen --outform pem > server.key.pem ipsec pki --pub --in server.key.pem --outform pem > server.pub.pem ipsec pki --issue --lifetime 1200 --cacert ca.cert.pem --cakey ca.key.pem --in server.pub.pem --dn "C=CN, O=Huayu, CN=192.168.0.107" --san="192.168.0.107" --flag serverAuth --flag ikeIntermediate --outform pem > server.cert.pem ipsec pki --gen --outform pem > client.key.pem ipsec pki --pub --in client.key.pem --outform pem > client.pub.pem ipsec pki --issue --lifetime 1200 --cacert ca.cert.pem --cakey ca.key.pem --in client.pub.pem --dn "C=CN, O=Huayu, CN=192.168.0.107" --outform pem > client.cert.pem openssl pkcs12 -export -inkey client.key.pem -in client.cert.pem -name "Huayu Client Cert" -certfile ca.cert.pem -caname "Huayu CA" -out client.cert.p12 cp -r ca.key.pem /usr/local/etc/ipsec.d/private/ cp -r ca.cert.pem /usr/local/etc/ipsec.d/cacerts/ cp -r server.cert.pem /usr/local/etc/ipsec.d/certs/ cp -r server.key.pem /usr/local/etc/ipsec.d/private/ cp -r client.cert.pem /usr/local/etc/ipsec.d/certs/ cp -r client.key.pem /usr/local/etc/ipsec.d/private/ echo "ok" cat ca.cert.pem >> /etc/raddb/certs/ca.pem cat server.cert.pem >> /etc/raddb/certs/server.pem cat server.key.pem >> /etc/raddb/certs/server.key cat /etc/raddb/certs/server.key >> /etc/raddb/certs/server.pem
chmod +x /root/zhengshu.sh /root/zhengshu.sh
说明:在执行证书生成的过程中可以配置证书导入密码,密码可以为空
4、strongswan 配置文件修改
注意:下面的 10.0.0.0/24 为分配给vpn客户端的地址,192.168.0.107为网卡ip地址,如果是NAT映射的,请修改为映射后的公网地址,可以只用复制整个配置文件替换原来的内容
vi /usr/local/etc/ipsec.conf
config setup
uniqueids=never #允许多个客户端使用同一个证书
#所有项目共用的配置项
conn %default
keyexchange=ike #ikev1 或 ikev2 都用这个
ike=aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha256,aes256-sha1,3des-sha1!
left=%any #服务器端标识,%any表示任意
leftsubnet=0.0.0.0/0 #服务器端虚拟ip, 0.0.0.0/0表示通配.
right=%any #客户端标识,%any表示任意
conn IKE-BASE
leftca=ca.cert.pem #服务器端 CA 证书
leftcert=server.cert.pem #服务器端证书
rightsourceip=10.0.0.0/24 #分配给客户端的虚拟 ip 段,格式为:单个IP或1.1.1.1-1.1.1.5或1.1.1.0/24
#供 ios 使用, 使用客户端证书
conn IPSec-IKEv1
also=IKE-BASE
keyexchange=ikev1
fragmentation=yes #开启对 iOS 拆包的重组支持
leftauth=pubkey
rightauth=pubkey
rightauth2=xauth-radius #使用radius
rightcert=client.cert.pem
auto=add
#供 ios 使用, 使用 PSK 预设密钥
conn IPSec-IKEv1-PSK
also=IKE-BASE
keyexchange=ikev1
fragmentation=yes
leftauth=psk
rightauth=psk
rightauth2=xauth-radius #使用radius
auto=add
#供 android, linux, os x 使用
conn IPSec-IKEv2
also=IKE-BASE
keyexchange=ikev2
leftauth=pubkey
rightauth=pubkey
rightcert=client.cert.pem
auto=add
#供 windows 7+ 使用, win7 以下版本需使用第三方 ipsec vpn 客户端连接
conn IPSec-IKEv2-EAP
also=IKE-BASE
keyexchange=ikev2
rekey=no #服务器对 Windows 发出 rekey 请求会断开连接
leftauth=pubkey
rightauth=eap-radius
rightsendcert=never #服务器不要向客户端请求证书
eap_identity=%any
auto=add
conn L2TP-PSK
keyexchange=ikev1
authby=secret
leftprotoport=17/1701 #l2tp端口
leftfirewall=no
rightprotoport=17/%any
type=transport
auto=add
#供linux客户端
conn ipke2vpn
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
rekey=no
left=%defaultroute
leftsubnet=0.0.0.0/0
leftauth=pubkey
leftcert=server.Cert.pem
leftid="C=CN, O=huayu, CN=192.168.0.107"
right=%any
rightsourceip=10.0.0.0/24
rightauth=eap-radius #使用radius
rightsendcert=never
eap_identity=%any
auto=add
5、配置strongswan.conf 配置文件
说明:2-5行和DNS的内容,其中dns可以在这里指定,也可以在/usr/local/etc/strongswan.d/charon.conf文件中指定,
threads=16 代表程序开启线程数
i_dont_care_about_security_and_use_aggressive_mode_psk 只对5.0以后的版本有效,使系统在使用IKE模式时,支持aggrisive模式
vi /usr/local/etc/strongswan.conf
内容如下
charon {
i_dont_care_about_security_and_use_aggressive_mode_psk = yes
duplicheck.enable = no
threads = 16
compress = yes
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
dns1 = 8.8.8.8
dns2 = 114.114.114.114
}
include strongswan.d/*.conf
6、配置strongswan 加载radius
说明:这里可以设置多个servers,我们设置了server-a,配置中的secret为radius的共享密钥,是strongswan连接radius时用的,它的密码在/etc/raddb/clients.conf 中进行定义,address 是radius 服务器的ip
vi /usr/local/etc/strongswan.d/charon/eap-radius.conf
1)修改 accounting = yes
2)找到 servers 字段中在括号内加入红色字体内容
servers {
server-a {
address = 127.0.0.1
secret = testing123
}
}
6、 配置IPsec插件 xauth-eap,支持IKEv1. 即思科的IPSec模式
vi /usr/local/etc/strongswan.d/charon/xauth-eap.conf
去掉注释 backend = radius
7、配置strongswan共享密钥
说明:其中的huayu为共享密钥,在vpn客户端配置的时候使用
vi /usr/local/etc/ipsec.secrets
内容如下
# ipsec.secrets - strongSwan IPsec secrets file : RSA server.key.pem #使用证书验证时的服务器端私钥 : PSK "huayu" #使用预设密钥时, 8-63位ASCII字符 : XAUTH "huayu"
8、启动strongswan
systemctl restart strongswan
9、启动radiusd
systemctl restart radiusd
备注:strongswan 调用日志模式,排错时使用 ipsec start –nofork # 将 log 输出到当前终端用于调试.