Hogyan kell konfigurálni a VPN-t az Ubuntu 18-on.04
A lecke befejezéséhez szüksége lesz:
[[1. lépés — install-strongswan] == 1. lépés. Erőssugár telepítése
Először is telepítjük az erőteljes, nyílt forráskódú IPsec démonot, amelyet a VPN-kiszolgálónként konfigurálunk. Nyitott kulcsfontosságú infrastruktúra-összetevőt is létrehozunk, hogy hozzon létre hitelesítő hatóságot az infrastruktúránk hitelesítő adatai számára.
Frissítse a helyi gyorsítótárcsomagokat, és telepítse a szoftvert a gépeléssel:
Most, hogy minden telepítve van, menjünk a tanúsítványaink létrehozásához.
[[2. lépés — a-tanúsítvány-a-tanúsítvány-szerző]] == 2. lépés – Tanúsító központ létrehozása
A kiszolgáló IKEV2 megköveteli, hogy az ügyfelek azonosítsa magát. Ahhoz, hogy segítsen létrehozni a szükséges tanúsítványt, a csomag tartalmaz egy segédprogramot, hogy hozzon létre egy tanúsító hatóság és szerver tanúsítványok. Kezdjük, hozzunk létre több könyvtárat az összes erőforrás tárolására, amelyen dolgozunk. A katalógusok szerkezete megfelel néhány katalógusnak, ahol végül mozgatjuk az összes létrehozott elemet. Megmutatjuk az engedélyeket, hogy a többi felhasználó nem látja személyes fájljainkat:
Most, hogy van egy tárolási könyvtárstruktúránk, generálhatjuk a root kulcsot. Ez lesz egy RSA bit kulcs, amelyet a root tanúsító hatóságának aláírására használnak.
Végezze el ezeket a parancsokat a kulcs létrehozásához:
Most, hogy van egy kulcsunk, folytathatjuk a root tanúsító hatóság létrehozását a root tanúsítvány aláírási kulcs segítségével:
Megváltoztathatja az értékek értékeit a Név (DN) valami másra, ha akarod. Az Általános név itt egyszerűen egy jelző, ezért nem kell egybeesnie az infrastruktúrával.
Most, hogy root tanúsítási központunk fut és fut, létrehozhatunk egy tanúsítványt, hogy a VPN-kiszolgáló fogja használni.
[[3. lépés — generációs tanúsítvány – for-vpn szerver]] == 3. lépés – Tanúsítvány generálása a VPN-kiszolgálóhoz
Most létrehozunk egy tanúsítványt és kulcsot a VPN-kiszolgáló számára. Ez a tanúsítvány lehetővé teszi az ügyfél számára, hogy ellenőrizze a szerver hitelességét a CA továbbfejlesztett tanúsítvánnyal.
Először hozzon létre egy mellékelt kulcsot a VPN-kiszolgálóhoz a következő parancs segítségével:
Most hozzon létre és írjon alá egy VPN szerver tanúsítványt az előző lépésben létrehozott hitelesítő hatóság kulcs segítségével. Futtassa a következő parancsot, de módosítsa a Common Name (Cn) és a VPN-kiszolgáló DNS-nevét vagy IP-címét:
Most, hogy az erőteljes TLS / SSL-fájlt generáltuk, a fájlokat a könyvtárba helyezhetjük a gépkönyvtárba:
Ebben a szakaszban néhány tanúsítványt hoztunk létre, amelyek az ügyfél és a szerver közötti kapcsolat védelmére szolgálnak. Mi is aláírt tanúsítványokat a CA kulcsot, hogy a kliens képes ellenőrizni a hitelességét a VPN szerver segítségével a CA tanúsítvány. Most, hogy minden tanúsítvány készen áll, folytatjuk a szoftvert.
[[STEP-4 — Configuring-Strongswan] == 4. lépés. Erősség beállítása
StrongSwan van egy alapértelmezett konfigurációs fájl néhány példát, de a legtöbb konfiguráció fogunk csinálni magadnak. Tegyünk biztonsági másolatfájlt a hivatkozás előtt a semmiből:
Új üres konfigurációs fájl létrehozása és megnyitása:
Először is, azt fogjuk mondani, hogy az Erősswan regisztrálja a démonok állapotát a csatlakozások megkettőzésére és megoldására. Adja hozzá ezeket a sorokat egy fájlhoz:
Ezután létrehozunk egy konfigurációs részt a VPN-nek. Azt is mondjuk, hogy az IKEV2 VPN alagutak létrehozása és automatikusan letölti ezt a konfigurációs részt. Adja hozzá a következő sorokat egy fájlhoz:
Azt is beállíthatja az észlelési halott csomópontok törölni minden „lógó” kapcsolat esetén egy váratlan ügyfél lekapcsoló. Adja hozzá ezeket a sorokat:
Ezután beállítjuk az IPsec kiszolgáló beállításait (balra). Adja hozzá a fájlhoz:
Jegyzet: A szerverazonosító () konfigurálásakor csak akkor kapcsolja be a karaktert, ha a VPN-kiszolgálóját a tartománynév határozza meg:
Ha a kiszolgálót IP-címe alapján azonosítja, egyszerűen írja be az IP-címet:
Ezután beállíthatjuk az IPSec paramétereket az ügyféloldalon (jobbra), például magán IP-címek és DNS-kiszolgálók:
Végül tájékoztatjuk az ErőssPAN-t, hogy hozzon létre egy felhasználói hitelesítő adatokat az ügyféltől való csatlakozáskor:
A konfigurációs fájlnak így kell kinéznie:
Mentse és zárja be a fájlt, amint győződjön meg róla, hogy az ábrán látható módon van konfigurálva.
Most, hogy beállítottuk a VPN-beállításokat, menjünk be egy fiók létrehozásához, hogy a felhasználók csatlakozzanak a szerverhez.
[[[5. lépés — konfigurálás-vpn-hitelesítés]] == 5. lépés. VPN hitelesítési beállítás
A VPN-kiszolgálónk most konfigurálva van az ügyfélkapcsolatok fogadására, de még nem konfiguráltuk a hitelesítő adatokat. Néhány dolgot meg kell állítanunk egy speciális konfigurációs fájlban:
-
Meg kell mondanunk az Erddig, hogy meg kell találnunk egy zárt kulcsot a szerver tanúsítványunkhoz, hogy a kiszolgáló átadhatja az ügyfelek hitelesítését.
-
Azt is be kell állítanunk egy olyan felhasználók listáját, akik megengedhetők, hogy csatlakozzanak a VPN-hez.
Nyissa meg a szerkesztéshez tartozó titkai fájlt:
Először tájékoztatjuk az erőteljes kulcsot, hol találjuk meg a zárt kulcsot:
Ezután meghatározzuk a felhasználói hitelesítő adatokat. Megteremtheti a felhasználónév vagy jelszó kombinációját, amit szeretne:
Mentse és zárja be a fájlt. Most, hogy befejeztük a VPN paraméterekkel való munkát, újraindítjuk a VPN szolgáltatást a konfiguráció alkalmazásához:
Most, hogy a VPN-szerver teljesen konfigurálható szerver és a felhasználó hitelesítő adatait, itt az ideje, hogy menjen a felállítása a legfontosabb része: a tűzfal.
[[STEP-6 — A-tűzfal-AMP-Kernel-IP-továbbítás]] == 6. lépés. A tűzfal és a mag beállítása IP-Forwarding
Az erőssugárzás befejezése után be kell állítanunk a tűzfalat a VPN küldésére és átadására.
Ha követte a kötelező kézikönyvet, akkor az UFW alap alapvető tűzfalnak kell lennie. Ha még nem konfigurálta az UFW-t, létrehozhat egy alapvető konfigurációt, és beírhatja azt a gépeléssel:
Most adjon hozzá egy szabályt, amely lehetővé teszi az UDP forgalmat a szabványos IPsec portokhoz, és
Ezután megnyitjuk az egyik UFW konfigurációs fájlokat, hogy több alacsony szintű házirendet adjunk hozzá az IPsec csomagok útválasztásához és küldéséhez. Mielőtt ezt megtennénk, meg kell találnunk, hogy melyik hálózati interfész a szerverünkben az internet eléréséhez használatos. Megtaláljuk az alapértelmezett útvonalhoz kapcsolódó interfészt:
A nyilvánosan elérhető felületnek követnie kell a “Dev” szót. Például ez az eredmény egy olyan nevet mutat, amely az alábbiakban kiemelve:
Ha van nyilvános hálózati interfész, nyissa meg a fájlt egy szövegszerkesztőben:
A fájl tetején (a karakterlánc előtt) adja hozzá a következő konfigurációs egységet:
Változtassa meg az egyes példányokat a fenti konfigurációban, hogy megfeleljen az Ön által talált felület nevének. A sorok szabályokat hoznak létre, hogy a tűzfal helyesen tudja átirányítani és kezelni a forgalmat a VPN-ügyfelek és az internet között. A vonal beállítja a csomagszegmens maximális méretét, hogy megakadályozza a lehetséges problémákat néhány VPN-ügyfelekkel.
Ezután a lánc sorai és meghatározása után adjunk hozzá egy másik konfigurációs blokkot:
Ezek a sorok azt mondják, hogy a tűzfal a forgalmi ASP-t (a hasznos teher befogása) küldje el, hogy a VPN-ügyfelek csatlakozzanak. ESP további biztonságot nyújt számára VPN csomagokat, ahogy keresztbe megbízhatatlan hálózatokra.
Ha befejezte, mentse és zárja be a fájlt.
A tűzfal újraindítása előtt megváltoztatjuk a hálózati rendszermag néhány paraméterét, hogy lehetővé tegye az útválasztás egy interfészről a másikra. Nyissa meg az UFW kernel paraméter konfigurációs fájlját:
Itt kell létrehoznunk néhány dolgot itt:
-
Először is bekapcsoljuk az IPv4 csomagokat.
-
Tiltjuk az MTU észlelését, hogy megakadályozzuk a csomag fragmentációs problémáit.
-
Mi is nem fogadjuk el az ICMP átirányításokat, és ne küldje el az ICMP átirányítását, hogy megakadályozza a támadó közepét.
A fájlba be kell írni a fájlokat a következő kód:
Mentse el a fájlt, amikor befejezte. Az UFW alkalmazza ezeket a változtatásokat a következő indításkor.
Most is tartalmazhatunk minden változtatásunkat, kikapcsolva és újrafogalmazott tűzfalat:
Meg kell adnia a folyamatot. Írja be az UFW újra új beállításokat.
[[STEP-7 — tesztelés-the-vpn-Connection-on-windows-ios-és-macos]] == 7. lépés. VPN-kapcsolatok tesztelése Windows, iOS és Macos rendszerben
Most, hogy mindannyian beállítod, itt az ideje, hogy kipróbáld. Először is meg kell másolnia a létrehozott CA tanúsítványt, és telepítse azt az ügyféleszközre (A), amely csatlakozik a VPN-hez. A legegyszerűbb módja a kiszolgálóba, és megjeleníti a tanúsítványfájl tartalmát:
Az ehhez hasonló kimenetet fog látni:
Másolja ezt a kimenetet a számítógépre, beleértve a sorokat, és mentse el, és mentse el, például felismerhető névvel. Győződjön meg róla, hogy a létrehozott fájl kiterjesztése van.
Miután letöltötte a fájlt a számítógépre, konfigurálhatja a kapcsolatot a VPN-hez.
Csatlakoztassa a Windows rendszert
Először importálja a gyökérzékenységet az alábbi lépések követésével:
-
Kattintson a párbeszédpanel megnyitásáhozFUSS, és írja be a Windows Management Console futtatásához.
-
A menünFájl váltaniA beépülő modul hozzáadása vagy eltávolítása, VálasztTanúsítványok A rendelkezésre álló pálcák listájából és kattintássalAdd.
-
Azt szeretnénk, hogy a vpn bármilyen felhasználóval dolgozzon, így válassza kiSzámítógépes fiók és kattintsonKövetkező.
-
Konfigurálunk valamit a helyi számítógépen, ezért válassza kiHelyi számítógép, Ezután kattintsonBEFEJEZ.
-
Csomópont alattKonzolgyökér Rekordot telepítTanúsítványok (helyi számítógép), KiterjedMegbízható legfelső szintű hitelesítésszolgáltatók, majd válasszuk a FelvételTanúsítványok:
-
A menünAkció VálasztAz összes feladat és kattintsonImportálás, Jelenítse meg a bizonyítvány behozatal varázsló. KattintásKövetkező, Hogy kihagyja Bevezetés.
-
A képernyőnFájl importálása nyomja meg a gombotTallózás és válassza ki a tanúsítványt mentett fájlt. Ezután kattintsonKövetkező.
-
Győződjön meg róla, azTanúsítványtároló telepített értékMegbízható legfelső szintű hitelesítésszolgáltatók, és kattintsonKövetkező.
-
KattintásBEFEJEZ, Ahhoz, hogy a behozatali tanúsítvány.
Ezután add meg a VPN a következő lépéseket:
-
DobKezelőpanel, akkor megy KHálózati és megosztási központ.
-
KattintásLétrehoznak egy új kapcsolat vagy Hálózati, Ezután válasszukCsatlakozás egy munkahelyen.
-
VálasztHasználni az internet kapcsolat (VPN).
-
Adja meg a VPN szerver adatok. Adjon meg egy domainnevet vagy IP-címe terénInternet cím, majd töltse kiCél neve mi illik a VPN-kapcsolat. Ezután kattintsonKész.
Az új VPN-kapcsolat megjelenik a hálózatok listáján. Válassza a VPN lehetőséget, és kattintson a gombraCsatlakozás. A rendszer kéri, hogy adja meg a felhasználónevet és a jelszót. Írja be őket, kattintsonRENDBEN, És csatlakozik.
Csatlakozzon a MacOS-tól
A tanúsítvány behozatalához kövesse az alábbi lépéseket:
-
Kattintson duplán a tanúsítványfájlra. Kulcstartó hozzáférés Megjelenik egy párbeszédpanel az üzenettel: “A kulcscsomag megpróbálja megváltoztatni a rendszerköteg kulcskötegét. Adja meg jelszavát, hogy megoldja.
-
Adja meg a jelszavát, majd kattintson a gombraMódosítsa a kulcstartót
-
Kattintson duplán az Új importált VPN tanúsítványra. Ez egy kis tulajdonságú ablakot okoz, ahol megadhatja a bizalom szintjét. TelepítésIP Security (IPsec) továbbMindig bízzon, és felkéri a jelszót. Ez a paraméter automatikusan mentésre kerül a jelszó megadása után.
Most, hogy a tanúsítvány fontos és megbízható, konfigurálja a VPN-kapcsolatot az alábbi lépések követésével:
-
VáltaniRendszerbeállítások és válassza kiHálózat.
-
Kattintson a “Plus” kis gombra a hálózatok listájának bal alsó sarkában.
-
A megjelenő felbukkanó ablakban be van állítvaFelület jelentésVPN, Telepítse aVPN típus jelentésIKEV2 és adja meg a kapcsolatot a névhez.
-
Területenszerver ésTávoli azonosító Adja meg a tartománynevet vagy a szerver IP-címét. Hagyja el a mezőtHelyi azonosító üres.
-
KattintásHitelesítési beállítások, VálasztFelhasználónév és adja meg felhasználónevét és jelszavát, amelyet a felhasználó VPN-jére beállított. Ezután kattintsonRENDBEN.
Végül kattintsonCsatlakozás, A VPN-hez való csatlakozáshoz. Most a VPN-hez kell csatlakoztatni.
Csatlakozzon az Ubuntu-ból
Ha csatlakozni egy számítógép Ubuntu, akkor beállíthatja és kezelheti StrongSwan mint szolgáltatás vagy egy egyszerű parancsot minden alkalommal csatlakozik. Az utasítások mindkettő számára rendelkezésre állnak.
Ellenőrizze az erősséget, mint szolgáltatásként
-
Frissítse a helyi Kesh csomagokat:
-
Telepítse az erősséget és a megfelelő szoftvert
-
Másolja a CA tanúsítványt a könyvtárba:
-
A VPN letiltása úgy, hogy a VPN nem indul el automatikusan:
-
Állítsa be a felhasználónevet és jelszót VPN-t a fájlban:
-
Szerkessze a fájlt a konfiguráció meghatározásához.
A VPN-hez való csatlakozáshoz írja be:
Újra leválasztásához írja be:
Egy egyszerű kliens használata az eldobható kapcsolatokhoz
-
Frissítse a helyi Kesh csomagokat:
-
Telepítse a megfelelő szoftvert
-
Menjen az a könyvtárba, amelyben másolta a CA-tanúsítványt:
-
Csatlakozás a VPN szerver segítségével a CA szerver tanúsítvány, a VPN szerver IP címét és a felhasználó nevét beállított:
-
A lekérdezés megjelenésekor adja meg a VPN felhasználói jelszavát.
Most a VPN-hez kell csatlakoztatni. A letiltáshoz nyomja meg és várja meg a kapcsolatot.
Kapcsolat az iOS-val
Az iOS-eszköz VPN-kapcsolatának konfigurálásához kövesse az alábbi lépéseket.
-
Küldjön egy e-mailt az alkalmazott root tanúsítvánnyal.
-
Nyisson meg egy e-mailt az iOS eszközön, és kattintson a mellékelt tanúsítványfájlra, majd nyomja meg a gombotTelepítés és adja meg a jelszavát. Telepítés után kattintsonKész.
-
VáltaniBeállítások,TÁBORNOK,VPN és nyomja megAdd hozzá a VPN konfigurációt. Megnyílik a VPN kapcsolat beállításai.
-
nyomja megtípus és válassza kiIKEV2.
-
TerületenLeírás Adjon meg egy rövid nevet a VPN kapcsolathoz. Bármi lehet.
-
Területenszerver ésTávoli azonosító Adja meg a tartománynevet vagy a szerver IP-címét. TerületHelyi azonosító Elhagyhatja az üreset.
-
Adja meg felhasználónevét és jelszavát a szakaszbanHitelesítés, Ezután kattintsonKész.
-
Válassza ki az éppen létrehozott VPN-kapcsolatot, érintse meg a kapcsolót az oldal tetején, és csatlakozik.
Kapcsolat az Androiddal
A tanúsítvány behozatalához kövesse az alábbi lépéseket:
-
E-mailben küldjön egy e-mailt egy csatolt CA tanúsítvánnyal. Mentse a CA tanúsítványt a mappa letöltéséhez.
-
LOADTRONGSWAN VPN kliens a Play Store-ból.
-
Nyissa meg az alkalmazást. Érintés“További” ikon A jobb felső sarokban (ikon három ponttal) és válassza kiCA tanúsítványok.
-
Érintse meg újra“További” ikon A jobb felső sarokban. VálasztImport tanúsítvány.
-
Navigáljon a CA tanúsítványfájlba a letöltési mappában, és válassza ki azt, hogy importáljon az alkalmazáshoz.
Most, hogy a tanúsítványt importálják az erőssugár alkalmazásba, beállíthatja a VPN-kapcsolatot a következő lépésekkel:
-
Az alkalmazás érintiVPN-profil hozzáadása fel.
-
Kitöltszerver A VPN-kiszolgáló vagy a nyilvános IP-cím domain neve.
-
Győződjön meg arról, hogyIKEV2 EAP (felhasználónév / jelszó) VPN-ként van kiválasztva.
-
KitöltFelhasználónév ésJelszó A szerveren azonosított hitelesítő adatok.
-
Távolítsa el a választástVálasszon automatikusan FejezetbenCA tanúsítvány és kattintsonVálassza a CA tanúsítványt.
-
Érintse meg a lapotImportált A képernyő felső részén, és válassza ki az importált CA (ez lesz az úgynevezett „root CA VPN”, ha nem változik a „DN” előtt).
-
Ha szeretné, írja beProfil neve (opcionális) Értesebb név.
Ha kapcsolódni szeretne a VPN-hez, kattintson az Erősswan alkalmazásban létrehozott profilra.
Hibaelhárítási kapcsolatok
Ha nem tudja behozni a tanúsítványt, győződjön meg róla, hogy a fájl kiterjesztése van, nem.
Ha nem tud csatlakozni a VPN-hez, ellenőrizze a használt kiszolgáló nevét vagy IP-címét. A szerver domain neve vagy IP-címének meg kell egyeznie a tanúsítvány létrehozásakor közös névként (Cn) által konfigurált. Ha nem egyeznek meg, akkor a VPN-kapcsolat nem fog működni. Ha beállította a CN tanúsítványt, akkor a VPN-kiszolgáló beírásakor használható. Ellenőrizze a tanúsítvány létrehozásához használt parancsot, és a VPN-kapcsolat létrehozásakor használt értékeket.
Végül ellenőrizze a VPN konfigurációt kétszer annak érdekében, hogy az érték a szimbólummal van-e konfigurálva, ha domainnevet használ:
És ha az IP-címet használja, győződjön meg róla, hogy a szimbólum kihagyott.
Comments are closed, but trackbacks and pingbacks are open.