StrongSwan। MSCHAPv2-EAP का उपयोग कर रिमोट एक्सेस वीपीएन

इसके बारे में क्या होगा?

इस लेख में, मैं IPSEC IKEv2 के माध्यम से दूरस्थ उपयोगकर्ताओं (रिमोट एक्सेस वीपीएन) को जोड़ने के लिए एक लिनक्स सर्वर पर स्ट्रांगस्वान डेमॉन को कॉन्फ़िगर करने के तरीके के बारे में बात करूंगा, और MSCHAPv2-EAP बंडल को क्लाइंट डेटा प्रोटोकॉल के रूप में उपयोग किया जाएगा।

समाधान का वर्णन

रिमोट एक्सेस वीपीएन के इस कार्यान्वयन में, ईएपी प्रोटोकॉल (आरएफसी 3748) का उपयोग क्लाइंट गेटवे से कनेक्ट करने के लिए प्रमाणीकरण के लिए Microsoft CHAP संस्करण 2 के संयोजन में किया जाता है।
इस प्रोटोकॉल का उपयोग विंडोज 7 एजाइल के वीपीएन क्लाइंट में किया जाता है। IP पते द्वारा IKEv2 की पहचान करने के अलावा, ग्राहक गेटवे पर परिभाषित नाम और पासवर्ड द्वारा ईएपी प्रमाणीकरण का उपयोग करता है।
गेटवे RSA प्रमाणपत्र का उपयोग करके ग्राहक के साथ प्रमाणित होता है।
नीचे दिए गए आंकड़े में मेरे स्टैंड और समाधान की योजना।

वर्चुअल आईपी इंटरफ़ेस - एक वर्चुअल एड्रेस जो क्लाइंट को गेटवे द्वारा सौंपा जाता है। स्ट्रोंगस्वान कॉन्फ़िगरेशन फ़ाइलों में कॉन्फ़िगर करने योग्य।
वीपीएन को प्रमाणपत्रों के संबंध में इस समाधान का मुख्य लाभ यह है कि आपको प्रत्येक प्रमाणपत्र को क्लाइंट को आयात करने की आवश्यकता नहीं है, आपको केवल लॉगिन और पासवर्ड जानने की आवश्यकता है। एक अतिरिक्त लाभ IPSEC स्थापित करने के लिए IKEv2 प्रोटोकॉल कनेक्शन का उपयोग है, जिसमें IKEv1 पर कई फायदे हैं। सफलतापूर्वक googling के लाभों का विवरण।

सर्टिफिकेट जनरेशन

प्रमाणपत्रों का सृजन सबसे महत्वपूर्ण हिस्सा है और सबसे कठिन है, यह हमारे IPSEC = सुरंग का कार्य है जो इस पर निर्भर करेगा।
OPENSSL का उपयोग करके प्रमाण पत्र बनाए गए थे।
सबसे पहले, OPENSSL कॉन्फ़िगर करें:

vi /usr/lib/ssl/openssl.cnf [ CA_default ] dir = /etc/ipsec.d #  ,       certificate = $dir/cacerts/strongswanCert.pem #      CA  private_key = $dir/private/strongswanKey.pem #     CA  

नए प्रमाणपत्रों के लिए एक निर्देशिका बनाएं और OPENSSL के लिए एक सीरियल के साथ एक फ़ाइल बनाएं

 cd /etc/ipsec.d mkdir newcerts touch index.txt echo “00” > serial 

हम एक CA प्रमाण पत्र उत्पन्न करते हैं।

एक CA प्रमाण पत्र बनाएँ।

 openssl req -x509 -days 3650 -newkey rsa:2048 -keyout private/strongswanKey.pem -out cacerts/strongswanCert.pem 

हम CA प्रमाण पत्र को प्रपत्र p.12 में परिवर्तित करते हैं, जिसे विंडोज और अधिकांश क्लाइंट्स द्वारा समझा जाता है ताकि आयात के साथ कोई समस्या न हो

 openssl pkcs12 -export -inkey private/strongswanKey.pem -in certs/strongswanCert.pem -name "host" -certfile cacerts/strongswanCert.pem -caname "strongSwan Root CA" -out CAcert.p12 

हम सर्वर के लिए प्रमाण पत्र उत्पन्न करते हैं।

प्रमाणपत्र अनुरोध बनाएँ।

 openssl req -newkey rsa:1024 -keyout private/serverkey.pem -out reqs/serverreq.pem 

हम पहले से बनाए गए अनुरोध का उपयोग करके CA से प्रमाणपत्र का अनुरोध करते हैं।

 openssl ca -in reqs/serverreq.pem -days 730 -out certs/servercert.pem -notext 

प्रमाण पत्र बनाते समय, आपको subjectAltName = IP सेट करना होगा: खुलता है सर्वर आईडी के लिए <external_IP> पैरामीटर

स्ट्रोंगस्वान डेमॉन को कॉन्फ़िगर करना

स्ट्रांगस्वान स्थापित करना आसानी से भंडार से, या स्रोत से आता है।
यह वही है जो /etc/strongswan.conf फ़ाइल की तरह दिखना चाहिए:

 charon { load = curl test-vectors aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc cmac ctr ccm gcm stroke kernel-netlink socket-default updown eap-identity } 

मूलभूत सेटिंग्स /etc/ipsec.conf फ़ाइल में होनी चाहिए
कॉन्फ़िगरेशन सेटअप अनुभाग, जो बुनियादी मापदंडों को परिभाषित करता है:

 config setup strictpolicy=no charonstart=yes plutostart=no charondebug="ike 2, knl 3, cfg 0" 

वह कनेक्शन खंड जिसमें कनेक्शन कॉन्फ़िगर किए गए हैं

 conn %default /     IPSEC- ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 dpdaction=restart dpdelay=30s dpdtimeout=180s conn rw /  IPSEC- left=<external_IP> /    leftsubnet=<subnet/prefix> / ,      leftid=<external_IP> leftcert=/etc/ipsec.d/certs/servercert.pem /       IKE SA leftauth=pubkey / ,         RSA right=%any /       IP rightauth=eap-mschapv2 rightsendcert=never rightsourceip=<subnet/prefix> /      IP-   auto=add /     keyexhcnage=ikev2 type=tunnel 

हमें गेटवे प्रमाणपत्र के लिए सार्वजनिक कुंजी फ़ाइल / ईटीएस उपयोगकर्ताओं के लिए /etc/ipsec.secrets फ़ाइल को निर्दिष्ट करने की भी आवश्यकता है

 : RSA /etc/ipsec.d/private/serverkey.pem "password" ivan : EAP "pass1" max : EAP "pass2" 

उपरोक्त सेटिंग्स /etc/ipsec.conf में संग्रहीत हैं

क्लाइंट सेटअप

एक क्लाइंट के रूप में, आप विंडोज 7 या एंड्रॉइड ओएस चलाने वाले किसी भी डिवाइस का उपयोग स्ट्रांगस्वान वीपीएन क्लाइंट एप्लिकेशन इंस्टॉल करने के साथ कर सकते हैं
क्लाइंट सेटअप में निम्न आइटम होते हैं:

1. किसी क्लाइंट को CA प्रमाणपत्र आयात करें
2. क्लाइंट सेटअप
3. क्लाइंट लॉन्च

एंड्रॉइड के लिए, सामान्य तौर पर, सब कुछ समान है।

निष्कर्ष

आपके द्वारा क्लाइंट और सर्वर को कॉन्फ़िगर करने के बाद, आप सर्वर पर StrongSwan को पुनरारंभ कर सकते हैं, यह ipsec पुनरारंभ कमांड के साथ किया जाता है और क्लाइंट के साथ कनेक्ट करने का प्रयास करता है। यदि गेटवे तब सफल होता है जब ipsec स्टेटस कमांड जारी किया जाता है, तो कनेक्शन स्थिति स्थापित हो जाएगी और क्लाइंट और सर्वर के बीच पिंग को चलाने में मज़ा आएगा।
मैं लगभग भूल गया था कि क्लाइंट के पास सबनेट से स्थानीय संसाधनों तक पहुंच थी जो कि लेफ़्ट्सबनेट पैरामीटर में परिभाषित है, आपको तदनुसार रूटिंग और फ़ायरवॉल नियम (iptables) को कॉन्फ़िगर करने की आवश्यकता होगी।
IPSEC (IKEv1) पर L2TP को लागू करने के लिए स्ट्रांगस्वान का उपयोग करना भी संभव है, मैं शायद इस बारे में बाद में लिखूंगा।