Com configurar un servidor VPN IKEv2 amb StrongSwan en Ubuntu 18.04

Introducció

Un xarxa virtual privad, (VPN, per les sigles en anglès) li permet xifrar de forma segura el trànsit mentre té lloc a través de xarxes no fiables, com les d’una cafeteria, una sala de conferències o un aeroport.

IKEv2, o Internet Key Exchange v2, és un protocol que permet la implementació directa de túnels d’IPSec entre el servidor i els clients. En les implementacions de VPN IKEv2, IPSec proporciona xifrat per al trànsit de xarxa. IKEv2 és compatible de forma nativa amb algunes plataformes (OS X 10.11+, iOS 9.1+ i Windows 10) sense necessitat d’aplicacions addicionals i maneja els pics dels clients sense problemes.

A través d’aquest tutorial, configurarà un servidor VPN IKEv2 amb ajuda d’StrongSwan en un servidor Ubuntu 18.04 i es connectarà a aquest des de clients de Windows, macOS, Ubuntu, iOS i Android.

Requisits previs

Per a completar aquest tutorial, necessitarà el següent:

  • Un servidor d’Ubuntu 18.04 configurat d’acord amb Laguía de configuració inicial per a servidors d’Ubuntu 18.04, inclosos un usuari sudo no root i un tallafocs.

pas 1: Instal·lar StrongSwan

Primer, instal·larem StrongSwan, un dimoni IPSec de codi obert que configurarem perquè funcioni com el nostre servidor VPN. De la mateixa manera, instal·larem el component d’infraestructura de clau pública que ens permeti crear una autoritat de certificació per proporcionar les credencials destinades a la nostra infraestructura.

Actualitzeu la memòria cau de l’paquet local i instal el programari escrivint el següent:

  • sudo apt update
  • sudo apt install strongswan strongswan-pki

Ara que es va instal·lar tot, crearem els nostres certificats.

Pas 2: Crear una autoritat de certificació

Un servidor IKEv2 requereix un certificat per identificar-se davant els clients. Perquè puguem crear el certificat requerit, el paquet strongswan-pki inclou una utilitat per generar una autoritat de certificació i certificats de servidor. Per començar, crearem alguns directoris per emmagatzemar tots els actius en què treballarem. L’estructura de directoris coincideix amb alguns dels directoris de /etc/ipsec.d, a on mourem tots els elements que creiem en algun moment. Bloquejarem els permisos perquè altres usuaris no puguin veure els nostres arxius privats:

  • mkdir -p ~/pki/{cacerts,certs,private}
  • chmod 700 ~/pki

Ara que disposem d’una estructura de directoris per emmagatzemar tot, podem generar una clau de root. Serà una clau RSA de 4096 bits que es farà servir per signar la nostra autoritat de certificació de root.

Executeu aquestes comandes per generar la clau:

  • ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/ca-key.pem

Ara que comptem amb una clau, podem crear la nostra autoritat de certificació de root usant la clau per signar el nostre certificat de root:

  • ipsec pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
  • --type rsa --dn "CN=VPN root CA" --outform pem > ~/pki/cacerts/ca-cert.pem

Podeu canviar els valors de * nom distingit * (DN) per una altra cosa si ho desitja. El nom comú aquí és únicament l’indicador, de manera que no ha de coincidir amb res en la seva infraestructura.

Ara que la nostra autoritat de certificació de root està a punt, podem crear un certificat que farà servir el servidor de VPN .

Pas 3: Generar un certificat per al servidor de VPN

Ara, crearem un certificat i la contrasenya pel servidor de VPN. Aquesta certificació permetrà als clients verificar l’autenticitat de l’servidor usant la certificació de CA que acabem de generar.

Primer, creeu una clau privada per al servidor de VPN amb la següent comanda:

  • ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/server-key.pem

Ara, creu i signi el certificat de servidor de VPN amb la clau de l’autoritat de certificació que va crear en el pas anterior. Executeu l’ordre, però canviï els camps de nom comú (CN) i nom alternatiu de subjecte (SAN) pel nom de DNS o l’adreça IP del seu servidor de VPN:

  • ipsec pki --pub --in ~/pki/private/server-key.pem --type rsa \
  • | ipsec pki --issue --lifetime 1825 \
  • --cacert ~/pki/cacerts/ca-cert.pem \
  • --cakey ~/pki/private/ca-key.pem \
  • --dn "CN=server_domain_or_IP" --san "server_domain_or_IP" \
  • --flag serverAuth --flag ikeIntermediate --outform pem \
  • > ~/pki/certs/server-cert.pem

Ara que generem tots els fitxers TLS / SSL que necessita StrongSwan, podem moure’ls al seu lloc en el directori /etc/ipsec.d escrivint el següent:

  • sudo cp -r ~/pki/* /etc/ipsec.d/

En aquest pas, vam crear un parell de certificats que podrien usar-se per a protegir les comunicacions entre el client i el servidor. També, vam signar els certificats amb la clau de CA, perquè el client pugui verificar l’autenticitat de l’servidor de VPN usant el certificat de CA. Ara que tenim llestos tots els certificats llestos, configurarem el programari.

Pas 4: Configurar StrongSwan

StrongSwan té un arxiu de configuració per defecte amb alguns exemples, però haurem de fer la major part de la configuració pel nostre compte.Farem una còpia de seguretat de l’arxiu a manera de referència abans de començar de zero:

  • sudo mv /etc/ipsec.conf{,.original}

Creu i obri un nou arxiu de configuració buit escrivint el següent:

  • sudo nano /etc/ipsec.conf

Primer, li direm a StrongSwan que registri els estats dels dimonis per depurar i permetre connexions duplicades. Afegiu aquestes línies a l’arxiu:

/etc/ipsec.conf
config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=no

Després, crearem una secció de configuració per a la nostra VPN. També li indicarem a StrongSwan que creu túnels de VPN IKEv2 i carregui de forma automàtica aquesta secció de configuració quan s’iniciï. Afegiu les següents línies a l’arxiu:

/etc/ipsec.conf
. . .conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes

També configurarem la detecció de parells inactius per eliminar qualsevol connexió “pendent” en cas que el client es desconnecti de forma inesperada. Afegiu aquestes línies:

/etc/ipsec.conf
. . .conn ikev2-vpn . . . dpdaction=clear dpddelay=300s rekey=no

Després, configurarem els paràmetres IPSec de la banda (esquerra) de servidor. Afegiu això a l’arxiu:

/etc/ipsec.conf
. . .conn ikev2-vpn . . . left=%any [email protected]_domain_or_IP leftcert=server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0

Nota: Quan configureu l’ID de servidor (leftid), només inclogui el caràcter @ si el seu servidor de VPN s’identificarà per un nom de domini:

 [email protected]

Si el servidor s’identifica per la seva adreça IP, simplement introduïu:

 leftid=203.0.113.7

A continuació, podem configurar els paràmetres de IPSec de la banda (dret) de el client, com els rangs d’adreces IP privades i els servidors DNS que es faran servir:

/etc/ipsec.conf
. . .conn ikev2-vpn . . . right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.10.10.0/24 rightdns=8.8.8.8,8.8.4.4 rightsendcert=never

Finalment, indicarem a StrongSwan que sol·liciti als clients les credencials dels usuaris quan es connectin:

/etc/ipsec.conf
. . .conn ikev2-vpn . . . eap_identity=%identity

el fitxer de configuració ha de tenir el següent aspecte:

/etc/ipsec.conf
config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=noconn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes dpdaction=clear dpddelay=300s rekey=no left=%any [email protected]_domain_or_IP leftcert=server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.10.10.0/24 rightdns=8.8.8.8,8.8.4.4 rightsendcert=never eap_identity=%identity

Deseu i tanqueu el fitxer un cop verificat que va fer aquesta configuració com s’indica.

Ara que configurem els paràmetres de VPN, crearem un compte perquè els nostres usuaris puguin connectar-se a servidor.

Pas 5: Configurar l’autenticació de VPN

el nostre servidor de VPN ara està configurat per acceptar connexions de clients, però encara no vam establir credencials. Haurem de fer algunes configuracions en un arxiu de configuració especial anomenat ipsec.secrets:

  • Hem d’indicar a StrongSwan on trobar la clau privada per al certificat del nostre servidor , de manera que aquest últio pugui autenticar als clients.
  • També, haurem de configurar una llista d’usuaris a qui se’ls permetrà connectar-se a l’VPN.

Obrim el arxius de secrets per editar-:

  • sudo nano /etc/ipsec.secrets

Primer, li indicarem a StrongSwan on trobar la nostra clau privada:

/etc/ipsec.secrets
: RSA "server-key.pem"

Després, definirem les credencials dels usuaris. Podeu crear qualsevol combinació de nom d’usuari o contrasenya que desitgi:

/etc/ipsec.secrets
your_username : EAP "your_password"

Deseu i tanqueu el fitxer . Ara que acabem de treballar amb els paràmetres de VPN, reiniciarem el servei de VPN perquè s’apliqui la nostra configuració:

  • sudo systemctl restart strongswan

Ara que el servidor de VPN va quedar totalment configurat, tant amb opcions de servidor com amb les credencials d’usuaris, és el moment de prosseguir amb la configuració de la part més important: el firewall.

Pas 6: Configura el tallafocs i el reenviament d’IP de nucli

Un cop completada la configuració de StrongSwan, hem de configurar el firewall per reenviar i permetre el trànsit de VPN.

Si va seguir el tutorial dels requisits previs, hauria de tenir habilitat un tallafoc UFW molt bàsic. Si encara no té configurat UFW, pot crear una configuració referencial i habilitar-escrivint el següent:

  • sudo ufw allow OpenSSH
  • sudo ufw enable

Ara, afegiu una regla per permetre el trànsit UDP als ports IPSec estàndards 500 i 4500:

  • sudo ufw allow 500,4500/udp

a continuació, obrirem un dels arxius de configuració de UFW per afegir algunes polítiques de baix nivell per tal de dirigir i tornar a enviar paquets IPSec. Abans de fer-ho, hem de determinar la interfície de xarxa del nostre servidor que s’usa per accedir a Internet. Podem trobar-lo consultant la interfície associada a la ruta per defecte:

  • ip route | grep default

La seva interfície pública ha d’anar després de la paraula “dev”.Per exemple, aquest resultat mostra la interfície anomenada eth0, que es ressalta a continuació:

Output
default via 203.0.113.7 dev eth0 proto static

Quan tingui una interfície de xarxa pública, obriu el fitxer /etc/ufw/before.rules en el seu editor de text:

  • sudo nano /etc/ufw/before.rules

a prop de la part superior de l’arxiu (abans de la línia *filter), afegiu el següent bloc de configuració:

/etc/ufw/before.rules
*nat-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADECOMMIT*mangle-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360COMMIT*filter:ufw-before-input - :ufw-before-output - :ufw-before-forward - :ufw-not-local - . . .

Canvieu cada instància de eth0 en la configuració superior perquè coincideixi amb el nom d’interfície que va trobar amb ip route. Les línies *nat creen regles perquè el tallafocs pugui dirigir i manipular de manera correcta el trànsit entre els clients de VPN i Internet. La línia *mangle s’ajusta la mida màxima de l’segment de paquet per evitar problemes potencials amb determinats clients de VPN.

A continuació, després de les línies *filter i de definició de cadenes, afegiu un bloc més de configuració:

/etc/ufw/before.rules
. . .*filter:ufw-before-input - :ufw-before-output - :ufw-before-forward - :ufw-not-local - -A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.10.0/24 -j ACCEPT-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.10.0/24 -j ACCEPT

Aquestes línies sol·liciten a l’tallafocs que reenviï el tràfic de càrrega de seguretat encapsuladora (ESP), perquè els clients de VPN puguin connectar-se. ESP proporciona seguretat addicional per als nostres paquets de VPN a mesura que circulen per xarxes no fiables.

Quan acabi, guardi i tanqueu el fitxer.

Abans de reiniciar l’tallafocs, canviarem alguns paràmetres de nucli de xarxa per a permetre l’enrutament d’una interfície a una altra. Obriu el fitxer de configuració de paràmetres de kernel de UFW.

  • sudo nano /etc/ufw/sysctl.conf

Haurem de realitzar algunes configuracions aquí:

  • Primer, habilitarem el reenviament de paquets IPv4.
  • Inhabilitaremos la detecció de MTU de ruta per evitar problemes de fragmentació de paquets.
  • Tampoc acceptarem redireccionaments d’ICMP ni enviarem redireccionaments d’ICMP per prevenir la presència d’atacants desconeguts.

Els canvis que ha de fer a l’arxiu estan ressaltats en el següent codi:

/etc/ufw/sysctl.conf
. . .# Enable forwarding# Uncomment the following linenet/ipv4/ip_forward=1. . .# Do not accept ICMP redirects (prevent MITM attacks)# Ensure the following line is setnet/ipv4/conf/all/accept_redirects=0# Do not send ICMP redirects (we are not a router)# Add the following linesnet/ipv4/conf/all/send_redirects=0net/ipv4/ip_no_pmtu_disc=1

Deseu el fitxer quan acabi. UFW aplicarà aquests canvis la propera vegada que s’iniciï.

Ara podem activar tots els nostres canvis desactivant i reactivant el tallafoc:

  • sudo ufw disable
  • sudo ufw enable

Es us demanarà confirmar el procés. Escrigui Y per activar UFW novament amb les configuracions noves.

Pas 7: Provar la connexió de VPN a Windows, iOS i macOS

Ara que tot és, és hora de provar-ho. Primer, haurà de copiar el certificat de CA que va crear i instal·lar en els seus dispositius clients que es connectaran a la VPN. La forma més senzilla de fer-ho és iniciar sessió en el seu servidor i mostrar el contingut de l’arxiu de certificat:

  • cat /etc/ipsec.d/cacerts/ca-cert.pem

Veureu un resultat similar a aquest:

Output
-----BEGIN CERTIFICATE-----MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE. . .EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQBayqOb/Q-----END CERTIFICATE-----

Copieu aquest resultat al seu ordinador, incloses les línies -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----, i deseu-lo en un arxiu amb un nom que pugui reconèixer, com ca-cert.pem. Assegureu-vos que l’arxiu que creu tingui l’extensió .pem.

De manera alternativa, utilitzeu SFTP per a transferir l’arxiu al seu ordinador.

Una vegada que descarregui l’arxiu ca-cert.pem al seu ordinador, podrà configurar la connexió a la VPN.

Connecta des de Windows

Primer , import el certificat de root seguint aquests passos:

  1. Premeu WINDOWS+R per obrir el diàleg Executar i escriviu mmc.exe per iniciar la consola d’administració de Windows.
  2. al menú Arxiu, adreceu-vos a Afegir o treure complement, seleccioneu Certificats en la llista de complements disponibles i feu clic a Afegeix.
  3. El nostre propòsit és que la VPN funcioni amb qualsevol usuari. Per això, ha de seleccionar Compte d’equip i fer clic a Següent.
  4. Farem algunes configuracions a l’ordinador local. Seleccioneu Equip local i després feu clic a Finalitza.
  5. A sota de el node Arrel de consola, s’expandeixi l’entrada Certificats (equip local), s’expandeixi Entitats de certificació arrel de confiança, i seleccioneu l’entrada Certificats: Vista de certificats.

  6. al menú Acció, seleccioneu Totes les tasques i feu clic a Importa … per a visualitzar l’Auxiliar per importació de certificats. Feu clic a Següent per passar la introducció.

  7. A la pantalla Arxiu per a importar, premeu el botó Navega … i seleccioneu el fitxer de certificat que va guardar. Després feu clic a Següent.

  8. Assegureu-vos que el valor de Magatzem de certificats sigui Entitats de certificació arrel de confiança i feu clic a Següent.

  9. feu clic a Finalitza per importar el certificat.

Després, configuri la VPN seguint aquests passos:

  1. Inicieu el Tauler de control i dirigiu-vos a Centre de xarxes i recursos compartits.
  2. Feu clic a Configura una nova connexió o xarxa i després seleccioneu Connectar-se a una àrea de treball.
  3. Seleccioneu Utilitza la meva connexió a Internet (VPN) .
  4. Introduïu la informació de servidor VPN. Introduïu el nom de l’domini o l’adreça IP de servidor en el camp Adreça d’Internet i després completi Nom de destinació amb alguna cosa que descrigui la seva connexió de VPN. Després feu clic a Connectar.

Es podrà veure la seva nova connexió de VPN a la llista de xarxes. Seleccioneu la VPN i feu clic a Connectar. Se li sol·licitarà el nom d’usuari i contrasenya. Escriviu i feu clic **** a D’acord. Amb això, ha d’establir la connexió.

Connecta des macOS

Seguiu aquests passos per importar el certificat:

  1. Feu doble clic al fitxer de certificado.Acceso a Clauers apareixerà amb el diàleg “Accés a Clauers està intentant modificar el sistema d’administració de contrasenyes. Introduïu la contrasenya per autoritzar”.
  2. Introduïu la contrasenya i feu clic a Modifica clauer.
  3. Feu clic al certificat de VPN recent importat. Amb això, s’obrirà s’obre una petita finestra de propietats en la qual podrà especificar els nivells de confiança. Fixeu Seguretat d’IP (IPSec) en Confiar sempre. es sol·licitarà que ingressi la contrasenya de nou. Aquesta configuració guarda de forma automàtica la contrasenya una vegada que s’ingressa.

Ara que el certificat és important i fiable, configurar la connexió de VPN seguint aquests passos:

  1. Aneu a Preferències de Sistema i seleccioneu Xarxa.
  2. Feu clic al bo tó petit de “addició” a la part inferior esquerra de la llista de xarxes.
  3. A la finestra emergent que apareixerà, fixi el valor d’Interfície en VPN i el de Tipus de VPN en IKEv2, i assigni un nom a la connexió.
  4. En els camps servidor i ID remot, introduïu el nom de domini o l’adreça IP de servidor. Deixi ID local en blanc.
  5. Feu clic a Paràmetres d’autenticació, seleccioneu Nom de l’usuari, i introduïu el nom d’usuari i la contrasenya que va configurar per al seu usuari de VPN. Després feu clic a D’acord.

Finalment, feu clic a Connectar per connectar-se a la VPN. Amb això, hauria d’establir la connexió amb la VPN.

Connecta des d’Ubuntu

Per connectar des d’un equip amb Ubuntu, pot configurar i administrar StrongSwan com un servei o usar una ordre únic cada vegada que vulgueu connectar-se. Es proporcionen instruccions per a ambdues alternatives.

Administrar StrongSwan com un servei

  1. Actualitzeu la memòria cau del seu paquet local: sudo apt update.
  2. Instal StrongSwan i el programari relacionat: libcharon sudo apt install.
  3. Copieu el certificat CA a directori /etc/ipsec.d/cacertssudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts.
  4. Inhabiliteu StrongSwan perquè la VPN no s’iniciï de forma automàtica: sudo systemctl disable --now strongswan.
  5. Configureu el nom d’usuari i contrasenya de VPN a l’arxiu /etc/ipsec.secretsyour_username: EAP "your_password”<^>.
  6. Editeu el fitxer /etc/ipsec.conf per definir la seva configuració.
/etc/ipsec.conf
config setupconn ikev2-rw right=server_domain_or_IP # This should match the `leftid` value on your server's configuration rightid=server_domain_or_IP rightsubnet=0.0.0.0/0 rightauth=pubkey leftsourceip=%config leftid=username leftauth=eap-mschapv2 eap_identity=%identity auto=start

Per a connectar-se a la VPN, escriviu el següent:

  • sudo systemctl start strongswan

Per a desconnectar-nou, escriviu el següent:

  • sudo systemctl stop strongswan

Utilitzar un client simple per connexions úniques

  1. Actualitzeu la memòria cau del seu paquet local: sudo apt update.
  2. Instal charon-cmd i el programari relacionat : sudo apt install charon-cmd.
  3. Aneu a directori a què va copiar el certificat de CA: cd /path/to/ca-cert.pem.
  4. Connecteu-vos a servidor de VPN amb charon-cmd usant el certificat de CA d’servidor, l’adreça IP de servidor de VPN i l’usuari que va configurar: sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username.
  5. Quan se us demani, brindi la contrasenya de l’usuari de la VPN.

amb això, hauria d’establir la connexió amb la VPN. Per desconnectar, premi CTRL+C i esperi que la connexió es tanqui.

Connecta des de iOS

Per configurar la connexió de VPN en un dispositiu iOS, feu el següent:

  1. Envieu-vos un correu electrònic amb el certificat de root adjunt.
  2. Obriu el correu electrònic en el seu dispositiu iOS, toqueu el fitxer de l’certificat adjunt i després seleccioneu Instal·lar i introdueix el codi d’accés. Una vegada que s’instal·li, premi Fet.
  3. Aneu a Configuració, General, VPN i toc Afegir configuració de VPN. Amb això, es mostrarà la pantalla de configuració de la connexió de la VPN.
  4. Toc Tipus i seleccioneu IKEv2.
  5. En el camp Descripció, introduïu un nom curt per a la connexió de VPN . Pot ser el que desitgi.
  6. En els camps Servidor i ID remot, introduïu el nom de domini o l’adreça IP de servidor. Pot deixar el camp ID local buit.
  7. Introduïu el vostre nom d’usuari i contrasenya a la secció Autenticació i toc Fet.
  8. Seleccioneu la connexió de VPN que acabeu de crear i toc el commutador a la part superior de la pàgina. Amb això, es connectarà.

Connecta des d’Android

Seguiu aquests passos per importar el certificat:

  1. Envieu-vos un correu electrònic amb el certificat de CA adjunt. Deseu el certificat CA a la seva carpeta de descàrregues.
  2. Descarregueu strongSwan VPN Client de Play Store.
  3. Obriu l’aplicació. Toc la icona “més” a la part superior dreta (icona de tres punts) i seleccioneu certificats de CA.
  4. Toc novament la icona “més” a la cantonada superior dreta. Seleccioneu Importa certificat.
  5. Busqueu l’arxiu de l’certificat de CA en la seva carpeta de descàrregues i seleccioneu-lo per importar-lo a l’aplicació.

Ara que es va importar el certificat a la aplicació strongSwan, pot establir la connexió de VPN amb els següents passos:

  1. en l’aplicació, toc ADD VPN PROFILE a la part superior.
  2. Completi el * camp Server * amb el nom de domini o l’adreça IP pública del servidor de VPN.
  3. Assegureu-vos de seleccionar IKEv2 EAP (Username / Password) en la categoria “Type” per a la VPN.
  4. completi els camps Username i Password amb les credencials que va definir al servidor.
  5. Desmarqueu la selecció de ** Select automatically a la secció CA certificate ** i feu clic a Select CA certificate.
  6. Toqueu la pestanya Imported a la part superior de la pantalla i triï la CA que va importar (rebrà el nom “CA rootVPN” si no va canviar “DN” prèviament).
  7. si vol, completi el cam po Profile name (optional) amb un nom més descriptiu.

Si voleu connectar-se a la VPN, feu clic al perfil que acabeu de crear en l’aplicació strongSwan.

Resolució de problemes en connexions

Si no pot importar el certificat, assegureu-vos que l’arxiu contingui l’extensió .pem en lloc .pem.txt.

Si no pot connectar-se a la VPN, verifiqui el nom o l’adreça IP de servidor que va usar. El nom de domini o l’adreça IP de servidor ha de coincidir amb el que va configurar com nom comú (CN) a l’crear el certificat. Si no coincideixen, la connexió de VPN no funcionarà. Si configura un certificat amb el CN de vpn.example.com, ha d’usar vpn.example.com quan introduïu la informació de servidor de VPN. Verifiqueu bé la comanda que va fer servir per generar el certificat i els valors que va emprar a l’crear la seva connexió de VPN.

Finalment, verifiqui la configuració de VPN per garantir que el valor leftid estigui configurat amb el símbol @ si fa servir un nom de domini:

 [email protected]

I si fa servir una adreça IP, assegureu-vos que s’ometi el símbol @.

Conclusió

A través d’aquest tutorial, va crear un servidor de VPN que fa servir el protocol IKEv2. Ara tindrà la seguretat que les seves activitats en línia romandran protegides sense importar a on es dirigeixi.

Per afegir o eliminar usuaris, simplement repassi el pas 5. Cada línia és per a un usuari. Això permet afegir o eliminar usuaris amb només editar el fitxer.

A partir d’aquest punt, és possible que vulgueu configurar un analitzador de fitxers de registre, ja que strongSwan bolca els seus registres en syslog. Trobareu més informació sobre com realitzar aquesta configuració en el tutorial Com instal · lar i utilitzar Logwatch Log Analyzer and Reporter en un VPS.

Pot interessar també aquesta guia de EFF sobre privacitat en línia.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *