Comment configurer un serveur VPN IKEV2 avec STRATSWAN dans Ubuntu 18.04

Introduction

Un réseau privé virtuel (VPN, pour son acronyme en anglais) vous permet de chiffrer de manière sécurisée la Trafic tout en se déroulant à travers des réseaux non fiables, tels que ceux d’une cafétéria, une salle de conférence ou un aéroport.

IKEV2 ou Echange de clé Internet v2, est un protocole qui permet une mise en œuvre directe des tunnels IPSec entre le serveur et les clients. Dans les implémentations VPN IKEV2, IPsec fournit un cryptage pour le trafic réseau. IKEV2 est prise en charge de manière nativement avec certaines plates-formes (OS X 10.11+, iOS 9.1+ et Windows 10) sans avoir besoin d’applications supplémentaires et gère les pics de clients sans problèmes.

via ce tutoriel, vous configurerez un VPN IKEV2 SERVER AVEC STRATSWAN Aide sur un serveur UBUNTU 18.04 et connectez-vous à cela des clients Windows, MacOS, Ubuntu, iOS et Android.

Prérequis

Pour compléter ce tutoriel aura besoin de la suivante. :

  • un serveur Ubuntu 18.04 configuré conformément à la configuration initiale de la configuration des serveurs Ubuntu 18.04, y compris un utilisateur sudo Ne pas racine et un pare-feu.

Étape 1: Installez STUDSWAN

Premièrement, nous allons installer STRATSWAN, une démon IPSec open source que nous allons configurer pour travailler comme serveur VPN. De même, nous allons installer le composant d’infrastructure clé publique qui nous permettra de créer une autorité de certification pour fournir des informations d’identification de notre infrastructure.

mettre à jour le cache de paquetage local et installer le logiciel en écrivant ce qui suit:

  • sudo apt update
  • sudo apt install strongswan strongswan-pki

Maintenant que tout a été installé, nous allons créer nos certificats.

Étape 2: Créez une autorité de certification

Un IKEV2 Le serveur nécessite un certificat pour identifier contre les clients. Pour que nous puissions créer le certificat requis, le package strongswan-pki comprend un utilitaire pour générer une autorité de certification et des certificats de serveur. Pour commencer, nous créerons des répertoires pour stocker tous les actifs dans lesquels nous allons travailler. La structure de répertoire coïncide avec certains des répertoires de /etc/ipsec.d, où nous vendrons tous les éléments que nous croyons à un moment donné. Nous bloquerons les autorisations afin que d’autres utilisateurs ne puissent pas voir nos fichiers privés:

  • mkdir -p ~/pki/{cacerts,certs,private}
  • chmod 700 ~/pki

Maintenant que nous avons une structure de répertoire pour tout stocker, nous pouvons générer un clé pour racine Il s’agira d’une clé RSA de 4096 bits à utiliser pour signer notre autorité de certification racine.

Exécutez ces commandes pour générer la clé:

  • ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/ca-key.pem

Maintenant que nous avons une clé, nous pouvons créer notre autorité de certification racine à l’aide de la clé pour signer notre certificat racine:

  • ipsec pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
  • --type rsa --dn "CN=VPN root CA" --outform pem > ~/pki/cacerts/ca-cert.pem

peut changer le * distingué Nom Values * (DN) pour autre chose si vous le souhaitez. Le nom commun ici n’est que l’indicateur, il n’est donc pas nécessaire de ne rien faire correspondre à votre infrastructure.

Maintenant que notre autorité de certification racine est prête, nous pouvons créer un certificat qui utilisera le serveur VPN.

Étape 3: Générez un certificat pour le serveur VPN

MAINTENANT, nous allons créer un certificat et un mot de passe pour le serveur VPN. Cette certification permettra aux clients de vérifier l’authenticité du serveur à l’aide de la certification CA que nous venons de générer.

Premier, créez une clé privée pour le serveur VPN avec la commande suivante:

  • ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/server-key.pem

maintenant, créez et slez le certificat de serveur VPN avec la clé d’administration de certification créée à l’étape précédente. Exécutez la commande suivante, mais modifiez les champs de nom commun (CN) et nom de sujet alternatif (SAN) par le nom DNS ou l’adresse IP de votre serveur VPN:

  • ipsec pki --pub --in ~/pki/private/server-key.pem --type rsa \
  • | ipsec pki --issue --lifetime 1825 \
  • --cacert ~/pki/cacerts/ca-cert.pem \
  • --cakey ~/pki/private/ca-key.pem \
  • --dn "CN=server_domain_or_IP" --san "server_domain_or_IP" \
  • --flag serverAuth --flag ikeIntermediate --outform pem \
  • > ~/pki/certs/server-cert.pem

Maintenant que nous générons tous les fichiers TLS / SSL qui a besoin de STriTswan a besoin, nous pouvons les déplacer à leur place dans le répertoire /etc/ipsec.d en tapant les éléments suivants:

  • sudo cp -r ~/pki/* /etc/ipsec.d/

Dans cette étape, nous créons une paire de certificats pouvant être utilisés pour protéger les communications entre le client et le serveur. En outre, nous avons signé des certificats avec la clé AC, de sorte que le client puisse vérifier l’authenticité du serveur VPN à l’aide du certificat AC. Maintenant que nous prouvons tous les certificats prêts, nous configurerons le logiciel.

Étape 4: Configurer STARDSWAN

STRATSWAN a un fichier de configuration par défaut avec quelques exemples, mais nous devrons devoir Faites la plupart de la configuration sur notre compte.Nous sauvegarderons le fichier en tant que mode de référence avant de partir de zéro:

  • sudo mv /etc/ipsec.conf{,.original}

créer et ouvrir un nouveau fichier de configuration vide en tapant les éléments suivants:

  • sudo nano /etc/ipsec.conf

Tout d’abord, nous allons dire à STRAYSWAN qui enregistre les états des démons de déboguer et d’autoriser des connexions en double. Ajoutez ces lignes au fichier:

/etc/ipsec.conf
config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=no

alors, nous allons créer une section de configuration pour notre VPN . Nous allons également raconter des surswan qui crée des tunnels VPN IKEV2 et téléchargera automatiquement cette section de configuration lors du démarrage. Ajoutez les lignes suivantes au fichier:

/etc/ipsec.conf
. . .conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes

Nous configurerons également la détection des paires inactives vers Supprimer toute connexion « En attente » Si le client est déconnecté de manière inattendue, ajoutez ces lignes:

/etc/ipsec.conf
. . .conn ikev2-vpn . . . dpdaction=clear dpddelay=300s rekey=no

Ensuite, nous allons configurer les paramètres IPsec sur le côté (à gauche) du serveur. Ajoutez ceci au fichier:

/etc/ipsec.conf
. . .conn ikev2-vpn . . . left=%any [email protected]_domain_or_IP leftcert=server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0

Remarque: lorsque vous configurez l’ID de serveur (leftid), n’inclut que le caractère @ Si votre serveur VPN sera Soyez identifié par un nom de domaine:

 [email protected]

Si le serveur est identifié par votre adresse IP, insérez-le simplement:

 leftid=203.0.113.7

Ensuite, nous pouvons configurer les paramètres IPSec sur le côté client (à droite), telles que les adresses IP privées et les serveurs. DNS qui sera utilisé:

/etc/ipsec.conf
. . .conn ikev2-vpn . . . right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.10.10.0/24 rightdns=8.8.8.8,8.8.4.4 rightsendcert=never

Enfin, nous indiquerons STRAYSWAN pour demander aux clients des informations d’identification Utilisateurs lorsqu’ils sont connectés:

/etc/ipsec.conf
. . .conn ikev2-vpn . . . eap_identity=%identity

Le fichier de configuration doit avoir le look suivant:

/etc/ipsec.conf
config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=noconn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes dpdaction=clear dpddelay=300s rekey=no left=%any [email protected]_domain_or_IP leftcert=server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.10.10.0/24 rightdns=8.8.8.8,8.8.4.4 rightsendcert=never eap_identity=%identity

Enregistrer et fermez le fichier une fois que vous avez vérifié la configuration comme indiqué.

maintenant que nous configurions les paramètres VPN, nous créerons un compte afin que nos utilisateurs puissent se connecter au serveur.

Étape 5: Configurer l’authentification VPN

Notre serveur VPN est maintenant configuré pour Acceptez les connexions clientes, mais nous n’établissons toujours pas des informations d’identification. Nous devrons faire des configurations dans un fichier de configuration spécial appelé ipsec.secrets:

  • Nous devons indiquer à STRATSWAN pour trouver la clé privée du certificat de notre serveur, ce dernier peut donc authentifier les clients.
  • aussi, nous devrons configurer une liste d’utilisateurs qui seront autorisés à se connecter au VPN.

Nous ouvrons les fichiers secrets pour le modifier:

  • sudo nano /etc/ipsec.secrets

Tout d’abord, nous allons dire à STRAYSWAN Où trouver notre clé privée:

/etc/ipsec.secrets
: RSA "server-key.pem"

Alors, nous définirons les informations d’identification des utilisateurs. Vous pouvez créer une combinaison de nom d’utilisateur ou de mot de passe que vous souhaitez:

/etc/ipsec.secrets
your_username : EAP "your_password"

Enregistrer et fermer le fichier. Maintenant que nous avons fini de travailler avec les paramètres VPN, nous redémarrerons le service VPN pour appliquer notre configuration:

  • sudo systemctl restart strongswan

maintenant que le serveur VPN a été totalement configuré, les deux avec des options de serveur et des informations d’identification des utilisateurs, il est temps de procéder à la configuration de la partie la plus importante: le pare-feu.

Étape 6: Configurez le noyau de la transmission du pare-feu et de la propriété intellectuelle

une fois le La configuration robuste est terminée, nous devons configurer le pare-feu pour transmettre et autoriser le trafic VPN.

Si vous avez suivi le didacticiel des conditions préalables, vous avez activé un pare-feu UFW très basique. Si vous n’avez pas encore configuré ufw, vous pouvez créer un paramètre de référentiel et l’activer en tapant les éléments suivants:

  • sudo ufw allow OpenSSH
  • sudo ufw enable

maintenant, ajoutez une règle pour autoriser le trafic UDP aux ports IPsec Normes 500 et 4500:

  • sudo ufw allow 500,4500/udp

Suivant, nous ouvrirons l’un des fichiers de configuration UFW pour ajouter des stratégies de bas niveau pour diriger et renvoyer des paquets IPsec. Avant de le faire, nous devons déterminer l’interface réseau de notre serveur utilisé pour accéder à Internet. Nous pouvons le trouver en consultant l’interface associée à la route par défaut:

  • ip route | grep default

Votre interface publique doit aller après le mot « dev ».Par exemple, ce résultat montre l’interface appelée eth0, qui est en surbrillance ci-dessous:

Output
default via 203.0.113.7 dev eth0 proto static

Quand il a un Interface de réseau public, ouvrez le fichier /etc/ufw/before.rules dans votre éditeur de texte:

  • sudo nano /etc/ufw/before.rules

Proche du haut du fichier ( Avant la ligne *filter), ajoutez le bloc de configuration suivant:

/etc/ufw/befre.rules
*nat-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADECOMMIT*mangle-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360COMMIT*filter:ufw-before-input - :ufw-before-output - :ufw-before-forward - :ufw-not-local - . . .

modifier chaque instance de eth0 dans la configuration supérieure de sorte qu’elle correspond au nom de l’interface que vous avez trouvé avec ip route . Les lignes *nat Créez des règles afin que le pare-feu puisse directement directement diriger et manipuler le trafic entre VPN et les clients Internet. Ligne *mangle ajuste la taille maximale du segment de package pour éviter les problèmes potentiels avec certains clients VPN.

Suivant, après les lignes *filter et la définition de chaîne, ajoutez un bloc de configuration plus:

/etc/ufw/before.rules
. . .*filter:ufw-before-input - :ufw-before-output - :ufw-before-forward - :ufw-not-local - -A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.10.0/24 -j ACCEPT-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.10.0/24 -j ACCEPT

ces Lignes Demandez au pare-feu de transférer le trafic de charge de sécurité Encapsulateur (ESP) afin que les clients VPN puissent se connecter. ESP fournit une sécurité supplémentaire pour nos paquets VPN comme ils circulent par des réseaux non fiables.

Lorsque vous avez terminé, enregistrez et fermez le fichier.

Avant de redémarrer le pare-feu, nous allons changer certains paramètres du noyau de réseau permettant de router une interface à une autre. Ouvrez le fichier de configuration des paramètres UFW Kernel.

  • sudo nano /etc/ufw/sysctl.conf

Nous devrons faire quelques paramètres ici:

  • Nous permettra à la transmission des paquets IPv4.
  • Nous désactiverons la détection de la route MTU pour éviter les problèmes de fragmentation de paquets.
  • Nous accepterons soit des redirections ICMP ou envoierons des redirections ICMP pour empêcher la présence de la présence de la présence. Les attaquants inconnus.

Les modifications que vous devriez faire dans le fichier sont surlignées dans le code suivant:

/etc/eufw/sysctl.conf
. . .# Enable forwarding# Uncomment the following linenet/ipv4/ip_forward=1. . .# Do not accept ICMP redirects (prevent MITM attacks)# Ensure the following line is setnet/ipv4/conf/all/accept_redirects=0# Do not send ICMP redirects (we are not a router)# Add the following linesnet/ipv4/conf/all/send_redirects=0net/ipv4/ip_no_pmtu_disc=1

enregistrer le fichier quand il se termine. UFW appliquera ces modifications la prochaine fois qu’elle commence.

Nous pouvons maintenant activer toutes nos modifications en désactivant et en réactivant le pare-feu:

  • sudo ufw disable
  • sudo ufw enable

Vous vous demanderez de confirmer le processus. Tapez Y pour activer à nouveau ufw avec les nouveaux paramètres.

Étape 7: Testez la connexion VPN dans Windows, iOS et MacOS

MAINTENANT Que tout est configuré, il est temps de l’essayer. Premièrement, vous devez copier le certificat AC qui le créait et l’installer sur vos clients qui seront connectés au VPN. Le moyen le plus simple de le faire est de vous connecter à votre serveur et de montrer le contenu du fichier de certificat:

  • cat /etc/ipsec.d/cacerts/ca-cert.pem

Vous verrez un résultat similaire à celui-ci:

Output
-----BEGIN CERTIFICATE-----MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE. . .EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQBayqOb/Q-----END CERTIFICATE-----

Copiez ce résultat sur votre ordinateur, y compris le -----BEGIN CERTIFICATE----- et-----END CERTIFICATE-----

, et enregistrez-le dans un fichier avec un nom qui peut reconnaître, comme ca-cert.pem. Assurez-vous que le fichier que vous créez a l’extension .pem.

Alternativement, utilisez SFTP pour transférer le fichier sur votre ordinateur.

une fois Vous téléchargez le fichier ca-cert.pem sur votre ordinateur, vous pouvez configurer la connexion à la VPN.

Connexion définie de Windows

Premier, importation Le certificat racine suivant ces étapes:

  1. Appuyez sur WINDOWS+R pour ouvrir la course et entrez mmc.exe pour commencer la console d’administration de Windows.
  2. Dans le menu Fichier, accédez à Ajouter ou Supprimer Add-on, sélectionnez Certificats dans la liste des add-ons disponibles et cliquez sur Ajouter.
  3. Notre objectif est Ce VPN fonctionne avec n’importe quel utilisateur. Par conséquent, vous devez sélectionner le compte d’équipement et cliquer sur Suivant.
  4. Nous ferons certaines configurations sur l’ordinateur local. Sélectionnez l’équipement local, puis cliquez sur Terminer.
  5. Sous le nœud racine de la console, développez l’entrée de certificat (ordinateur local), développez les entités de certification racine de confiance et sélectionnez l’entrée de certificat: Vue du certificat.

  6. Dans le menu Action, sélectionnez toutes les tâches, puis cliquez sur Importer … pour afficher l’assistant pour importer des certificats. Cliquez sur Suivant pour passer l’introduction.

  7. sur l’écran de fichier à importer, appuyez sur la touche Parcourir … et sélectionnez le fichier de certificat que vous avez enregistré. Puis cliquez sur Suivant.

  8. Assurez-vous que la valeur du magasin de certificats est de confiance en entités de certification racine et cliquez sur Suivant.

  9. Cliquez sur Terminer pour importer le certificat .

Puis, définissez le VPN en suivant ces étapes suivantes:

  1. Démarrez le panneau de commande et allez sur un centre de réseau et des ressources partagées.
  2. Cliquez sur Configurez une nouvelle connexion ou réseau, puis sélectionnez Connexion à une zone de travail.
  3. Sélectionnez Utiliser ma connexion Internet (VPN).
  4. Entrez les informations du serveur VPN. Entrez le nom du domaine ou de l’adresse IP du serveur dans le champ Adresse Internet, puis terminez le nom de destination avec quelque chose qui décrit sa connexion VPN. Cliquez ensuite sur Connecter.

Vous pouvez voir votre nouvelle connexion VPN dans la liste de réseautage. Sélectionnez le VPN et cliquez sur Connecter. On vous demandera votre nom d’utilisateur et votre mot de passe. Ecrivez-les et cliquez sur **** pour accepter. Avec cela, il définira la connexion.

Connexion définie de MacOS

Suivez ces étapes pour importer le certificat:

  1. double-cliquez sur le Certificat de fichier. Accédez aux porte-clés Il apparaît avec la boîte de dialogue « L’accès aux porte-clés tente de modifier le système de gestion du mot de passe. Entrez votre mot de passe pour l’autoriser. »
  2. Entrez votre mot de passe et cliquez sur Modifier la touche.
  3. Cliquez sur le certificat VPN nouvellement importé. Avec cela, il ouvrira une petite fenêtre de propriétés où vous pouvez spécifier les niveaux de confiance. Définir la sécurité IP (IPSec) pour toujours faire confiance. Votre mot de passe à nouveau. Cette configuration enregistre automatiquement le mot de passe une fois entré.

Maintenant que le certificat est important et fiable, configurez la connexion VPN en suivant ces étapes suivantes:

  1. aller à Préférences du système et sélectionnez Réseau.
  2. Cliquez sur le BO Petite tonne « addition » en bas à gauche de la liste de réseau.
  3. Dans la fenêtre contextuelle qui apparaîtra, définissez la valeur d’interface VPN et la valeur de type VPN dans IKEV2 et attribuez un nom à la Connexion.
  4. Dans les champs Server et ID distant, entrez le nom de domaine ou l’adresse IP du serveur. Laissez l’identifiant local vide.
  5. Cliquez sur Paramètres d’authentification, sélectionnez Nom d’utilisateur et entrez le nom d’utilisateur et le mot de passe que vous avez configuré pour votre utilisateur VPN. Cliquez ensuite sur OK.

Enfin, cliquez sur Connecter pour vous connecter au VPN. Avec cela, vous devez définir la connexion avec le VPN.

Connexion définie de Ubuntu

Pour vous connecter à partir d’un ordinateur avec Ubuntu, vous pouvez configurer et gérer des prélèvements solides en tant que service ou utiliser une commande unique chaque fois que vous souhaitez vous connecter. Les instructions sont fournies pour les deux alternatives.

Gérer STAYSwan en tant que service

  1. Mettez à jour le cache de votre colis local: .
  2. Installez STUDSWAN et logiciel associé: libcharon sudo apt install.
  3. Copiez le certificat CA sur le répertoire /etc/ipsec.d/cacertssudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts.
  4. Inhabilite STULDSWAN de sorte que le VPN ne démarre pas automatiquement: sudo systemctl disable --now strongswan
  5. Configurez votre nom d’utilisateur et votre mot de passe VPN dans le fichier /etc/ipsec.secrets
  6. Modifier le fichier /etc/ipsec.conf pour définir votre configuration.
/etc/ipsec.conf
config setupconn ikev2-rw right=server_domain_or_IP # This should match the `leftid` value on your server's configuration rightid=server_domain_or_IP rightsubnet=0.0.0.0/0 rightauth=pubkey leftsourceip=%config leftid=username leftauth=eap-mschapv2 eap_identity=%identity auto=start

Pour se connecter au VPN, tapez les éléments suivants:

  • sudo systemctl start strongswan

Pour débrancher à nouveau, tapez les éléments suivants:

  • sudo systemctl stop strongswan

Utilisez un client simple pour connexions uniques

  • Mettez à jour votre cache de colis local: .
  • Installez charon-cmd et logiciel associé:
    et logiciel associé: sudo apt install charon-cmd.

  • aller dans le répertoire auquel vous avez copié le certificat CA: cd /path/to/ca-cert.pem.
  • Connectez-vous au serveur VPN avec charon-cmd à l’aide du certificat CA de serveur, l’adresse IP du serveur VPN et de l’utilisateur configuré: sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username.
  • Lorsque vous y êtes invité, fournissez le mot de passe de l’utilisateur du VPN.
  • avec ceci, vous devez établir la connexion avec le VPN. Pour déconnecter, appuyez sur CTRL+C et attendez que la connexion se ferme.

    Réglage de la connexion iOS

    pour configurer la connexion VPN dans un iOS Dispositif, suivez ces étapes:

    1. Envoyez un email avec le certificat racine ci-joint.
    2. Ouvrez le courrier électronique sur votre appareil iOS, appuyez sur le fichier de certificat ci-joint, puis sélectionnez Installer et entrez-vous. votre code d’accès. Une fois installé, appuyez sur Terminé.
    3. Allez à Paramètres, Généralités, VPN et Touch Ajouter une configuration VPN. Avec cela, l’écran de configuration de la connexion VPN sera affiché.
    4. Type Type et sélectionnez IKEV2.
    5. Dans le champ Description, entrez un nom court pour la connexion VPN. C’est peut-être celui que vous voulez.
    6. Dans les champs Server distants et ID, entrez le nom de domaine ou l’adresse IP du serveur. Vous pouvez laisser le champ vide d’identifiant local vide.
    7. Entrez votre nom d’utilisateur et votre mot de passe dans la section d’authentification et touchez PRÊT.
    8. Sélectionnez la connexion VPN que vous venez de créer et de toucher le commutateur à la Haut de la page. Avec cela, il va se connecter.

    établir la connexion à partir d’Android

    Suivez ces étapes pour importer le certificat:

    1. Envoyer un email Avec le certificat CA ci-joint. Enregistrez le certificat de CA dans votre dossier de téléchargement.
    2. Téléchargez le client VPN STARDSWAN de Play Store.
    3. Ouvrez l’application. Touchez l’icône « Plus » dans le coin supérieur droit (icône en trois points) et sélectionnez Certificats CA.
    4. Touchez l’icône « Plus » dans le coin supérieur droit. Sélectionnez Certificat Importation.
    5. Recherchez le fichier de certificat AC dans votre dossier de téléchargement et sélectionnez-la pour l’importer sur l’application.

    Maintenant que le certificat a été importé au STRATSWAN Application, vous pouvez configurer la connexion VPN en traits suivis:

    1. dans l’application, appuyez sur Ajouter un profil VPN en haut.
    2. Terminer * Server de champ * avec le domaine Nom ou adresse IP publique de votre serveur VPN.
    3. Assurez-vous de sélectionner IKEV2 EAP (nom d’utilisateur / mot de passe) dans la catégorie « Type » pour VPN.
    4. Terminez les champs Nom d’utilisateur et mot de passe Avec les informations d’identification qui définies sur le serveur.
    5. antille La sélection de ** Sélectionnez automatiquement dans la section Ca Certificate Ca et cliquez sur Sélectionner le certificat de CA.
    6. Touchez l’onglet Importé en haut de l’écran et choisissez la CA qu’il importait (vous recevrez le nom « CA RootVPN » s’il n’a pas changé « DN » précédemment).
    7. Si vous le souhaitez, remplissez la came Nom du profil PO (facultatif) avec un nom plus descriptif.

    Lorsque vous souhaitez vous connecter au VPN, cliquez sur le profil que vous venez de créer dans l’application STRATSWAN.

    Dépannage dans les connexions

    Si vous ne pouvez pas importer du certificat, assurez-vous que le fichier contient l’extension .pem

    .pem.txt

    .

    Si vous ne pouvez pas vous connecter au VPN, vérifiez le nom ou l’adresse IP du serveur que vous avez utilisé. Le nom de domaine ou l’adresse IP du serveur doit correspondre à ce qu’il a configuré en tant que nom commun (CN) lors de la création du certificat. S’ils ne coïncident pas, la connexion VPN ne fonctionnera pas. Si vous configurez un certificat avec le CN de vpn.example.com, vous devez utiliser vpn.example.com lors de la saisie des informations de serveur VPN. Vérifiez bien la commande que vous utilisiez pour générer le certificat et les valeurs que vous avez utilisées lorsque vous créez votre connexion VPN.

    Enfin, vérifiez la configuration VPN pour assurer la valeur être configuré avec le symbole @ Si vous utilisez un nom de domaine:

     [email protected]

    et le cas échéant Une adresse IP, assurez-vous que le symbole .

    Conclusion

    via ce tutoriel, créé un serveur VPN à l’aide de l’IKEV2 protocole. Maintenant, vous serez sûr que vos activités en ligne resteront protégées indépendamment de l’endroit où elle est dirigée.

    Pour ajouter ou supprimer des utilisateurs, il suffit d’examiner l’étape 5. Chaque ligne est destinée à un utilisateur. Cela vous permet d’ajouter ou de supprimer des utilisateurs uniquement en modifiant le fichier.

    à partir de ce point, vous pouvez configurer un analyseur de fichiers journaux, car STriTswan passe par ses enregistrements dans Syslog. Vous trouverez plus d’informations sur la manière de faire de ces paramètres dans le tutoriel Comment installer et utiliser Logwatch Log Analyzer et Reporter sur un VPS.

    Vous pouvez également être intéressé par ce guide sur la vie privée en ligne.