Thứ hai, 16/07/2018 | 00:00 GMT+7

Cách thiết lập server VPN IKEv2 với StrongSwan trên Ubuntu 18.04

Mạng riêng ảo, hay VPN, cho phép bạn mã hóa lưu lượng một cách an toàn khi nó di chuyển qua các mạng không tin cậy , chẳng hạn như các mạng tại quán cà phê, hội nghị hoặc sân bay.

IKEv2 , hoặc Internet Key Exchange v2, là một giao thức cho phép tạo tunnel IPSec trực tiếp giữa server và client . Trong triển khai IKEv2 VPN, IPSec cung cấp mã hóa cho lưu lượng mạng. IKEv2 được hỗ trợ nguyên bản trên một số nền tảng (OS X 10.11+, iOS 9.1+ và Windows 10) mà không cần ứng dụng bổ sung nào và nó xử lý các trục trặc của client khá trơn tru.

Trong hướng dẫn này, bạn sẽ cài đặt server VPN IKEv2 bằng StrongSwan trên server Ubuntu 18.04 và kết nối với server này từ các client Windows, macOS, Ubuntu, iOS và Android.

Yêu cầu

Để hoàn thành hướng dẫn này, bạn cần :

Bước 1 - Cài đặt StrongSwan

Đầu tiên, ta sẽ cài đặt StrongSwan, một daemon IPSec open-souce mà ta sẽ cấu hình làm server VPN của bạn . Ta cũng sẽ cài đặt thành phần cơ sở hạ tầng public key để ta có thể tạo tổ chức phát hành certificate cung cấp thông tin đăng nhập cho cơ sở hạ tầng của ta .

Cập nhật cache ẩn gói local và cài đặt phần mềm bằng lệnh :

  • sudo apt update
  • sudo apt install strongswan strongswan-pki

Bây giờ mọi thứ đã được cài đặt, hãy chuyển sang tạo certificate của ta .

Bước 2 - Tạo Tổ chức phát hành certificate

Server IKEv2 certificate request để tự nhận dạng đối với client . Để giúp ta tạo certificate cần thiết, gói strongswan-pki đi kèm với một tiện ích để tạo cơ quan cấp certificate và certificate server . Để bắt đầu, hãy tạo một vài folder để lưu trữ tất cả các tài sản mà ta sẽ làm việc. Cấu trúc folder trùng với một số folder trong /etc/ipsec.d , nơi cuối cùng ta sẽ di chuyển tất cả các mục ta tạo. Ta sẽ khóa các quyền để user khác không thể xem các file riêng tư của ta :

  • mkdir -p ~/pki/{cacerts,certs,private}
  • chmod 700 ~/pki

Bây giờ ta có cấu trúc folder để lưu trữ mọi thứ, ta có thể tạo một khóa root . Đây sẽ là khóa RSA 4096-bit sẽ được sử dụng để ký cơ quan cấp certificate root của ta .

Thực thi các lệnh này để tạo khóa:

  • ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/ca-key.pem

Bây giờ ta đã có khóa, ta có thể chuyển sang tạo tổ chức phát hành certificate root của bạn , sử dụng khóa để ký certificate root :

  • ipsec pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
  • --type rsa --dn "CN=VPN root CA" --outform pem > ~/pki/cacerts/ca-cert.pem

Bạn có thể thay đổi các giá trị tên phân biệt (DN) thành một giá trị khác nếu bạn muốn. Tên thông thường ở đây chỉ là chỉ số, vì vậy nó không cần phải trùng với bất kỳ thứ gì trong cơ sở hạ tầng của bạn.

Bây giờ ta đã có cơ quan cấp certificate root của bạn và đang chạy, ta có thể tạo certificate mà server VPN sẽ sử dụng.

Bước 3 - Tạo certificate cho server VPN

Bây giờ ta sẽ tạo certificate và khóa cho server VPN. Chứng chỉ này sẽ cho phép client xác minh tính xác thực của server bằng certificate CA mà ta vừa tạo.

Đầu tiên, tạo private key cho server VPN bằng lệnh sau:

  • ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/server-key.pem

Bây giờ, hãy tạo và ký certificate server VPN bằng khóa của tổ chức phát hành certificate mà bạn đã tạo ở bước trước. Thực thi lệnh sau, nhưng thay đổi trường Tên chung (CN) và Chủ đề Tên thay thế (SAN) thành tên DNS hoặc địa chỉ IP của server VPN của bạn:

  • ipsec pki --pub --in ~/pki/private/server-key.pem --type rsa \
  • | ipsec pki --issue --lifetime 1825 \
  • --cacert ~/pki/cacerts/ca-cert.pem \
  • --cakey ~/pki/private/ca-key.pem \
  • --dn "CN=server_domain_or_IP" --san "server_domain_or_IP" \
  • --flag serverAuth --flag ikeIntermediate --outform pem \
  • > ~/pki/certs/server-cert.pem

Bây giờ ta đã tạo tất cả các file TLS / SSL mà StrongSwan cần, ta có thể di chuyển các file vào vị trí trong folder /etc/ipsec.d bằng lệnh :

  • sudo cp -r ~/pki/* /etc/ipsec.d/

Trong bước này, ta đã tạo một cặp certificate sẽ được sử dụng để bảo mật thông tin liên lạc giữa client và server . Ta cũng đã ký các certificate bằng khóa CA, vì vậy client sẽ có thể xác minh tính xác thực của server VPN bằng certificate CA. Bây giờ tất cả các certificate đã sẵn sàng, ta sẽ chuyển sang cấu hình phần mềm.

Bước 4 - Cấu hình StrongSwan

StrongSwan có một file cấu hình mặc định với một số ví dụ, nhưng ta sẽ phải tự mình thực hiện hầu hết các cấu hình. Hãy backup file để tham khảo trước khi bắt đầu từ đầu:

  • sudo mv /etc/ipsec.conf{,.original}

Tạo và mở file cấu hình trống mới bằng lệnh :

  • sudo nano /etc/ipsec.conf

Đầu tiên, ta sẽ yêu cầu StrongSwan ghi lại các trạng thái daemon để gỡ lỗi và cho phép các kết nối trùng lặp. Thêm các dòng này vào file :

/etc/ipsec.conf
config setup     charondebug="ike 1, knl 1, cfg 0"     uniqueids=no 

Sau đó, ta sẽ tạo phần cấu hình cho VPN của bạn . Ta cũng sẽ yêu cầu StrongSwan tạo Đường hầm VPN IKEv2 và tự động tải phần cấu hình này khi nó khởi động. Nối các dòng sau vào file :

/etc/ipsec.conf
. . . conn ikev2-vpn     auto=add     compress=no     type=tunnel     keyexchange=ikev2     fragmentation=yes     forceencaps=yes 

Ta cũng sẽ cấu hình tính năng phát hiện mạng ngang hàng để xóa mọi kết nối "lơ lửng" trong trường hợp client ngắt kết nối bất ngờ. Thêm những dòng này:

/etc/ipsec.conf
. . . conn ikev2-vpn     . . .     dpdaction=clear     dpddelay=300s     rekey=no 

Sau đó, ta sẽ cấu hình các thông số IPSec phía server (bên trái). Thêm cái này vào file :

/etc/ipsec.conf
. . . conn ikev2-vpn     . . .     left=%any     leftid=@server_domain_or_IP     leftcert=server-cert.pem     leftsendcert=always     leftsubnet=0.0.0.0/0 

Lưu ý : Khi cấu hình ID server ( leftid ), chỉ bao gồm ký tự @ nếu server VPN của bạn sẽ được xác định bằng domain :

    leftid=@vpn.example.com 

Nếu server sẽ được xác định bằng địa chỉ IP của nó, chỉ cần đặt địa chỉ IP vào:

    leftid=203.0.113.7 

Tiếp theo, ta có thể cấu hình các thông số IPSec phía client (bên phải), như dải địa chỉ IP riêng và server DNS để sử dụng:

/etc/ipsec.conf
. . . conn ikev2-vpn     . . .     right=%any     rightid=%any     rightauth=eap-mschapv2     rightsourceip=10.10.10.0/24     rightdns=8.8.8.8,8.8.4.4     rightsendcert=never 

Cuối cùng, ta sẽ yêu cầu StrongSwan yêu cầu khách hàng cung cấp thông tin đăng nhập của user khi họ kết nối:

/etc/ipsec.conf
. . . conn ikev2-vpn     . . .     eap_identity=%identity 

Tệp cấu hình sẽ giống như sau:

/etc/ipsec.conf
config setup     charondebug="ike 1, knl 1, cfg 0"     uniqueids=no  conn ikev2-vpn     auto=add     compress=no     type=tunnel     keyexchange=ikev2     fragmentation=yes     forceencaps=yes     dpdaction=clear     dpddelay=300s     rekey=no     left=%any     leftid=@server_domain_or_IP     leftcert=server-cert.pem     leftsendcert=always     leftsubnet=0.0.0.0/0     right=%any     rightid=%any     rightauth=eap-mschapv2     rightsourceip=10.10.10.0/24     rightdns=8.8.8.8,8.8.4.4     rightsendcert=never     eap_identity=%identity 

Lưu file khi bạn đã xác minh bạn đã cấu hình mọi thứ như được hiển thị.

Bây giờ ta đã cấu hình các thông số VPN, hãy chuyển sang tạo account để user của ta có thể kết nối với server .

Bước 5 - Cấu hình xác thực VPN

Server VPN của ta hiện đã được cấu hình để chấp nhận các kết nối client , nhưng ta chưa có bất kỳ thông tin đăng nhập nào được cấu hình . Ta cần cấu hình một số thứ trong file cấu hình đặc biệt có tên ipsec.secrets :

  • Ta cần cho StrongSwan biết nơi tìm private key cho certificate server của ta , vì vậy server sẽ có thể xác thực cho khách hàng.
  • Ta cũng cần cài đặt danh sách user sẽ được phép kết nối với VPN.

Hãy mở file bí mật để chỉnh sửa:

  • sudo nano /etc/ipsec.secrets

Đầu tiên, ta sẽ cho StrongSwan biết nơi tìm private key của ta :

/etc/ipsec.secrets
: RSA "server-key.pem" 

Sau đó, ta sẽ xác định thông tin đăng nhập của user . Bạn có thể tạo bất kỳ kết hợp tên user hoặc password nào bạn muốn :

/etc/ipsec.secrets
your_username : EAP "your_password" 

Lưu và đóng file . Bây giờ ta đã làm việc xong với các thông số VPN, ta sẽ khởi động lại dịch vụ VPN để cấu hình của ta được áp dụng:

  • sudo systemctl restart strongswan

Bây giờ server VPN đã được cấu hình đầy đủ với cả tùy chọn server và thông tin đăng nhập của user , đã đến lúc chuyển sang cấu hình phần quan trọng nhất: firewall .

Bước 6 - Cấu hình Tường lửa & Chuyển tiếp IP Nhân

Với cấu hình StrongSwan hoàn tất, ta cần cấu hình firewall để chuyển tiếp và cho phép lưu lượng VPN đi qua.

Nếu bạn đã làm theo hướng dẫn yêu cầu , bạn phải bật firewall UFW rất cơ bản. Nếu bạn chưa cấu hình UFW, bạn có thể tạo cấu hình cơ sở và kích hoạt nó bằng lệnh :

  • sudo ufw allow OpenSSH
  • sudo ufw enable

Bây giờ, hãy thêm luật để cho phép lưu lượng UDP đến các cổng IPSec tiêu chuẩn, 500 và 4500:

  • sudo ufw allow 500,4500/udp

Tiếp theo, ta sẽ mở một trong các file cấu hình của UFW để thêm một vài policy cấp thấp cho việc định tuyến và chuyển tiếp các gói IPSec. Trước khi thực hiện, ta cần tìm network interface nào trên server của ta được sử dụng để truy cập internet. Ta có thể tìm thấy điều đó bằng cách truy vấn giao diện được liên kết với tuyến mặc định:

  • ip route | grep default

Giao diện công khai của bạn phải theo từ "dev". Ví dụ: kết quả này hiển thị giao diện có tên eth0 , được đánh dấu bên dưới:

Output
default via 203.0.113.7 dev eth0 proto static

Khi bạn có network interface công cộng, hãy mở file /etc/ufw/before.rules trong editor của bạn:

  • sudo nano /etc/ufw/before.rules

Gần đầu file (trước dòng *filter ), thêm đoạn cấu hình sau:

/etc/ufw/before.rules
*nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE COMMIT  *mangle -A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360 COMMIT  *filter :ufw-before-input - [0:0] :ufw-before-output - [0:0] :ufw-before-forward - [0:0] :ufw-not-local - [0:0] . . . 

Thay đổi từng version của eth0 trong cấu hình trên để trùng với tên giao diện mà bạn tìm thấy với ip route . Các dòng *nat tạo ra các luật để firewall có thể định tuyến và thao tác chính xác lưu lượng giữa các client VPN và internet. Dòng *mangle điều chỉnh kích thước phân đoạn gói tối đa để ngăn chặn các sự cố tiềm ẩn với một số ứng dụng client VPN.

Tiếp theo, sau các dòng định nghĩa chuỗi *filter*filter , hãy thêm một đoạn cấu hình nữa:

/etc/ufw/before.rules
. . . *filter :ufw-before-input - [0:0] :ufw-before-output - [0:0] :ufw-before-forward - [0:0] :ufw-not-local - [0:0]  -A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.10.0/24 -j ACCEPT -A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.10.0/24 -j ACCEPT 

Những dòng này yêu cầu firewall chuyển tiếp lưu lượng ESP (Encapsulation Security Payload) để các client VPN có thể kết nối. ESP cung cấp bảo mật bổ sung cho các gói VPN của ta khi chúng truyền qua các mạng không tin cậy .

Khi bạn hoàn tất, hãy lưu file .

Trước khi khởi động lại firewall , ta sẽ thay đổi một số thông số nhân mạng để cho phép định tuyến từ giao diện này sang giao diện khác. Mở file cấu hình tham số kernel của UFW:

  • sudo nano /etc/ufw/sysctl.conf

Ta cần cấu hình một số thứ ở đây:

  • Đầu tiên, ta sẽ bật chuyển tiếp gói IPv4.
  • Ta sẽ vô hiệu hóa tính năng phát hiện MTU của Đường dẫn để ngăn chặn sự cố phân mảnh gói.
  • Ta cũng sẽ không chấp nhận chuyển hướng ICMP cũng như không gửi chuyển hướng ICMP để ngăn chặn các cuộc tấn công man-in-the-middle .

Những thay đổi bạn cần thực hiện đối với file được đánh dấu trong đoạn mã sau:

/etc/ufw/sysctl.conf
 . . .  # Enable forwarding # Uncomment the following line net/ipv4/ip_forward=1  . . .  # Do not accept ICMP redirects (prevent MITM attacks) # Ensure the following line is set net/ipv4/conf/all/accept_redirects=0  # Do not send ICMP redirects (we are not a router) # Add the following lines net/ipv4/conf/all/send_redirects=0 net/ipv4/ip_no_pmtu_disc=1 

Lưu file khi bạn hoàn thành. UFW sẽ áp dụng những thay đổi này vào lần khởi động tiếp theo.

Bây giờ, ta có thể kích hoạt tất cả các thay đổi của bạn bằng cách tắt và bật lại firewall :

  • sudo ufw disable
  • sudo ufw enable

Bạn sẽ được yêu cầu xác nhận quy trình. Gõ Y để bật lại UFW với cài đặt mới.

Bước 7 - Kiểm tra Kết nối VPN trên Windows, iOS và macOS

Đến đây bạn đã cài đặt mọi thứ, đã đến lúc dùng thử. Trước tiên, bạn cần sao chép certificate CA mà bạn đã tạo và cài đặt nó trên (các) thiết bị khách sẽ kết nối với VPN. Cách dễ nhất để làm điều này là đăng nhập vào server của bạn và xuất nội dung của file certificate :

  • cat /etc/ipsec.d/cacerts/ca-cert.pem

Bạn sẽ thấy kết quả tương tự như sau:

Output
-----BEGIN CERTIFICATE----- MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE . . . EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQ BayqOb/Q -----END CERTIFICATE-----

Sao chép kết quả này vào máy tính của bạn, bao gồm các dòng -----BEGIN CERTIFICATE----------END CERTIFICATE----- và lưu nó vào một file có tên dễ nhận biết, chẳng hạn như ca-cert.pem . Đảm bảo file bạn tạo có phần mở rộng .pem .

Ngoài ra, sử dụng SFTP để chuyển file vào máy tính của bạn .

Khi bạn đã tải file ca-cert.pem xuống máy tính của bạn , bạn có thể cài đặt kết nối với VPN.

Kết nối từ Windows

Đầu tiên, nhập certificate root theo các bước sau:

  1. Nhấn WINDOWS+R để hiển thị hộp thoại Chạy và nhập mmc.exe để chạy Control panel quản lý Windows.
  2. Từ menu Tệp , chuyển đến Thêm hoặc Xóa phần đính kèm , chọn Chứng chỉ từ danh sách các phần bổ trợ có sẵn và nhấp vào Thêm .
  3. Ta muốn VPN hoạt động với mọi user , vì vậy hãy chọn Tài khoản máy tính và nhấp vào Tiếp theo .
  4. Ta đang cấu hình mọi thứ trên máy tính local , vì vậy hãy chọn Máy tính local , sau đó nhấp vào Kết thúc .
  5. Trong nút Gốc của console , hãy mở rộng mục nhập Chứng chỉ (Máy tính local ) , mở rộng Tổ chức phát hành certificate root tin cậy , sau đó chọn mục nhập Chứng chỉ :
    Chế độ xem certificate

  6. Từ menu Hành động , chọn Tất cả Công việc và nhấp vào Nhập để hiển thị Trình hướng dẫn Nhập Chứng chỉ. Nhấp vào Tiếp theo để chuyển qua phần giới thiệu.

  7. Trên màn hình Tệp để Nhập , nhấn nút Duyệt qua và chọn file certificate mà bạn đã lưu. Sau đó nhấp vào Tiếp theo .

  8. Đảm bảo rằng Kho lưu trữ certificate được đặt thành Tổ chức phát hành certificate root tin cậy và nhấp vào Tiếp theo .

  9. Nhấp vào Hoàn tất để nhập certificate .

Sau đó, cấu hình VPN bằng các bước sau:

  1. Chạy Control Panel , sau đó chuyển đến Network and Sharing Center .
  2. Nhấp vào Cài đặt kết nối hoặc mạng mới , sau đó chọn Kết nối với nơi làm việc .
  3. Chọn Sử dụng kết nối Internet của tôi (VPN) .
  4. Nhập chi tiết server VPN. Nhập domain hoặc địa chỉ IP của server vào trường địa chỉ Internet , sau đó điền Tên đích cùng với nội dung mô tả kết nối VPN của bạn. Sau đó nhấp vào Xong .

Kết nối VPN mới của bạn sẽ hiển thị trong danh sách các mạng. Chọn VPN và nhấp vào Kết nối . Bạn sẽ được yêu cầu nhập tên user và password của bạn . Nhập chúng vào, bấm OK , và bạn sẽ được kết nối.

Kết nối từ macOS

Làm theo các bước sau để nhập certificate :

  1. Bấm đúp vào file certificate . Keychain Access sẽ bật lên với hộp thoại cho biết “Keychain Access đang cố gắng sửa đổi chuỗi khóa hệ thống. Nhập password của bạn để cho phép điều này. ”
  2. Nhập password của bạn, sau đó nhấp vào Sửa đổi chuỗi khóa
  3. Bấm đúp vào certificate VPN mới được nhập. Thao tác này sẽ trả về một cửa sổ thuộc tính nhỏ, nơi bạn có thể chỉ định mức độ tin cậy. Đặt Bảo mật IP (IPSec) thành Luôn tin cậy và bạn sẽ được yêu cầu nhập lại password của bạn . Cài đặt này sẽ tự động lưu sau khi nhập password .

Bây giờ certificate quan trọng và tin cậy , hãy cấu hình kết nối VPN bằng các bước sau:

  1. Đi tới Tùy chọn Hệ thống và chọn Mạng .
  2. Nhấp vào nút “dấu cộng” nhỏ ở phía dưới bên trái của danh sách các mạng.
  3. Trong cửa sổ bật lên xuất hiện, Đặt giao diện thành VPN , đặt Loại VPN thành IKEv2 và đặt tên cho kết nối.
  4. Trong trường Server ID từ xa , hãy nhập domain hoặc địa chỉ IP của server .Để trống Local ID .
  5. Nhấp vào Cài đặt xác thực , chọn Tên user và nhập tên user và password bạn đã cấu hình cho user VPN của bạn . Sau đó bấm OK .

Cuối cùng, nhấp vào Kết nối để kết nối với VPN. Đến đây bạn sẽ được kết nối với VPN.

Kết nối từ Ubuntu

Để kết nối từ máy Ubuntu, bạn có thể cài đặt và quản lý StrongSwan như một dịch vụ hoặc sử dụng lệnh một lần mỗi khi bạn muốn kết nối. Hướng dẫn được cung cấp cho cả hai.

Quản lý StrongSwan như một dịch vụ

  1. Cập nhật bộ nhớ cache gói local của bạn: sudo apt update
  2. Cài đặt StrongSwan và phần mềm liên quan sudo apt install strongswan libcharon-extra-plugins
  3. Sao chép certificate CA vào folder /etc/ipsec.d/cacerts : sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts
  4. Tắt StrongSwan để VPN không tự động khởi động: sudo systemctl disable --now strongswan
  5. Cấu hình tên user và password VPN của bạn trong file /etc/ipsec.secrets : your_username : EAP "your_password"
  6. Chỉnh sửa file /etc/ipsec.conf để xác cấu hình của bạn.
/etc/ipsec.conf
config setup  conn ikev2-rw     right=server_domain_or_IP     # This should match the `leftid` value on your server's configuration     rightid=server_domain_or_IP     rightsubnet=0.0.0.0/0     rightauth=pubkey     leftsourceip=%config     leftid=username     leftauth=eap-mschapv2     eap_identity=%identity     auto=start 

Để kết nối với VPN, hãy nhập:

  • sudo systemctl start strongswan

Để ngắt kết nối lại, hãy nhập:

  • sudo systemctl stop strongswan

Sử dụng ứng dụng client đơn giản cho kết nối một lần

  1. Cập nhật bộ nhớ cache gói local của bạn: sudo apt update
  2. Cài đặt charon-cmd và phần mềm liên quan sudo apt install charon-cmd libcharon-extra-plugins
  3. Di chuyển đến folder mà bạn đã sao chép certificate CA: cd <^>/path/to/ca-cert.pem
  4. Kết nối với server VPN bằng charon-cmd bằng certificate CA của server , địa chỉ IP của server VPN và tên user bạn đã cấu hình : sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username
  5. Khi được yêu cầu , hãy cung cấp password của user VPN.

Đến đây bạn sẽ được kết nối với VPN. Để ngắt kết nối, nhấn CTRL+C và đợi kết nối đóng.

Kết nối từ iOS

Để cấu hình kết nối VPN trên thiết bị iOS, hãy làm theo các bước sau:

  1. Gửi cho bạn một email có đính kèm certificate root .
  2. Mở email trên thiết bị iOS của bạn và nhấn vào file certificate đính kèm, sau đó nhấn Cài đặt và nhập mật mã của bạn. Sau khi cài đặt xong , hãy nhấn vào Xong .
  3. Đi tới Cài đặt , Chung , VPN và nhấn Thêm cấu hình VPN . Thao tác này sẽ hiển thị màn hình cấu hình kết nối VPN.
  4. Nhấn vào Loại và chọn IKEv2 .
  5. Trong trường Mô tả , hãy nhập tên ngắn cho kết nối VPN. Đây có thể là bất cứ thứ gì bạn thích.
  6. Trong trường Server ID từ xa , hãy nhập domain hoặc địa chỉ IP của server . Trường Local ID có thể được để trống.
  7. Nhập tên user và password của bạn vào phần Xác thực , sau đó chạm vào Xong .
  8. Chọn kết nối VPN mà bạn vừa tạo, chạm vào lựa chọn ở đầu trang và bạn sẽ được kết nối.

Kết nối từ Android

Làm theo các bước sau để nhập certificate :

  1. Gửi cho bạn một email có đính kèm certificate CA. Lưu certificate CA vào folder download của bạn.
  2. Download ứng dụng client StrongSwan VPN từ Cửa hàng Play.
  3. Mở ứng dụng. Nhấn vào biểu tượng “thêm” ở góc trên bên phải (biểu tượng ba chấm) và chọn chứng chỉ CA.
  4. Nhấn lại vào biểu tượng “thêm” ở góc trên bên phải. Chọn Nhập certificate .
  5. Duyệt đến file certificate CA trong folder download của bạn và chọn file đó để nhập vào ứng dụng.

Bây giờ certificate đã được nhập vào ứng dụng StrongSwan, bạn có thể cấu hình kết nối VPN bằng các bước sau:

  1. Trong ứng dụng, hãy nhấn vào THÊM HỒ SƠ VPN ở trên cùng.
  2. Điền vào Server bằng domain của server VPN hoặc địa chỉ IP công cộng của bạn.
  3. Đảm bảo IKEv2 EAP (Tên user / Mật khẩu) được chọn làm Loại VPN.
  4. Điền Tên user Mật khẩu với thông tin đăng nhập bạn đã xác định trên server .
  5. Bỏ chọn Chọn tự động trong phần chứng chỉ CA và nhấp vào Chọn certificate CA.
  6. Nhấn vào tab ĐÃ NHẬP ở đầu màn hình và chọn CA bạn đã nhập (nó sẽ được đặt tên là “VPN root CA” nếu bạn không thay đổi “DN” trước đó).
  7. Nếu bạn muốn, hãy điền vào Tên profile (tùy chọn) với một tên mô tả hơn.

Khi bạn muốn kết nối với VPN, hãy nhấp vào profile bạn vừa tạo trong ứng dụng StrongSwan.

Khắc phục sự cố kết nối

Nếu bạn không thể nhập certificate , hãy đảm bảo file có phần mở rộng .pem chứ không phải .pem.txt .

Nếu bạn không thể kết nối với VPN, hãy kiểm tra tên server hoặc địa chỉ IP bạn đã sử dụng.Tên domain hoặc địa chỉ IP của server phải trùng với những gì bạn đã cấu hình làm tên chung (CN) trong khi tạo certificate . Nếu chúng không khớp, kết nối VPN sẽ không hoạt động. Nếu bạn cài đặt certificate với CN của vpn.example.com , bạn phải sử dụng vpn.example.com khi nhập chi tiết server VPN. Kiểm tra kỹ lệnh bạn đã sử dụng để tạo certificate và các giá trị bạn đã sử dụng khi tạo kết nối VPN.

Cuối cùng, hãy kiểm tra kỹ cấu hình VPN đảm bảo giá trị leftid được cấu hình với ký hiệu @ nếu bạn đang sử dụng domain :

    leftid=@vpn.example.com 

Và nếu bạn đang sử dụng địa chỉ IP, hãy đảm bảo ký hiệu @ được bỏ qua.

Kết luận

Trong hướng dẫn này, bạn đã xây dựng một server VPN sử dụng giao thức IKEv2. Như vậy, bạn có thể yên tâm rằng các hoạt động trực tuyến của bạn sẽ vẫn an toàn cho dù bạn đi đâu!

Để thêm hoặc xóa user , chỉ cần xem lại Bước 5. Mỗi dòng dành cho một user , vì vậy việc thêm hoặc xóa user cũng đơn giản như chỉnh sửa file .

Từ đây, bạn có thể cần xem xét việc cài đặt trình phân tích file log , bởi vì StrongSwan kết xuất log của nó vào log hệ thống. Hướng dẫn Cách cài đặt và sử dụng Trình phân tích và báo cáo log Logwatch trên VPS có thêm thông tin về cách cài đặt .

Bạn cũng có thể quan tâm đến hướng dẫn này từ EFF về quyền riêng tư trực tuyến .


Tags:

Các tin liên quan

Cách cấu hình BIND làm server DNS Mạng riêng trên Ubuntu 18.04
2018-07-06
Sử dụng Bộ định tuyến React 4 với Kết xuất phía server
2018-06-04
Cách cài đặt Linux, Nginx, MySQL, PHP ( LEMP) trên Ubuntu 18.04
2018-05-23
server Express cơ bản trong Node.js
2018-05-04
Thiết lập server ban đầu với Ubuntu 18.04
2018-04-27
Tự động thiết lập server ban đầu với Ubuntu 18.04
2018-04-27
Bắt đầu với kết xuất phía server bằng Nuxt.js
2018-04-16
Cách bảo vệ server của bạn trước lỗ hổng Meltdown và Spectre
2018-01-10
Sơ lược về lịch sử Linux
2017-10-27
Cách thiết lập Shiny Server trên Ubuntu 16.04
2017-10-25