马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
OpenWrt上StrongSwan VPN服务器的安装和配置。
- 准备工作:
- 安装StrongSwan:
- 打开终端或SSH毗连到你的OpenWrt路由器。
- 运行以下命令安装StrongSwan:
- opkg update
- opkg install strongswan
复制代码
- 配置StrongSwan:
- 编辑StrongSwan的主配置文件。运行以下命令:
- 在文件中添加以下内容:
- charon {
- load_modular = yes
- duplicheck.enable = no
- compress = yes
- }
复制代码 - 保存并退出文件。
- 配置StrongSwan密钥和证书:
- 运行以下命令创建StrongSwan的密钥和证书目次:
- 运行以下命令天生StrongSwan的CA证书:
- ipsec pki --gen --type rsa --size 4096 --outform pem > /etc/ipsec.d/private/strongswanKey.pem
- ipsec pki --self --ca --lifetime 3650 --in /etc/ipsec.d/private/strongswanKey.pem --type rsa --dn "CN=strongSwan CA" --outform pem > /etc/ipsec.d/cacerts/strongswanCert.pem
复制代码 - 运行以下命令天生服务器证书:
- ipsec pki --gen --type rsa --size 2048 --outform pem > /etc/ipsec.d/private/serverKey.pem
- ipsec pki --pub --in /etc/ipsec.d/private/serverKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert /etc/ipsec.d/cacerts/strongswanCert.pem --cakey /etc/ipsec.d/private/strongswanKey.pem --dn "CN=server" --san server --flag serverAuth --flag ikeIntermediate --outform pem > /etc/ipsec.d/certs/serverCert.pem
复制代码 - 运行以下命令天生客户端证书(可选):
- ipsec pki --gen --type rsa --size 2048 --outform pem > /etc/ipsec.d/private/clientKey.pem
- ipsec pki --pub --in /etc/ipsec.d/private/clientKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert /etc/ipsec.d/cacerts/strongswanCert.pem --cakey /etc/ipsec.d/private/strongswanKey.pem --dn "CN=client" --outform pem > /etc/ipsec.d/certs/clientCert.pem
复制代码 - 设置StrongSwan的权限:
- chmod 600 /etc/ipsec.d/private/*
- chmod 600 /etc/ipsec.d/cacerts/*
- chmod 600 /etc/ipsec.d/certs/*
复制代码
- 配置StrongSwan的IPsec毗连:
- 编辑StrongSwan的IPsec毗连配置文件。运行以下命令:
- 在文件中添加以下内容:
- config setup
- charondebug="ike 1, knl 1, cfg 0"
- conn %default
- ikelifetime=60m
- keylife=20m
- rekeymargin=3m
- keyingtries=1
- keyexchange=ikev2
- dpdaction=clear
- dpddelay=300s
- dpdtimeout=1h
- compress=yes
- left=%any
- leftsubnet=0.0.0.0/0
- right=%any
- rightsourceip=10.10.10.0/24
- conn ikev2-vpn
- auto=add
- leftcert=serverCert.pem
- leftid=server
- leftsendcert=always
- rightauth=eap-mschapv2
- rightdns=8.8.8.8,8.8.4.4
- rightsendcert=never
- eap_identity=%identity
复制代码 - 保存并退出文件。
- 配置StrongSwan的IPsec预共享密钥:
- 编辑StrongSwan的IPsec预共享密钥配置文件。运行以下命令:
- 在文件中添加以下内容:
- : RSA serverKey.pem
- your_username : EAP "your_password"
复制代码 将your_username更换为你的用户名,your_password更换为你的密码。
- 保存并退出文件。
- 启动StrongSwan服务:
- 运行以下命令启动StrongSwan服务:
- 运行以下命令设置StrongSwan服务开机自启动:
- 配置防火墙规则:
- 运行以下命令打开StrongSwan所需的端口:
- uci add firewall rule
- uci set firewall.@rule[-1].name='Allow-IPSec'
- uci set firewall.@rule[-1].src='wan'
- uci set firewall.@rule[-1].dest='lan'
- uci set firewall.@rule[-1].proto='esp'
- uci set firewall.@rule[-1].target='ACCEPT'
- uci commit firewall
- /etc/init.d/firewall restart
复制代码
- 完成配置:
- 现在你已经成功安装和配置了StrongSwan VPN服务器。你可以使用支持IKEv2协议的VPN客户端毗连到你的OpenWrt路由器上。
请注意,这只是一个基本的配置示例,你可能还必要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和引导。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |