openwrt中搭建strongswan服务器vpn支持ipsec ikev2

知者何南 · 2024-6-11 19:28:34

OpenWrt上StrongSwan VPN服务器的安装和配置。

准备工作：
- ssh软件
安装StrongSwan：
- 打开终端或SSH毗连到你的OpenWrt路由器。
- 运行以下命令安装StrongSwan：
  1. opkg update
  2. opkg install strongswan
  复制代码
配置StrongSwan：
- 编辑StrongSwan的主配置文件。运行以下命令：
  1. vi /etc/strongswan.conf
  复制代码
- 在文件中添加以下内容：
  1. charon {
  2. load_modular = yes
  3. duplicheck.enable = no
  4. compress = yes
  5. }
  复制代码
- 保存并退出文件。
配置StrongSwan密钥和证书：
- 运行以下命令创建StrongSwan的密钥和证书目次：
  1. mkdir /etc/ipsec.d
  复制代码
- 运行以下命令天生StrongSwan的CA证书：
  1. ipsec pki --gen --type rsa --size 4096 --outform pem > /etc/ipsec.d/private/strongswanKey.pem
  2. ipsec pki --self --ca --lifetime 3650 --in /etc/ipsec.d/private/strongswanKey.pem --type rsa --dn "CN=strongSwan CA" --outform pem > /etc/ipsec.d/cacerts/strongswanCert.pem
  复制代码
- 运行以下命令天生服务器证书：
  1. ipsec pki --gen --type rsa --size 2048 --outform pem > /etc/ipsec.d/private/serverKey.pem
  2. ipsec pki --pub --in /etc/ipsec.d/private/serverKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert /etc/ipsec.d/cacerts/strongswanCert.pem --cakey /etc/ipsec.d/private/strongswanKey.pem --dn "CN=server" --san server --flag serverAuth --flag ikeIntermediate --outform pem > /etc/ipsec.d/certs/serverCert.pem
  复制代码
- 运行以下命令天生客户端证书（可选）：
  1. ipsec pki --gen --type rsa --size 2048 --outform pem > /etc/ipsec.d/private/clientKey.pem
  2. ipsec pki --pub --in /etc/ipsec.d/private/clientKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert /etc/ipsec.d/cacerts/strongswanCert.pem --cakey /etc/ipsec.d/private/strongswanKey.pem --dn "CN=client" --outform pem > /etc/ipsec.d/certs/clientCert.pem
  复制代码
- 设置StrongSwan的权限：
  1. chmod 600 /etc/ipsec.d/private/*
  2. chmod 600 /etc/ipsec.d/cacerts/*
  3. chmod 600 /etc/ipsec.d/certs/*
  复制代码
配置StrongSwan的IPsec毗连：
- 编辑StrongSwan的IPsec毗连配置文件。运行以下命令：
  1. vi /etc/ipsec.conf
  复制代码
- 在文件中添加以下内容：
  1. config setup
  2. charondebug="ike 1, knl 1, cfg 0"
  4. conn %default
  5. ikelifetime=60m
  6. keylife=20m
  7. rekeymargin=3m
  8. keyingtries=1
  9. keyexchange=ikev2
  10. dpdaction=clear
  11. dpddelay=300s
  12. dpdtimeout=1h
  13. compress=yes
  14. left=%any
  15. leftsubnet=0.0.0.0/0
  16. right=%any
  17. rightsourceip=10.10.10.0/24
  19. conn ikev2-vpn
  20. auto=add
  21. leftcert=serverCert.pem
  22. leftid=server
  23. leftsendcert=always
  24. rightauth=eap-mschapv2
  25. rightdns=8.8.8.8,8.8.4.4
  26. rightsendcert=never
  27. eap_identity=%identity
  复制代码
- 保存并退出文件。
配置StrongSwan的IPsec预共享密钥：
- 编辑StrongSwan的IPsec预共享密钥配置文件。运行以下命令：
  1. vi /etc/ipsec.secrets
  复制代码
- 在文件中添加以下内容：
  1. : RSA serverKey.pem
  2. your_username : EAP "your_password"
  复制代码
  将your_username更换为你的用户名，your_password更换为你的密码。
- 保存并退出文件。
启动StrongSwan服务：
- 运行以下命令启动StrongSwan服务：
  1. /etc/init.d/ipsec start
  复制代码
- 运行以下命令设置StrongSwan服务开机自启动：
  1. /etc/init.d/ipsec enable
  复制代码
配置防火墙规则：
- 运行以下命令打开StrongSwan所需的端口：
  1. uci add firewall rule
  2. uci set firewall.@rule[-1].name='Allow-IPSec'
  3. uci set firewall.@rule[-1].src='wan'
  4. uci set firewall.@rule[-1].dest='lan'
  5. uci set firewall.@rule[-1].proto='esp'
  6. uci set firewall.@rule[-1].target='ACCEPT'
  7. uci commit firewall
  8. /etc/init.d/firewall restart
  复制代码
完成配置：
- 现在你已经成功安装和配置了StrongSwan VPN服务器。你可以使用支持IKEv2协议的VPN客户端毗连到你的OpenWrt路由器上。

请注意，这只是一个基本的配置示例，你可能还必要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和引导。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

		自动登录	找回密码
密码			立即注册

openwrt中搭建strongswan服务器vpn支持ipsec ikev2

0 个回复

快速回复

楼主热帖

标签云