Вступление
Виртуальная частная сеть или VPN позволяет вам безопасно шифровать трафик, проходящий через ненадежные сети, например, в кафе, на конференции или в аэропорту.
IKEv2, или Internet Key Exchange v2, - это протокол, который позволяет осуществлять прямое туннелирование IPSec между сервером и клиентом. В реализациях IKEv2 VPN IPSec обеспечивает шифрование сетевого трафика. IKEv2 изначально поддерживается на некоторых платформах (OS X 10.11+, iOS 9.1+ и Windows 10) без каких-либо дополнительных приложений, и он довольно легко обрабатывает клиентские ошибки.
В этом руководстве вы настроите сервер IKEv2 VPN с помощьюStrongSwan на сервере Ubuntu 18.04 и подключитесь к нему из клиентов Windows, macOS, Ubuntu, iOS и Android.
Предпосылки
Для завершения этого урока вам понадобится:
-
Один сервер Ubuntu 18.04, настроенный следующим образом:the Ubuntu 18.04 initial server setup guide, включая пользователя без полномочий root
sudo
и брандмауэр.
[[step-1 -—- install-strongswan]] == Шаг 1. Установка StrongSwan
Во-первых, мы установим StrongSwan, демон IPSec с открытым исходным кодом, который мы настроим как наш VPN-сервер. Мы также установим компонент инфраструктуры открытого ключа, чтобы мы могли создать центр сертификации для предоставления учетных данных для нашей инфраструктуры.
Обновите локальный кеш пакетов и установите программное обеспечение, набрав:
sudo apt update
sudo apt install strongswan strongswan-pki
Теперь, когда все установлено, давайте перейдем к созданию наших сертификатов.
[[step-2 -—- Creating-a-certificate-author]] == Шаг 2 - Создание центра сертификации
Серверу IKEv2 требуется сертификат, чтобы идентифицировать себя для клиентов. Чтобы помочь нам создать требуемый сертификат, пакетstrongswan-pki
поставляется с утилитой для создания центра сертификации и сертификатов сервера. Для начала давайте создадим несколько каталогов для хранения всех ресурсов, над которыми мы будем работать. Структура каталогов соответствует некоторым каталогам в/etc/ipsec.d
, куда мы в конечном итоге переместим все созданные нами элементы. Мы заблокируем разрешения, чтобы другие пользователи не могли видеть наши личные файлы:
mkdir -p ~/pki/{cacerts,certs,private}
chmod 700 ~/pki
Теперь, когда у нас есть структура каталогов для хранения всего, мы можем сгенерировать корневой ключ. Это будет 4096-битный ключ RSA, который будет использоваться для подписи нашего корневого центра сертификации.
Выполните эти команды для генерации ключа:
ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/ca-key.pem
Теперь, когда у нас есть ключ, мы можем перейти к созданию нашего корневого центра сертификации, используя ключ для подписи корневого сертификата:
ipsec pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
--type rsa --dn "CN=VPN root CA" --outform pem > ~/pki/cacerts/ca-cert.pem
Вы можете изменить значенияdistinguished name (DN) на что-то другое, если хотите. Общее название здесь - просто индикатор, поэтому оно не должно совпадать с чем-либо в вашей инфраструктуре.
Теперь, когда наш корневой центр сертификации запущен и работает, мы можем создать сертификат, который будет использовать сервер VPN.
[[шаг-3 -—- генерация-сертификата-для-vpn-сервера]] == Шаг 3 - Генерация сертификата для VPN-сервера
Теперь мы создадим сертификат и ключ для VPN-сервера. Этот сертификат позволит клиенту проверять подлинность сервера, используя только что сгенерированный сертификат CA.
Сначала создайте закрытый ключ для VPN-сервера с помощью следующей команды:
ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/server-key.pem
Теперь создайте и подпишите сертификат сервера VPN с помощью ключа центра сертификации, который вы создали на предыдущем шаге. Выполните следующую команду, но измените поля Common Name (CN) и Subject Alternate Name (SAN) на DNS-имя или IP-адрес вашего VPN-сервера:
ipsec pki --pub --in ~/pki/private/server-key.pem --type rsa \
| ipsec pki --issue --lifetime 1825 \
--cacert ~/pki/cacerts/ca-cert.pem \
--cakey ~/pki/private/ca-key.pem \
--dn "CN=server_domain_or_IP" --san "server_domain_or_IP" \
--flag serverAuth --flag ikeIntermediate --outform pem \
> ~/pki/certs/server-cert.pem
Теперь, когда мы сгенерировали все файлы TLS / SSL, необходимые StrongSwan, мы можем переместить файлы на место в каталоге/etc/ipsec.d
, набрав:
sudo cp -r ~/pki/* /etc/ipsec.d/
На этом этапе мы создали пару сертификатов, которая будет использоваться для защиты связи между клиентом и сервером. Мы также подписали сертификаты ключом CA, чтобы клиент мог проверить подлинность VPN-сервера с помощью сертификата CA. Теперь, когда все сертификаты готовы, мы перейдем к настройке программного обеспечения.
[[step-4 -—- configuring-strongswan]] == Шаг 4. Настройка StrongSwan
StrongSwan имеет файл конфигурации по умолчанию с некоторыми примерами, но большую часть конфигурации нам придется делать самостоятельно. Давайте сделаем резервную копию файла для справки, прежде чем начинать с нуля:
sudo mv /etc/ipsec.conf{,.original}
Создайте и откройте новый пустой файл конфигурации, набрав:
sudo nano /etc/ipsec.conf
Во-первых, мы скажем StrongSwan регистрировать состояния демонов для отладки и разрешать дублирование соединений. Добавьте эти строки в файл:
/etc/ipsec.conf
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
Затем мы создадим раздел конфигурации для нашего VPN. Мы также скажем StrongSwan создать VPN-туннели IKEv2 и автоматически загружать этот раздел конфигурации при запуске. Добавьте следующие строки в файл:
/etc/ipsec.conf
. . .
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
Мы также настроим обнаружение мертвых узлов, чтобы очистить любые «висячие» подключения в случае неожиданного отключения клиента. Добавьте эти строки:
/etc/ipsec.conf
. . .
conn ikev2-vpn
. . .
dpdaction=clear
dpddelay=300s
rekey=no
Затем мы настроим параметры IPSec сервера (слева). Добавьте это в файл:
/etc/ipsec.conf
. . .
conn ikev2-vpn
. . .
left=%any
leftid=@server_domain_or_IP
leftcert=server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
[.Примечание]##
Note: при настройке идентификатора сервера (leftid
) включайте символ@
только в том случае, если ваш VPN-сервер будет идентифицироваться по имени домена:
Если сервер будет идентифицирован по его IP-адресу, просто введите IP-адрес в:
leftid=203.0.113.7
Затем мы можем настроить параметры IPSec на стороне клиента (справа), такие как диапазоны частных IP-адресов и DNS-серверы:
/etc/ipsec.conf
. . .
conn ikev2-vpn
. . .
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightsendcert=never
Наконец, мы сообщим StrongSwan запросить у клиента учетные данные пользователя при подключении:
/etc/ipsec.conf
. . .
conn ikev2-vpn
. . .
eap_identity=%identity
Файл конфигурации должен выглядеть так:
/etc/ipsec.conf
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_domain_or_IP
leftcert=server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightsendcert=never
eap_identity=%identity
Сохраните и закройте файл, как только вы убедитесь, что настроили все как показано.
Теперь, когда мы настроили параметры VPN, давайте перейдем к созданию учетной записи, чтобы наши пользователи могли подключаться к серверу.
[[step-5 -—- configuring-vpn-authentication]] == Шаг 5. Настройка проверки подлинности VPN
Наш VPN-сервер теперь настроен на прием клиентских подключений, но у нас еще не настроены учетные данные. Нам нужно будет настроить пару вещей в специальном файле конфигурации с именемipsec.secrets
:
-
Нам нужно сообщить StrongSwan, где найти закрытый ключ для нашего сертификата сервера, чтобы сервер мог проходить проверку подлинности для клиентов.
-
Нам также необходимо настроить список пользователей, которым будет разрешено подключаться к VPN.
Давайте откроем файл секретов для редактирования:
sudo nano /etc/ipsec.secrets
Сначала мы сообщим StrongSwan, где найти ваш закрытый ключ:
/etc/ipsec.secrets
: RSA "server-key.pem"
Затем мы определим учетные данные пользователя. Вы можете составить любую комбинацию имени пользователя или пароля, которая вам нравится:
/etc/ipsec.secrets
your_username : EAP "your_password"
Сохраните и закройте файл. Теперь, когда мы закончили работу с параметрами VPN, мы перезапустим службу VPN, чтобы применить нашу конфигурацию:
sudo systemctl restart strongswan
Теперь, когда VPN-сервер полностью настроен с использованием параметров сервера и учетных данных пользователя, пришло время перейти к настройке наиболее важной части: брандмауэра.
[[step-6 -—- configuring-the-firewall-amp-kernel-ip-forwarding]] == Шаг 6. Настройка межсетевого экрана и IP-переадресации ядра
После завершения настройки StrongSwan нам необходимо настроить брандмауэр для пересылки и пропуска трафика VPN.
Если вы следовали обязательному руководству, у вас должен быть включен базовый брандмауэр UFW. Если вы еще не настроили UFW, вы можете создать базовую конфигурацию и включить ее, набрав:
sudo ufw allow OpenSSH
sudo ufw enable
Теперь добавьте правило, разрешающее UDP-трафик на стандартные порты IPSec, 500 и 4500:
sudo ufw allow 500,4500/udp
Далее мы откроем один из файлов конфигурации UFW, чтобы добавить несколько низкоуровневых политик для маршрутизации и пересылки пакетов IPSec. Прежде чем мы это сделаем, нам нужно выяснить, какой сетевой интерфейс на нашем сервере используется для доступа в Интернет. Мы можем найти это, запросив интерфейс, связанный с маршрутом по умолчанию:
ip route | grep default
Ваш общедоступный интерфейс должен следовать за словом «dev». Например, этот результат показывает интерфейс с именемeth0
, который выделен ниже:
Outputdefault via 203.0.113.7 dev eth0 proto static
Когда у вас есть общедоступный сетевой интерфейс, откройте файл/etc/ufw/before.rules
в текстовом редакторе:
sudo nano /etc/ufw/before.rules
В верхней части файла (перед строкой*filter
) добавьте следующий блок конфигурации:
/etc/ufw/before.rules
*nat
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
COMMIT
*mangle
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
. . .
Измените каждый экземплярeth0
в приведенной выше конфигурации, чтобы он соответствовал имени интерфейса, которое вы нашли с помощьюip route
. Строки*nat
создают правила, чтобы брандмауэр мог правильно маршрутизировать и управлять трафиком между клиентами VPN и Интернетом. Линия*mangle
регулирует максимальный размер сегмента пакета, чтобы предотвратить возможные проблемы с некоторыми клиентами VPN.
Затем после строк*filter
и определения цепочки добавьте еще один блок конфигурации:
/etc/ufw/before.rules
. . .
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.10.0/24 -j ACCEPT
Эти строки говорят брандмауэру пересылать трафикESP (инкапсуляция полезной нагрузки), чтобы клиенты VPN могли подключиться. ESP обеспечивает дополнительную безопасность для наших пакетов VPN, поскольку они пересекают ненадежные сети.
Когда вы закончите, сохраните и закройте файл.
Прежде чем перезапустить брандмауэр, мы изменим некоторые параметры сетевого ядра, чтобы разрешить маршрутизацию от одного интерфейса к другому. Откройте файл конфигурации параметров ядра UFW:
sudo nano /etc/ufw/sysctl.conf
Нам нужно настроить несколько вещей здесь:
-
Во-первых, мы включим пересылку пакетов IPv4.
-
Мы отключим обнаружение Path MTU для предотвращения проблем фрагментации пакетов.
-
Мы также не принимаем перенаправления ICMP и не отправляем перенаправления ICMP для предотвращения атакman-in-the-middle.
Изменения, которые нужно внести в файл, выделены в следующем коде:
/etc/ufw/sysctl.conf
. . .
# Enable forwarding
# Uncomment the following line
net/ipv4/ip_forward=1
. . .
# Do not accept ICMP redirects (prevent MITM attacks)
# Ensure the following line is set
net/ipv4/conf/all/accept_redirects=0
# Do not send ICMP redirects (we are not a router)
# Add the following lines
net/ipv4/conf/all/send_redirects=0
net/ipv4/ip_no_pmtu_disc=1
Сохраните файл, когда вы закончите. UFW применит эти изменения при следующем запуске.
Теперь мы можем включить все наши изменения, отключив и повторно включив брандмауэр:
sudo ufw disable
sudo ufw enable
Вам будет предложено подтвердить процесс. ВведитеY
, чтобы снова включить UFW с новыми настройками.
[[step-7 -–- testing-the-vpn-connection-on-windows-ios-and-macos]] == Шаг 7. Тестирование VPN-подключения в Windows, iOS и macOS
Теперь, когда у вас все настроено, пришло время попробовать это. Во-первых, вам необходимо скопировать созданный сертификат CA и установить его на клиентское устройство (а), которое будет подключаться к VPN. Самый простой способ сделать это - войти на сервер и вывести содержимое файла сертификата:
cat /etc/ipsec.d/cacerts/ca-cert.pem
Вы увидите вывод, похожий на этот:
Output-----BEGIN CERTIFICATE-----
MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE
. . .
EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQ
BayqOb/Q
-----END CERTIFICATE-----
Скопируйте этот вывод на свой компьютер, включая строки-----BEGIN CERTIFICATE-----
и-----END CERTIFICATE-----
, и сохраните его в файл с узнаваемым именем, напримерca-cert.pem
. Убедитесь, что создаваемый файл имеет расширение.pem
.
В качестве альтернативыuse SFTP to transfer the file to your computer.
После того, как вы загрузили файлca-cert.pem
на свой компьютер, вы можете настроить подключение к VPN.
Подключение из Windows
Сначала импортируйте корневой сертификат, выполнив следующие действия:
-
Нажмите
WINDOWS+R
, чтобы открыть диалоговое окноRun, и введитеmmc.exe
, чтобы запустить консоль управления Windows. -
В менюFile перейдите кAdd or Remove Snap-in, выберитеCertificates из списка доступных оснасток и щелкнитеAdd.
-
Мы хотим, чтобы VPN работал с любым пользователем, поэтому выберитеComputer Account и щелкнитеNext.
-
Мы настраиваем что-то на локальном компьютере, поэтому выберитеLocal Computer, затем нажмитеFinish.
-
Под узломConsole Root разверните записьCertificates (Local Computer), развернитеTrusted Root Certification Authorities, а затем выберите записьCertificates:
-
В менюAction выберитеAll Tasks и щелкнитеImport, чтобы отобразить мастер импорта сертификатов. ЩелкнитеNext, чтобы пропустить введение.
-
На экранеFile to Import нажмите кнопкуBrowse и выберите файл сертификата, который вы сохранили. Затем щелкнитеNext.
-
Убедитесь, что дляCertificate Store установлено значениеTrusted Root Certification Authorities, и щелкнитеNext.
-
ЩелкнитеFinish, чтобы импортировать сертификат.
Затем настройте VPN с помощью этих шагов:
-
ЗапуститеControl Panel, затем перейдите кNetwork and Sharing Center.
-
ЩелкнитеSet up a new connection or network, затем выберитеConnect to a workplace.
-
ВыберитеUse my Internet connection (VPN).
-
Введите данные VPN-сервера. Введите доменное имя или IP-адрес сервера в полеInternet address, затем заполнитеDestination name тем, что описывает ваше VPN-соединение. Затем щелкнитеDone.
Ваше новое VPN-соединение будет отображаться под списком сетей. Выберите VPN и щелкнитеConnect. Вам будет предложено ввести имя пользователя и пароль. Введите их, нажмитеOK, и вы подключитесь.
Подключение из macOS
Выполните следующие действия, чтобы импортировать сертификат:
-
Дважды щелкните файл сертификата. Keychain Access появится диалоговое окно с сообщением: «Связка ключей пытается изменить системную связку ключей. Введите свой пароль, чтобы разрешить это ».
-
Введите свой пароль, затем нажмитеModify Keychain
-
Дважды щелкните новый импортированный сертификат VPN. Это вызывает небольшое окно свойств, где вы можете указать уровни доверия. УстановитеIP Security (IPSec) наAlways Trust, и вам снова будет предложено ввести пароль. Этот параметр автоматически сохраняется после ввода пароля.
Теперь, когда сертификат важен и надежен, настройте VPN-соединение, выполнив следующие действия:
-
Перейдите кSystem Preferences и выберитеNetwork.
-
Нажмите на маленькую кнопку «плюс» в левом нижнем углу списка сетей.
-
В появившемся всплывающем окне установите дляInterface значениеVPN, установите дляVPN Type значениеIKEv2 и дайте соединению имя.
-
В полеServer иRemote ID введите доменное имя или IP-адрес сервера. Оставьте полеLocal ID пустым.
-
НажмитеAuthentication Settings, выберитеUsername и введите свое имя пользователя и пароль, которые вы настроили для своего пользователя VPN. Затем щелкнитеOK.
Наконец, нажмитеConnect, чтобы подключиться к VPN. Теперь вы должны быть подключены к VPN.
Подключение из Ubuntu
Чтобы подключиться с компьютера с Ubuntu, вы можете настроить и управлять StrongSwan в качестве службы или использовать однократную команду при каждом подключении. Инструкции предоставляются для обоих.
Управление StrongSwan как сервисом
-
Обновите локальный кеш пакетов:
sudo apt update
-
Установите StrongSwan и соответствующее программное обеспечение
sudo apt install strongswan libcharon-extra-plugins
-
Скопируйте сертификат CA в каталог
/etc/ipsec.d/cacerts
:sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts
-
Отключите StrongSwan, чтобы VPN не запускался автоматически:
sudo systemctl disable --now strongswan
-
Настройте имя пользователя и пароль VPN в файле
/etc/ipsec.secrets
:your_username : EAP "your_password"
-
Отредактируйте файл
/etc/ipsec.conf
, чтобы определить вашу конфигурацию.
/etc/ipsec.conf
config setup
conn ikev2-rw
right=server_domain_or_IP
# This should match the `leftid` value on your server's configuration
rightid=server_domain_or_IP
rightsubnet=0.0.0.0/0
rightauth=pubkey
leftsourceip=%config
leftid=username
leftauth=eap-mschapv2
eap_identity=%identity
auto=start
Чтобы подключиться к VPN, введите:
sudo systemctl start strongswan
Чтобы снова отключиться, введите:
sudo systemctl stop strongswan
Использование простого клиента для одноразовых подключений
-
Обновите локальный кеш пакетов:
sudo apt update
-
Установите
charon-cmd
и соответствующее программное обеспечениеsudo apt install charon-cmd libcharon-extra-plugins
-
Перейдите в каталог, в который вы скопировали сертификат CA:
cd <^>/path/to/ca-cert.pem
-
Подключитесь к VPN-серверу с помощью
charon-cmd
, используя сертификат CA сервера, IP-адрес VPN-сервера и настроенное вами имя пользователя:sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username
-
При появлении запроса укажите пароль пользователя VPN.
Теперь вы должны быть подключены к VPN. Для отключения нажмитеCTRL+C
и дождитесь закрытия соединения.
Подключение с iOS
Чтобы настроить VPN-подключение на устройстве iOS, выполните следующие действия.
-
Отправьте себе электронное письмо с приложенным корневым сертификатом.
-
Откройте электронное письмо на своем устройстве iOS и нажмите на прикрепленный файл сертификата, затем нажмитеInstall и введите свой пароль. После установки нажмитеDone.
-
Перейдите кSettings,General,VPN и нажмитеAdd VPN Configuration. Откроется экран настройки VPN-подключения.
-
Нажмите наType и выберитеIKEv2.
-
В полеDescription введите короткое имя для VPN-подключения. Это может быть что угодно.
-
В полеServer иRemote ID введите доменное имя или IP-адрес сервера. ПолеLocal ID можно оставить пустым.
-
Введите свое имя пользователя и пароль в разделеAuthentication, затем нажмитеDone.
-
Выберите VPN-соединение, которое вы только что создали, коснитесь переключателя в верхней части страницы, и вы будете подключены.
Подключение с Android
Выполните следующие действия, чтобы импортировать сертификат:
-
Отправьте себе электронное письмо с приложенным сертификатом CA. Сохраните сертификат CA в папку загрузок.
-
ЗагрузитеStrongSwan VPN client из Play Store.
-
Откройте приложение. Коснитесь“more” icon в правом верхнем углу (значок с тремя точками) и выберитеCA certificates.
-
Снова нажмите“more” icon в правом верхнем углу. ВыберитеImport certificate.
-
Перейдите к файлу сертификата CA в папке загрузок и выберите его, чтобы импортировать в приложение.
Теперь, когда сертификат импортирован в приложение StrongSwan, вы можете настроить VPN-соединение с помощью следующих шагов:
-
В приложении коснитесьADD VPN PROFILE вверху.
-
ЗаполнитеServer доменным именем вашего VPN-сервера или общедоступным IP-адресом.
-
Убедитесь, чтоIKEv2 EAP (Username/Password) выбран в качестве типа VPN.
-
ЗаполнитеUsername иPassword учетными данными, которые вы определили на сервере.
-
Снимите выделениеSelect automatically в разделеCA certificate и щелкнитеSelect CA certificate.
-
Коснитесь вкладкиIMPORTED вверху экрана и выберите импортированный ЦС (он будет называться «Корневой ЦС VPN», если вы не меняли «DN» ранее).
-
Если хотите, введите вProfile name (optional) более понятное имя.
Если вы хотите подключиться к VPN, нажмите на профиль, который вы только что создали в приложении StrongSwan.
Устранение неисправностей соединений
Если вы не можете импортировать сертификат, убедитесь, что файл имеет расширение.pem
, а не.pem.txt
.
Если вы не можете подключиться к VPN, проверьте имя сервера или IP-адрес, который вы использовали. Доменное имя или IP-адрес сервера должны совпадать с тем, которое вы настроили как общее имя (CN) при создании сертификата. Если они не совпадают, VPN-соединение не будет работать. Если вы настроили сертификат с CNvpn.example.com
, выmust используетеvpn.example.com
при вводе данных сервера VPN. Дважды проверьте команду, которую вы использовали для создания сертификата, и значения, которые вы использовали при создании вашего VPN-соединения.
Наконец, дважды проверьте конфигурацию VPN, чтобы убедиться, что значениеleftid
настроено с символом@
, если вы используете доменное имя:
А если вы используете IP-адрес, убедитесь, что символ@
опущен.
Заключение
В этом руководстве вы создали VPN-сервер, использующий протокол IKEv2. Теперь вы можете быть уверены, что ваши действия в Интернете будут оставаться безопасными, куда бы вы ни шли!
Чтобы добавить или удалить пользователей, просто посмотрите на шаг 5 еще раз. Каждая строка предназначена для одного пользователя, поэтому добавить или удалить пользователя так же просто, как редактировать файл.
Отсюда вы можете захотеть настроить анализатор файла журнала, потому что StrongSwan выдает свои журналы в системный журнал. В руководствеHow To Install and Use Logwatch Log Analyzer and Reporter on a VPS есть дополнительная информация об этом.
Вас также может заинтересоватьthis guide from the EFF about online privacy.