Strongswan の構成

StrongSwan は IPsec ベースの VPN ソリューションで、X.509 公開鍵証明書、オプションの秘密鍵の安全なストレージおよび標準化された PKCS#11 インターフェースと TPM 2.0 を介したスマートカードの証明書を使用した強力な認証メカニズムに焦点を置いています。

構成の概念

基本的な構成ファイルは、次のとおりです。

• /home/oper/strongswan/strongswan.conf: 中央構成ファイル

• /home/oper/strongswan/ipsec.conf:トンネル定義

• /home/oper/strongswan/ipsecシークレット:事前共有鍵のリスト

• /home/oper/strongswan/ipsec.d:証明書用フォルダー

詳細については、docs.strongswan.org を参照してください。

例:

Proton VPN (サイト) に接続されている ENM (クライアント)

> vim /home/oper/strongswan/ipsec.conf
conn test
 left=%defaultroute
 leftsourceip=%config
 leftauth=eap-mschapv2
 eap_identity=hKVSu61QiraPAXDY7nLWFrehB6PWTqWc
 right=nl-free-03.protonvpn.net
 rightsubnet=0.0.0.0/0
 rightauth=pubkey
 rightid=%nl-free-03.protonvpn.net
 rightca=/home/oper/strongswan/ipsec.d/cacerts/protonvpn.der
 keyexchange=ikev2
 type=tunnel
 auto=add

> vim /home/oper/strongswan/ipsec.secrets
hKVSu61QiraPAXDY7nLWFrehB6PWTqWc : EAP "5DmS79J3xrvPCi5OAV7xBM5QMytNrHip"

> cp protonvpn.der /home/oper/strongswan/ipsec.d/cacerts/

> sudo /etc/init.d/ipsec restart
> sudo ipsec up test