Strongswan 配置
StrongSwan 是一款以 IPsec 為基礎的 VPN 解決方案,著重於使用 X.509 公開金鑰憑證的強式鑑別機制,以及透過標準化的 PKCS#11 介面和 TPM 2.0 將私密金鑰和憑證儲存在智慧卡的選用安全儲存。
配置概念
基本配置檔案如下:
/home/oper/strongswan/strongswan.conf:中央配置檔案
/home/oper/strongswan/ipsec.conf:通道定義
/home/oper/strongswan/ipsec.secrets:預先共用金鑰清單
/home/oper/strongswan/ipsec.d:憑證的資料夾
如需進一步詳細資料,請參閱 docs.strongswan.org。
範例:
ENM(用戶端)連接到 Proton VPN(站點)
> vim /home/oper/strongswan/ipsec.conf
conn test
left=%defaultroute
leftsourceip=%config
leftauth=eap-mschapv2
eap_identity=hKVSu61QiraPAXDY7nLWFrehB6PWTqWc
right=nl-free-03.protonvpn.net
rightsubnet=0.0.0.0/0
rightauth=pubkey
rightid=%nl-free-03.protonvpn.net
rightca=/home/oper/strongswan/ipsec.d/cacerts/protonvpn.der
keyexchange=ikev2
type=tunnel
auto=add
> vim /home/oper/strongswan/ipsec.secrets
hKVSu61QiraPAXDY7nLWFrehB6PWTqWc : EAP "5DmS79J3xrvPCi5OAV7xBM5QMytNrHip"
> cp protonvpn.der /home/oper/strongswan/ipsec.d/cacerts/
> sudo /etc/init.d/ipsec restart
> sudo ipsec up test
提供意見回饋