在Debian 9 里安装 strongSwan
strongSwan能提供方便、快捷的加密和认证,适合远程办公,信息交换等场合。
环境:Debian 9,经典网络的阿里云ECS实例。
目的:服务端使用SSL证书,客户端凭用户名和密码登录。
过程:
- apt-get update # 更新软件仓库
- apt-get install strongswan # 安装 strongswan (5.5.1-4+deb9u1)
- apt-get install libcharon-extra-plugins # 安装额外的 plugin,支持Windows客户端常用的MSCHAPV2加密
/etc/ipsec.conf # 编辑配置文件,添加相应的连接配置内容,如下例
config setup # strictcrlpolicy=yes uniqueids=never conn sample-with-ca-cert left=%defaultroute leftsubnet=0.0.0.0/0 leftcert=1_yun.anqun.org_bundle.crt right=%any rightauth=eap-mschapv2 rightsourceip=10.2.0.0/16 rightsendcert=never eap_identity=%any auto=add conn networkmanager-strongswan keyexchange=ikev2 left=%defaultroute leftauth=pubkey leftsubnet=0.0.0.0/0 leftcert=1_yun.anqun.org_bundle.crt right=%any rightauth=pubkey rightsourceip=10.2.0.0/16 rightcert=client.cert.pem auto=add conn ios_ikev2 keyexchange=ikev2 rekey=no leftid=yun.anqun.org leftsendcert=always leftsubnet=0.0.0.0/0 leftcert=1_yun.anqun.org_bundle.crt right=%any rightauth=eap-mschapv2 rightsourceip=10.2.0.0/16 rightsendcert=never eap_identity=%any dpdaction=clear fragmentation=yes auto=add conn windows7 keyexchange=ikev2 rekey=no left=%defaultroute leftauth=pubkey leftsubnet=0.0.0.0/0 leftcert=1_yun.anqun.org_bundle.crt leftsendcert=always right=%any rightauth=eap-mschapv2 rightsourceip=10.2.0.0/16 rightsendcert=never eap_identity=%any auto=add- 将SSL证书中的ca文件保存在 /etc/ipsec.d/cacerts 目录,SSL证书中的服务器文件保存在 /etc/ipsec.d/certs , SSL证书的私匙保存在 /etc/ipsec.d/private
- /etc/ipsec.secrets # 编辑内容,写明私匙文件名称及用户名和密码等
- /etc/sysctl.conf # 如需经服务端转发,请在该文件中添加 net.ipv4.ip_forward=1
- iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -o eth1 -j MASQUERADE # 如需iptables筛选流量,请根据出网网卡及用户端IP段设置
- 在Windows 7系统及安装有strongSwan应用的安卓手机里测试,可成功连接
- 如苹果客户设备没有收到DNS配置信息,可以在 /etc/strongswan.d/charon.conf 里设置dns1和dns2的值
参考: