Homelab (6): 基于自签发证书的 IPSec VPN 搭建
本文最后更新于:2 年前
为了保证安全的同时,在外网也能便利访问家里的服务,同时又能减少转发带来流量,VPN绝对是最佳的选择。这里我就用StrongSwan
搭建一个基于证书认证的IPSec VPN
。
IPsec 是什么?StrongSwan又是什么?
IPsec
全称 Internet Protocol Security, 即互联网安全协议,是一个协议包,包含了AH、ESP、IKE/IKEv2
这些协议,其作用是通过加密和认证保证端到端的IP数据传输的安全。当前,IPsec
协议主要就是用于VPN
。
StrongSwan
是一个跨平台的开源项目,Linux
上实现了 IPsec
功能,所以我们这里用它来搭建。
想要详细了解其细节,推荐阅读:
- Wiki - IPsec
- Cloudflare - What is IPsec? | How IPsec VPNs work
- Wiki - StrongSwan
准备工作
1. Linux 系统
我的系统是 CentOS 7.
1 |
|
2. 域名 & 域名解析
如我的域名 vpn.razeencheng.com
, 解析已OK。
vpn.razeencheng.com. 600 IN A 192.168.100.53
3. 准备自签发证书
由于是搭建基于自签发证书认证的,我们需要提前准备好需要的自签发证书,这里我们需要:
- 自建根证书
- VPN 的服务证书(自建根签发的)
- VPN 的客户端证书(自建根签发的)
我这里推荐使用 KeyManager 生成,这是我司开发的一款离线证书管理软件,可以在这里下载。
软件安装好后,打开如下,设计一个密码就可以进入了(密码别忘了哦,除了用恢复密钥外没有办法恢复的)。
首先我们来生成一张根证书。进入软件后,点击“创建测试证书”, 然后将表单往下拉,我们可以看到有一个 “创建根证书” 按钮,点击。 然后我们需要为自己的更起个“霸气”的名字。点击“高级设置”,我们可以选择算法等,这里我就都用默认,只把有效期改长一点,给个480月吧,最后滚动到最下面,点击“创建根证书“即可完成根证书创建。
如下,成功后我们可以看到根证书的详细信息。
接下来,我们用这张根签发一张服务器证书。再次点击“创建测试证书”,如下图所示,证书类型选择“服务器证书”,写上自己将要使用的VPN 域名,有效期也可以改长点。最重要的是,“证书签发者” 选刚刚创建的这张证书,最后点击“创建证书”。
继续,我们再签发一张客户端证书,其他操作和上面一样,除了“证书类型”选择客户端证书外。
这样,我们在”所有证书”中,就能看到我们生成的客户端和服务器证书,点击对应证书的“更多”,选择“导出证书”, 客户端证书我们选择pfx格式(需要设置一个密码),服务端证书,选择“Nginx”,点击导出。 然后在“CA证书”栏中同样操作,选择Nginx,导出刚刚的根证书。
如下图所示,这样我们的证书全部准备就绪了,我们需要的就是:
- 根证书公钥(图中 Razeen Test Root 2021_chain.crt)
- 客户端证书公私钥(图中 razeencheng-s-vpn-iis-0910233719.pfx)
- 服务端的证书共私钥 (图中 vpn.razeencheng.com_chain.crt 和 vpn.razeencheng.com_key.key)
开始安装
1. 安装 EPEL 源,安装 strongswan。
1 |
|
安装好后,strongswan
的目录为/etc/strongswan/
。
2. 将证书放到对应的位置。
- 根证书放到
/etc/strongswan/ipsec.d/cacerts
下; - 服务器证书公钥放到
/etc/strongswan/ipsec.d/certs
下: - 服务器证书私钥放到
/etc/strongswan/ipsec.d/private
下。
放好后,目录结构如下:
3. 配置 Strongswan
我们到 /etc/strongswan
目录,把原来的默认配置文件备份下。
1 |
|
我们创建一个新的ipsec.conf
。
1 |
|
粘贴下面的配置。
1 |
|
这里你需要修改的是:
leftcert=vpn.razeencheng.com_chain.crt
这里 left 我们可以理解为VPN服务端这边,这里指定我们的服务端证书的名字(上面我们放到/etc/strongswan/ipsec.d/certs
文件夹下的)。rightdns=192.168.1.1,114.114.114.114
这里 right 可以理解为VPN的客户端那边,指定客户端连接后使用的DNS,可以逗号分隔指多个。rightsourceip=192.168.200.0/24
这里指VPN客户端端连接后分配的子网。rightca="C=CN, CN=Razeen Test Root 2021"
对客户端证书的CA Subject 限制,这里改成你的CA证书对应的。可用openssl
快速查看,Subject:
后面的内容复制上来即可。1
2$ openssl x509 -in ipsec.d/cacerts/Razeen\ Test\ Root\ 2021_chain.crt -text | grep "Subject:"
Subject: C=CN, CN=Razeen Test Root 2021
如果需要理解配置中其他参数的含义,可以看官方的 wiki - IpsecConf。
4. 配置私钥和账户密码
编辑ipsec.secrets
文件,例如:
1 |
|
这里:
: RSA vpn.razeencheng.com_key.key
指定我们的服务端的私钥文件名字(上面我们放到/etc/strongswan/ipsec.d/private
文件夹下的);testuser : EAP "test1234"
就是我们的账号密码了。这里我加了两个用户testuser
和testuser2
, 密码分别为test1234
和test5678
。
想了解更多配置含义,可以看 wiki - IpsecSecrets。
5. 启动 strongswan
1 |
|
6. 设置防火墙
1 |
|
7. 允许端口转发
编辑 /etc/sysctl.conf
文件,允许端口转发。
1 |
|
目前我们只设置了ipv4的。允许下面命令重载。
1 |
|
重启 strongswan。
1 |
|
到这里我们的安装过程就结束了。
连接测试
当然,连接之前你还有域名别忘你解析到你的主机上。。
最后经过测试,连接正常。而客户端的配置过程,稍微有点复杂,而且在配置 macOS Big Sur
过程中还遇到一些坑,关于这些详细内容,请看我的下一篇文章。
本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!