Cách thiết lập server VPN IKEv2 với StrongSwan trên Ubuntu 16.04
Mạng riêng ảo, hay VPN, cho phép bạn mã hóa lưu lượng một cách an toàn khi nó di chuyển qua các mạng không tin cậy , chẳng hạn như các mạng tại quán cà phê, hội nghị hoặc sân bay.IKEv2 , hoặc Internet Key Exchange v2, là một giao thức cho phép tạo tunnel IPSec trực tiếp giữa server và client . Trong triển khai IKEv2 VPN, IPSec cung cấp mã hóa cho lưu lượng mạng. IKEv2 được hỗ trợ nguyên bản trên các nền tảng mới (OS X 10.11+, iOS 9.1+ và Windows 10) mà không cần ứng dụng bổ sung nào và nó xử lý các trục trặc của client khá trơn tru.
Trong hướng dẫn này, bạn sẽ cài đặt server VPN IKEv2 bằng StrongSwan trên server Ubuntu 16.04 và kết nối với server này từ các client Windows, iOS và macOS.
Yêu cầu
Để hoàn thành hướng dẫn này, bạn cần :
- Một server Ubuntu 16.04 với nhiều CPU, được cấu hình theo hướng dẫn cài đặt server ban đầu Ubuntu 16.04 , bao gồm user không phải root có quyền sudo và firewall .
Ngoài ra, bạn nên làm quen với IPTables. Xem lại Cách hoạt động của Tường lửa Iptables trước khi bạn tiếp tục.
Bước 1 - Cài đặt StrongSwan
Đầu tiên, ta sẽ cài đặt StrongSwan, một daemon IPSec open-souce mà ta sẽ cấu hình làm server VPN của bạn . Ta cũng sẽ cài đặt plugin StrongSwan EAP, cho phép xác thực password cho khách hàng, trái ngược với xác thực dựa trên certificate . Ta cần tạo một số luật firewall đặc biệt như một phần của cấu hình này, vì vậy ta cũng sẽ cài đặt một tiện ích cho phép ta duy trì các luật firewall mới của bạn .
Thực thi lệnh sau để cài đặt các thành phần này:
- sudo apt-get install strongswan strongswan-plugin-eap-mschapv2 moreutils iptables-persistent
Lưu ý : Trong khi cài đặt iptables-persistent
, trình cài đặt sẽ hỏi có lưu các luật IPv4 và IPv6 hiện tại hay không. Vì ta muốn mọi cấu hình firewall trước đó giữ nguyên, ta sẽ chọn có trên cả hai dấu nhắc .
Bây giờ mọi thứ đã được cài đặt, hãy chuyển sang tạo certificate của ta :
Bước 2 - Tạo Tổ chức phát hành certificate
Server IKEv2 certificate request để tự nhận dạng đối với client . Để giúp ta tạo certificate cần thiết, StrongSwan đi kèm với một tiện ích để tạo cơ quan cấp certificate và certificate server . Để bắt đầu, hãy tạo một folder để lưu trữ tất cả những thứ mà ta sẽ làm việc.
- mkdir vpn-certs
- cd vpn-certs
Bây giờ ta có một folder để lưu trữ mọi thứ, hãy tạo khóa root của ta . Đây sẽ là khóa RSA 4096 bit sẽ được sử dụng để ký tổ chức phát hành certificate root của ta , vì vậy điều rất quan trọng là ta cũng phải bảo mật khóa này bằng cách đảm bảo chỉ user root mới có thể đọc được.
Thực thi các lệnh này để tạo và bảo mật khóa:
- ipsec pki --gen --type rsa --size 4096 --outform pem > server-root-key.pem
- chmod 600 server-root-key.pem
Bây giờ ta đã có khóa, ta có thể chuyển sang tạo tổ chức phát hành certificate root của bạn , sử dụng khóa để ký certificate root :
- ipsec pki --self --ca --lifetime 3650 \
- --in server-root-key.pem \
- --type rsa --dn "C=US, O=VPN Server, CN=VPN Server Root CA" \
- --outform pem > server-root-ca.pem
Bạn có thể thay đổi các giá trị tên phân biệt (DN), chẳng hạn như quốc gia, tổ chức và tên thông thường, thành một cái gì đó khác nếu bạn muốn. Tên thông thường ở đây chỉ là chỉ số, vì vậy bạn thậm chí có thể tạo ra một cái gì đó.
Sau đó, ta sẽ sao chép certificate root ( server-root-ca.pem
) vào các thiết bị khách của ta để chúng có thể xác minh tính xác thực của server khi chúng kết nối.
Bây giờ ta đã có cơ quan cấp certificate root của bạn và đang chạy, ta có thể tạo certificate mà server VPN sẽ sử dụng.
Bước 3 - Tạo certificate cho server VPN
Bây giờ ta sẽ tạo certificate và khóa cho server VPN. Chứng chỉ này sẽ cho phép client xác minh tính xác thực của server .
Đầu tiên, tạo private key cho server VPN bằng lệnh sau:
- ipsec pki --gen --type rsa --size 4096 --outform pem > vpn-server-key.pem
Sau đó, tạo và ký certificate server VPN bằng khóa của tổ chức phát hành certificate mà bạn đã tạo ở bước trước. Thực thi lệnh sau, nhưng thay đổi trường Tên chung (CN) và Chủ đề Tên thay thế (SAN) thành tên DNS hoặc địa chỉ IP của server VPN của bạn:
- ipsec pki --pub --in vpn-server-key.pem \
- --type rsa | ipsec pki --issue --lifetime 1825 \
- --cacert server-root-ca.pem \
- --cakey server-root-key.pem \
- --dn "C=US, O=VPN Server, CN=server_name_or_ip" \
- --san server_name_or_ip \
- --flag serverAuth --flag ikeIntermediate \
- --outform pem > vpn-server-cert.pem
Sao chép các certificate vào một đường dẫn cho phép StrongSwan đọc các certificate :
- sudo cp ./vpn-server-cert.pem /etc/ipsec.d/certs/vpn-server-cert.pem
- sudo cp ./vpn-server-key.pem /etc/ipsec.d/private/vpn-server-key.pem
Cuối cùng, bảo mật các khóa để chỉ user root mới có thể đọc được.
- sudo chown root /etc/ipsec.d/private/vpn-server-key.pem
- sudo chgrp root /etc/ipsec.d/private/vpn-server-key.pem
- sudo chmod 600 /etc/ipsec.d/private/vpn-server-key.pem
Trong bước này, ta đã tạo một cặp certificate sẽ được sử dụng để bảo mật thông tin liên lạc giữa client và server . Ta cũng đã ký các certificate bằng khóa root của bạn , vì vậy ứng dụng client sẽ có thể xác minh tính xác thực của server VPN. Bây giờ ta đã có tất cả các certificate đã sẵn sàng, ta sẽ chuyển sang cấu hình phần mềm.
Bước 4 - Cấu hình StrongSwan
Ta đã tạo tất cả các certificate mà ta cần, vì vậy đã đến lúc tự cấu hình StrongSwan.
StrongSwan có file cấu hình mặc định, nhưng trước khi ta thực hiện bất kỳ thay đổi nào, hãy backup nó trước để ta có file tham chiếu đề phòng xảy ra sự cố:
- sudo cp /etc/ipsec.conf /etc/ipsec.conf.original
Tệp ví dụ khá dài, vì vậy để tránh cấu hình sai, ta sẽ xóa file cấu hình mặc định và viết cấu hình của riêng ta từ đầu. Đầu tiên, xóa cấu hình ban đầu:
- echo '' | sudo tee /etc/ipsec.conf
Sau đó, mở file trong editor của bạn:
- sudo nano /etc/ipsec.conf
Đầu tiên, ta sẽ yêu cầu StrongSwan ghi lại các trạng thái daemon để gỡ lỗi và cho phép các kết nối trùng lặp. Thêm các dòng này vào file :
config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=no
Sau đó, ta sẽ tạo phần cấu hình cho VPN của bạn . Ta cũng sẽ yêu cầu StrongSwan tạo Đường hầm VPN IKEv2 và tự động tải phần cấu hình này khi nó khởi động. Nối các dòng sau vào file :
conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes
Tiếp theo, ta sẽ cho StrongSwan biết những thuật toán mã hóa nào sẽ sử dụng cho VPN. Nối các dòng này:
ike=aes256-sha1-modp1024,3des-sha1-modp1024! esp=aes256-sha1,3des-sha1!
Ta cũng sẽ cấu hình tính năng phát hiện mạng ngang hàng để xóa mọi kết nối "lơ lửng" trong trường hợp client ngắt kết nối bất ngờ. Thêm những dòng này:
dpdaction=clear dpddelay=300s rekey=no
Sau đó, ta sẽ cấu hình các thông số IPSec phía server (bên trái). Thêm cái này vào file :
left=%any leftid=@server_name_or_ip leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0
Lưu ý : Khi cấu hình ID server ( leftid
), chỉ bao gồm ký tự @
nếu server VPN của bạn sẽ được xác định bằng domain :
leftid=@vpn.example.com
Nếu server sẽ được xác định bằng địa chỉ IP của nó, chỉ cần đặt địa chỉ IP vào:
leftid=111.111.111.111
Sau đó, ta cấu hình các thông số IPSec phía client (bên phải), như dải địa chỉ IP riêng và server DNS để sử dụng:
right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.10.10.0/24 rightdns=8.8.8.8,8.8.4.4 rightsendcert=never
Cuối cùng, ta sẽ yêu cầu StrongSwan yêu cầu khách hàng cung cấp thông tin đăng nhập của user khi họ kết nối:
eap_identity=%identity
Tệp cấu hình sẽ giống như sau:
config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=no conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024,3des-sha1-modp1024! esp=aes256-sha1,3des-sha1! dpdaction=clear dpddelay=300s rekey=no left=%any leftid=@server_name_or_ip leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightdns=8.8.8.8,8.8.4.4 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity
Lưu file khi bạn đã xác minh bạn đã cấu hình mọi thứ như được hiển thị.
Bây giờ ta đã cấu hình các thông số VPN, hãy chuyển sang tạo account để user của ta có thể kết nối với server .
Bước 5 - Cấu hình xác thực VPN
Server VPN của ta hiện đã được cấu hình để chấp nhận các kết nối client , nhưng ta chưa có bất kỳ thông tin đăng nhập nào được cấu hình , vì vậy ta cần cấu hình một số thứ trong file cấu hình đặc biệt có tên ipsec.secrets
:
- Ta cần cho StrongSwan biết nơi tìm private key cho certificate server của ta , vì vậy server sẽ có thể mã hóa và giải mã dữ liệu.
- Ta cũng cần cài đặt danh sách user sẽ được phép kết nối với VPN.
Hãy mở file bí mật để chỉnh sửa:
- sudo nano /etc/ipsec.secrets
Đầu tiên, ta sẽ cho StrongSwan biết nơi tìm private key của ta .
server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem"
Sau đó, ta sẽ tạo thông tin đăng nhập user . Bạn có thể tạo bất kỳ tổ hợp tên user hoặc password nào bạn muốn , nhưng ta phải yêu cầu StrongSwan cho phép user này kết nối từ mọi nơi:
your_username %any% : EAP "your_password"
Lưu và đóng file . Bây giờ ta đã làm việc xong với các thông số VPN, ta sẽ reload dịch vụ VPN để cấu hình của ta sẽ được áp dụng:
- sudo ipsec reload
Bây giờ server VPN đã được cấu hình đầy đủ với cả tùy chọn server và thông tin đăng nhập của user , đã đến lúc chuyển sang cấu hình phần quan trọng nhất: firewall .
Bước 6 - Cấu hình Tường lửa & Chuyển tiếp IP Nhân
Bây giờ ta đã cấu hình server VPN, ta cần cấu hình firewall để chuyển tiếp và cho phép lưu lượng VPN đi qua. Ta sẽ sử dụng IPTables cho việc này.
Đầu tiên, hãy tắt UFW nếu bạn đã cài đặt nó, vì nó có thể xung đột với các luật mà ta cần cấu hình :
- sudo ufw disable
Sau đó, xóa mọi luật firewall còn lại được tạo bởi UFW:
- iptables -P INPUT ACCEPT
- iptables -P FORWARD ACCEPT
- iptables -F
- iptables -Z
Để tránh việc ta bị khóa khỏi phiên SSH, ta sẽ chấp nhận các kết nối đã được chấp nhận. Ta cũng sẽ mở cổng 22
(hoặc bất kỳ cổng nào bạn đã cấu hình ) cho các kết nối SSH tới server trong tương lai. Thực hiện các lệnh sau:
- sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Ta cũng cần chấp nhận các kết nối trên giao diện loopback local :
- sudo iptables -A INPUT -i lo -j ACCEPT
Sau đó, ta sẽ yêu cầu IPTables chấp nhận kết nối IPSec:
- sudo iptables -A INPUT -p udp --dport 500 -j ACCEPT
- sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPT
Tiếp theo, ta sẽ yêu cầu IPTables chuyển tiếp lưu lượng ESP (Encapsulation Payload) để các client VPN có thể kết nối. ESP cung cấp bảo mật bổ sung cho các gói VPN của ta khi chúng đi qua các mạng không tin cậy :
- sudo iptables -A FORWARD --match policy --pol ipsec --dir in --proto esp -s 10.10.10.10/24 -j ACCEPT
- sudo iptables -A FORWARD --match policy --pol ipsec --dir out --proto esp -d 10.10.10.10/24 -j ACCEPT
Server VPN của ta sẽ hoạt động như một cổng kết nối giữa các client VPN và internet. Vì server VPN sẽ chỉ có một địa chỉ IP công cộng duy nhất, ta cần cấu hình giả mạo để cho phép server yêu cầu dữ liệu từ internet thay mặt cho các client ; điều này sẽ cho phép lưu lượng truy cập từ các client VPN đến internet và ngược lại:
- sudo iptables -t nat -A POSTROUTING -s 10.10.10.10/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
- sudo iptables -t nat -A POSTROUTING -s 10.10.10.10/24 -o eth0 -j MASQUERADE
Để ngăn phân mảnh gói IP trên một số client , ta sẽ yêu cầu IPTables giảm kích thước gói bằng cách điều chỉnh kích thước phân đoạn tối đa của gói. Điều này ngăn chặn sự cố với một số client VPN.
- sudo iptables -t mangle -A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.10/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
Để bảo mật tốt hơn, ta sẽ loại bỏ mọi thứ khác không phù hợp với các luật mà ta đã cấu hình :
- sudo iptables -A INPUT -j DROP
- sudo iptables -A FORWARD -j DROP
Bây giờ ta sẽ làm cho cấu hình firewall bền bỉ, để tất cả công việc cấu hình của ta sẽ không bị xóa khi khởi động lại:
- sudo netfilter-persistent save
- sudo netfilter-persistent reload
Cuối cùng, ta sẽ bật tính năng chuyển tiếp gói tin trên server . Chuyển tiếp gói là điều giúp server của ta có thể “định tuyến” dữ liệu từ địa chỉ IP này sang địa chỉ IP khác. Về cơ bản, ta đang làm cho server của bạn hoạt động như một bộ định tuyến.
Chỉnh sửa file /etc/sysctl.conf
:
- sudo nano /etc/sysctl.conf
Ta cần cấu hình một số thứ ở đây:
- Đầu tiên, ta sẽ bật chuyển tiếp gói IPv4.
- Ta sẽ vô hiệu hóa tính năng phát hiện MTU của Đường dẫn để ngăn chặn sự cố phân mảnh gói.
- Ta cũng sẽ không chấp nhận chuyển hướng ICMP cũng như không gửi chuyển hướng ICMP để ngăn chặn các cuộc tấn công man-in-the-middle .
Những thay đổi bạn cần thực hiện đối với file được đánh dấu trong đoạn mã sau:
. . . # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 . . . # Do not accept ICMP redirects (prevent MITM attacks) net.ipv4.conf.all.accept_redirects = 0 # Do not send ICMP redirects (we are not a router) net.ipv4.conf.all.send_redirects = 0 . . . net.ipv4.ip_no_pmtu_disc = 1
Thực hiện những thay đổi đó, lưu file và thoát khỏi editor . Sau đó khởi động lại server :
- sudo reboot
Bạn sẽ bị ngắt kết nối khỏi server khi nó khởi động lại, nhưng đó là dự kiến. Sau khi server khởi động lại, hãy đăng nhập lại vào server với quyền là user sudo, không phải root. Bạn đã sẵn sàng để kiểm tra kết nối trên client .
Bước 7 - Kiểm tra Kết nối VPN trên Windows, iOS và macOS
Đến đây bạn đã cài đặt mọi thứ, đã đến lúc dùng thử. Trước tiên, bạn cần sao chép certificate root mà bạn đã tạo và cài đặt nó trên (các) thiết bị khách sẽ kết nối với VPN. Cách dễ nhất để làm điều này là đăng nhập vào server của bạn và thực hiện lệnh này để hiển thị nội dung của file certificate :
- cat ~/vpn-certs/server-root-ca.pem
Bạn sẽ thấy kết quả tương tự như sau:
Output-----BEGIN CERTIFICATE----- MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE . . . EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQ BayqOb/Q -----END CERTIFICATE-----
Sao chép kết quả này vào máy tính của bạn, bao gồm các dòng -----BEGIN CERTIFICATE-----
và -----END CERTIFICATE-----
và lưu nó vào một file có tên dễ nhận biết, chẳng hạn như vpn_root_certificate.pem
. Đảm bảo file bạn tạo có phần mở rộng .pem
.
Ngoài ra, sử dụng SFTP để chuyển file vào máy tính của bạn .
Khi bạn đã tải file vpn_root_certificate.pem
xuống máy tính của bạn , bạn có thể cài đặt kết nối với VPN.
Kết nối từ Windows
Đầu tiên, nhập certificate root theo các bước sau:
- Nhấn
WINDOWS+R
để hiển thị hộp thoại Chạy và nhậpmmc.exe
để chạy Control panel quản lý Windows. - Từ menu Tệp , chuyển đến Thêm hoặc Xóa phần đính kèm , chọn Chứng chỉ từ danh sách các phần bổ trợ có sẵn và nhấp vào Thêm .
- Ta muốn VPN hoạt động với mọi user , vì vậy hãy chọn Tài khoản máy tính và nhấp vào Tiếp theo .
- Ta đang cấu hình mọi thứ trên máy tính local , vì vậy hãy chọn Máy tính local , sau đó nhấp vào Kết thúc .
Trong nút Gốc của console , hãy mở rộng mục nhập Chứng chỉ (Máy tính local ) , mở rộng Tổ chức phát hành certificate root tin cậy , sau đó chọn mục nhập Chứng chỉ :
Từ menu Hành động , chọn Tất cả Công việc và nhấp vào Nhập để hiển thị Trình hướng dẫn Nhập Chứng chỉ. Nhấp vào Tiếp theo để chuyển qua phần giới thiệu.
Trên màn hình Tệp để Nhập , nhấn nút Duyệt qua và chọn file certificate mà bạn đã lưu. Sau đó nhấp vào Tiếp theo .
Đảm bảo rằng Kho lưu trữ certificate được đặt thành Tổ chức phát hành certificate root tin cậy và nhấp vào Tiếp theo .
Nhấp vào Hoàn tất để nhập certificate .
Sau đó, cấu hình VPN bằng các bước sau:
- Chạy Control Panel , sau đó chuyển đến Network and Sharing Center .
- Nhấp vào Cài đặt kết nối hoặc mạng mới , sau đó chọn Kết nối với nơi làm việc .
- Chọn Sử dụng kết nối Internet của tôi (VPN) .
- Nhập chi tiết server VPN. Nhập domain hoặc địa chỉ IP của server vào trường địa chỉ Internet , sau đó điền Tên đích cùng với nội dung mô tả kết nối VPN của bạn. Sau đó nhấp vào Xong .
Kết nối VPN mới của bạn sẽ hiển thị trong danh sách các mạng. Chọn VPN và nhấp vào Kết nối . Bạn sẽ được yêu cầu nhập tên user và password của bạn . Nhập chúng vào, bấm OK , và bạn sẽ được kết nối.
Kết nối từ iOS
Để cấu hình kết nối VPN trên thiết bị iOS, hãy làm theo các bước sau:
- Gửi cho bạn một email có đính kèm certificate root .
- Mở email trên thiết bị iOS của bạn và nhấn vào file certificate đính kèm, sau đó nhấn Cài đặt và nhập mật mã của bạn. Sau khi cài đặt xong , hãy nhấn vào Xong .
- Đi tới Cài đặt , Chung , VPN và nhấn Thêm cấu hình VPN . Thao tác này sẽ hiển thị màn hình cấu hình kết nối VPN.
- Nhấn vào Loại và chọn IKEv2 .
- Trong trường Mô tả , hãy nhập tên ngắn cho kết nối VPN. Đây có thể là bất cứ thứ gì bạn thích.
- Trong trường Server và ID từ xa , hãy nhập domain hoặc địa chỉ IP của server . Trường Local ID có thể được để trống.
- Nhập tên user và password của bạn vào phần Xác thực , sau đó chạm vào Xong .
- Chọn kết nối VPN mà bạn vừa tạo, chạm vào lựa chọn ở đầu trang và bạn sẽ được kết nối.
Kết nối từ macOS
Làm theo các bước sau để nhập certificate :
- Bấm đúp vào file certificate .Keychain Access sẽ bật lên với hộp thoại cho biết “Keychain Access đang cố gắng sửa đổi chuỗi khóa hệ thống. Nhập password của bạn để cho phép điều này. ”
- Nhập password của bạn, sau đó nhấp vào Sửa đổi chuỗi khóa
- Bấm đúp vào certificate VPN mới được nhập. Thao tác này sẽ trả về một cửa sổ thuộc tính nhỏ, nơi bạn có thể chỉ định mức độ tin cậy. Đặt Bảo mật IP (IPSec) thành Luôn tin cậy và bạn sẽ được yêu cầu nhập lại password của bạn . Cài đặt này sẽ tự động lưu sau khi nhập password .
Bây giờ certificate quan trọng và tin cậy , hãy cấu hình kết nối VPN bằng các bước sau:
- Đi tới Tùy chọn Hệ thống và chọn Mạng .
- Nhấp vào nút “dấu cộng” nhỏ ở phía dưới bên trái của danh sách các mạng.
- Trong cửa sổ bật lên xuất hiện, Đặt giao diện thành VPN , đặt Loại VPN thành IKEv2 và đặt tên cho kết nối.
- Trong trường Server và ID từ xa , hãy nhập domain hoặc địa chỉ IP của server . Để trống Local ID .
- Nhấp vào Cài đặt xác thực , chọn Tên user và nhập tên user và password bạn đã cấu hình cho user VPN của bạn . Sau đó bấm OK .
Cuối cùng, nhấp vào Kết nối để kết nối với VPN. Đến đây bạn sẽ được kết nối với VPN.
Khắc phục sự cố kết nối
Nếu bạn không thể nhập certificate , hãy đảm bảo file có phần mở rộng .pem
chứ không phải .pem.txt
.
Nếu bạn không thể kết nối với VPN, hãy kiểm tra tên server hoặc địa chỉ IP bạn đã sử dụng. Tên domain hoặc địa chỉ IP của server phải trùng với những gì bạn đã cấu hình làm tên chung (CN) trong khi tạo certificate . Nếu chúng không khớp, kết nối VPN sẽ không hoạt động. Nếu bạn cài đặt certificate với CN của vpn.example.com
, bạn phải sử dụng vpn.example.com
khi nhập chi tiết server VPN. Kiểm tra kỹ lệnh bạn đã sử dụng để tạo certificate và các giá trị bạn đã sử dụng khi tạo kết nối VPN.
Cuối cùng, hãy kiểm tra kỹ cấu hình VPN đảm bảo giá trị leftid
được cấu hình với ký hiệu @
nếu bạn đang sử dụng domain :
leftid=@vpn.example.com
Và nếu bạn đang sử dụng địa chỉ IP, hãy đảm bảo ký hiệu @
được bỏ qua.
Kết luận
Trong hướng dẫn này, bạn đã xây dựng một server VPN sử dụng giao thức IKEv2. Như vậy, bạn có thể yên tâm rằng các hoạt động trực tuyến của bạn sẽ vẫn an toàn cho dù bạn đi đâu!
Để thêm hoặc xóa user , chỉ cần xem lại Bước 5. Mỗi dòng dành cho một user , vì vậy việc thêm hoặc xóa user cũng đơn giản như chỉnh sửa file .
Từ đây, bạn có thể cần xem xét việc cài đặt trình phân tích file log , bởi vì StrongSwan kết xuất log của nó vào log hệ thống. Hướng dẫn Cách cài đặt và sử dụng Trình phân tích và báo cáo log Logwatch trên VPS có thêm thông tin về cách cài đặt .
Bạn cũng có thể quan tâm đến hướng dẫn này từ EFF về quyền riêng tư trực tuyến .
Các tin liên quan
Cách cấu hình firewall Linux cho Docker Swarm trên CentOS 72017-01-11
Cách cấu hình firewall Linux cho Docker Swarm trên Ubuntu 16.04
2017-01-09
Cách cài đặt Linux, Nginx, MySQL, PHP (LEMP Stack) trên Debian 8
2016-12-20
Cách thiết lập xác thực Linux tập trung với FreeIPA trên CentOS 7
2016-12-15
Cách bảo vệ server của bạn chống lại lỗ hổng Linux COW bẩn
2016-10-31
Cách cấu hình TRIM định kỳ cho bộ lưu trữ SSD trên server Linux
2016-08-25
Cách bảo vệ server của bạn chống lại lỗ hổng HTTPoxy
2016-07-18
Cách phân vùng và định dạng thiết bị lưu trữ trong Linux
2016-07-13
Cách thực hiện các tác vụ quản trị cơ bản cho thiết bị lưu trữ trong Linux
2016-07-13
Giới thiệu về thuật ngữ và khái niệm lưu trữ trong Linux
2016-07-13