openwrt中搭建strongswan服务器vpn支持ipsec ikev2

avatar
作者
筋斗云
阅读量:0

OpenWrt上StrongSwan VPN服务器的安装和配置。

  1. 准备工作:

    • ssh软件

  2. 安装StrongSwan:

    • 打开终端或SSH连接到你的OpenWrt路由器。

    • 运行以下命令安装StrongSwan:

      opkg update opkg install strongswan

  3. 配置StrongSwan:

    • 编辑StrongSwan的主配置文件。运行以下命令:

      vi /etc/strongswan.conf

    • 在文件中添加以下内容:

      charon {     load_modular = yes     duplicheck.enable = no     compress = yes }

    • 保存并退出文件。

  4. 配置StrongSwan密钥和证书:

    • 运行以下命令创建StrongSwan的密钥和证书目录:

      mkdir /etc/ipsec.d

    • 运行以下命令生成StrongSwan的CA证书:

      ipsec pki --gen --type rsa --size 4096 --outform pem > /etc/ipsec.d/private/strongswanKey.pem ipsec pki --self --ca --lifetime 3650 --in /etc/ipsec.d/private/strongswanKey.pem --type rsa --dn "CN=strongSwan CA" --outform pem > /etc/ipsec.d/cacerts/strongswanCert.pem

    • 运行以下命令生成服务器证书:

      ipsec pki --gen --type rsa --size 2048 --outform pem > /etc/ipsec.d/private/serverKey.pem ipsec pki --pub --in /etc/ipsec.d/private/serverKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert /etc/ipsec.d/cacerts/strongswanCert.pem --cakey /etc/ipsec.d/private/strongswanKey.pem --dn "CN=server" --san server --flag serverAuth --flag ikeIntermediate --outform pem > /etc/ipsec.d/certs/serverCert.pem

    • 运行以下命令生成客户端证书(可选):

      ipsec pki --gen --type rsa --size 2048 --outform pem > /etc/ipsec.d/private/clientKey.pem ipsec pki --pub --in /etc/ipsec.d/private/clientKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert /etc/ipsec.d/cacerts/strongswanCert.pem --cakey /etc/ipsec.d/private/strongswanKey.pem --dn "CN=client" --outform pem > /etc/ipsec.d/certs/clientCert.pem

    • 设置StrongSwan的权限:

      chmod 600 /etc/ipsec.d/private/* chmod 600 /etc/ipsec.d/cacerts/* chmod 600 /etc/ipsec.d/certs/*

  5. 配置StrongSwan的IPsec连接:

    • 编辑StrongSwan的IPsec连接配置文件。运行以下命令:

      vi /etc/ipsec.conf

    • 在文件中添加以下内容:

      config setup     charondebug="ike 1, knl 1, cfg 0"  conn %default     ikelifetime=60m     keylife=20m     rekeymargin=3m     keyingtries=1     keyexchange=ikev2     dpdaction=clear     dpddelay=300s     dpdtimeout=1h     compress=yes     left=%any     leftsubnet=0.0.0.0/0     right=%any     rightsourceip=10.10.10.0/24  conn ikev2-vpn     auto=add     leftcert=serverCert.pem     leftid=server     leftsendcert=always     rightauth=eap-mschapv2     rightdns=8.8.8.8,8.8.4.4     rightsendcert=never     eap_identity=%identity

    • 保存并退出文件。

  6. 配置StrongSwan的IPsec预共享密钥:

    • 编辑StrongSwan的IPsec预共享密钥配置文件。运行以下命令:

      vi /etc/ipsec.secrets

    • 在文件中添加以下内容:

      : RSA serverKey.pem your_username : EAP "your_password"

      your_username替换为你的用户名,your_password替换为你的密码。

    • 保存并退出文件。

  7. 启动StrongSwan服务:

    • 运行以下命令启动StrongSwan服务:

      /etc/init.d/ipsec start

    • 运行以下命令设置StrongSwan服务开机自启动:

      /etc/init.d/ipsec enable

  8. 配置防火墙规则:

    • 运行以下命令打开StrongSwan所需的端口:

      uci add firewall rule uci set firewall.@rule[-1].name='Allow-IPSec' uci set firewall.@rule[-1].src='wan' uci set firewall.@rule[-1].dest='lan' uci set firewall.@rule[-1].proto='esp' uci set firewall.@rule[-1].target='ACCEPT' uci commit firewall /etc/init.d/firewall restart

  9. 完成配置:

    • 现在你已经成功安装和配置了StrongSwan VPN服务器。你可以使用支持IKEv2协议的VPN客户端连接到你的OpenWrt路由器上。

请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。

相关阅读
  1. 如何查看和设置我的Android N设备的权限?
  2. 如何在安卓手机上自定义应用图标?
  3. 如何在安卓微信中同时听语音和查看图片?
  4. 华为哪些设备将支持升级至安卓7.0?
  5. 微信安卓软件中Q10功能有哪些独特之处?
  6. 安卓用户如何挑选最佳视频播放器应用?
  7. 安卓系统中用户文件目录的确切位置是什么?
  8. 小米4用户如何安全升级到安卓8.0系统?
  9. 如何成功将魅蓝5升级至安卓原生7.0版本?
  10. 16GB存储的安卓手机是否能满足日常需求?

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!