OpenWrt上StrongSwan VPN服务器的安装和配置。
- 准备工作:- ssh软件
- 安装StrongSwan:- 打开终端或SSH连接到你的OpenWrt路由器。- 运行以下命令安装StrongSwan:
opkg updateopkg install strongswan
- 配置StrongSwan:- 编辑StrongSwan的主配置文件。运行以下命令:
vi /etc/strongswan.conf
- 在文件中添加以下内容:charon { load_modular = yes duplicheck.enable = no compress = yes}
- 保存并退出文件。 - 配置StrongSwan密钥和证书:- 运行以下命令创建StrongSwan的密钥和证书目录:
mkdir /etc/ipsec.d
- 运行以下命令生成StrongSwan的CA证书:ipsec pki --gen --type rsa --size 4096 --outform pem > /etc/ipsec.d/private/strongswanKey.pemipsec pki --self --ca --lifetime 3650 --in /etc/ipsec.d/private/strongswanKey.pem --type rsa --dn "CN=strongSwan CA" --outform pem > /etc/ipsec.d/cacerts/strongswanCert.pem
- 运行以下命令生成服务器证书:ipsec pki --gen --type rsa --size 2048 --outform pem > /etc/ipsec.d/private/serverKey.pemipsec pki --pub --in /etc/ipsec.d/private/serverKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert /etc/ipsec.d/cacerts/strongswanCert.pem --cakey /etc/ipsec.d/private/strongswanKey.pem --dn "CN=server" --san server --flag serverAuth --flag ikeIntermediate --outform pem > /etc/ipsec.d/certs/serverCert.pem
- 运行以下命令生成客户端证书(可选):ipsec pki --gen --type rsa --size 2048 --outform pem > /etc/ipsec.d/private/clientKey.pemipsec pki --pub --in /etc/ipsec.d/private/clientKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert /etc/ipsec.d/cacerts/strongswanCert.pem --cakey /etc/ipsec.d/private/strongswanKey.pem --dn "CN=client" --outform pem > /etc/ipsec.d/certs/clientCert.pem
- 设置StrongSwan的权限:chmod 600 /etc/ipsec.d/private/*chmod 600 /etc/ipsec.d/cacerts/*chmod 600 /etc/ipsec.d/certs/*
- 配置StrongSwan的IPsec连接:- 编辑StrongSwan的IPsec连接配置文件。运行以下命令:
vi /etc/ipsec.conf
- 在文件中添加以下内容:config setup charondebug="ike 1, knl 1, cfg 0"conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev2 dpdaction=clear dpddelay=300s dpdtimeout=1h compress=yes left=%any leftsubnet=0.0.0.0/0 right=%any rightsourceip=10.10.10.0/24conn ikev2-vpn auto=add leftcert=serverCert.pem leftid=server leftsendcert=always rightauth=eap-mschapv2 rightdns=8.8.8.8,8.8.4.4 rightsendcert=never eap_identity=%identity
- 保存并退出文件。 - 配置StrongSwan的IPsec预共享密钥:- 编辑StrongSwan的IPsec预共享密钥配置文件。运行以下命令:
vi /etc/ipsec.secrets
- 在文件中添加以下内容:: RSA serverKey.pemyour_username : EAP "your_password"
将your_username
替换为你的用户名,your_password
替换为你的密码。- 保存并退出文件。 - 启动StrongSwan服务:- 运行以下命令启动StrongSwan服务:
/etc/init.d/ipsec start
- 运行以下命令设置StrongSwan服务开机自启动:/etc/init.d/ipsec enable
- 配置防火墙规则:- 运行以下命令打开StrongSwan所需的端口:
uci add firewall ruleuci set firewall.@rule[-1].name='Allow-IPSec'uci set firewall.@rule[-1].src='wan'uci set firewall.@rule[-1].dest='lan'uci set firewall.@rule[-1].proto='esp'uci set firewall.@rule[-1].target='ACCEPT'uci commit firewall/etc/init.d/firewall restart
- 完成配置:- 现在你已经成功安装和配置了StrongSwan VPN服务器。你可以使用支持IKEv2协议的VPN客户端连接到你的OpenWrt路由器上。
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。
本文转载自: https://blog.csdn.net/gaoxiangfei/article/details/134132214
版权归原作者 心足 所有, 如有侵权,请联系我们删除。
版权归原作者 心足 所有, 如有侵权,请联系我们删除。