[debian] VPN server (strongswan, IKEv2)

debian に strongswan IKEv2 で VPN サーバを構築、windows や android のクライアントで接続。

パッケージのインストール

# apt-get \
	install \
	strongswan \
	strongswan-pki \
;

CA 秘密鍵の作成。OpenSSH は必要ならば /dev/urandom を使うので、より頑強な /dev/random だけを使う ipsec コマンドを使う。

# ipsec \
	pki \
	--gen \
	--type rsa \
	--size 4096 \
	--outform der \
> /etc/ipsec.d/private/caprivatekey.der \
;

CA 証明書の作成

# ipsec \
	pki \
	--self \
	--ca \
	--lifetime 3650 \
	--in /etc/ipsec.d/private/caprivatekey.der \
	--type rsa \
	--dn "C=, O=, CN=fqdn.example.com" \
	--outform der \
> /etc/ipsec.d/cacerts/cacert.der \
;

CA 証明書の内容確認

# ipsec \
	pki \
	--print \
	--in /etc/ipsec.d/cacerts/cacert.der \
;

サーバ証明書の作成

# ipsec \
	pki \
	--gen \
	--type rsa \
	--size 4096 \
	--outform der \
> /etc/ipsec.d/private/serverkey.der \
;

CA 証明書を使ったサーバ証明書の署名

# ipsec \
	pki \
	--pub \
	--in /etc/ipsec.d/private/serverkey.der \
	--type rsa \
| ipsec \
	pki \
	--issue \
	--lifetime 3650 \
	--cacert /etc/ipsec.d/cacerts/cacert.der \
	--cakey /etc/ipsec.d/private/caprivatekey.der \
	--dn 'C=, O=, CN=fqdn.example.com' \
	--san 'fqdn.example.com' \
	--flag serverAuth \
	--flag ikeIntermediate \
	--outform der \
> /etc/ipsec.d/certs/servercert.der \
;

クライアント暗号鍵の作成

# ipsec \
	pki \
	--gen \
	--type rsa \
	--size 4096 \
	--outform pem \
> client_android.pem \
;

# ipsec \
	pki \
	--gen \
	--type rsa \
	--size 4096 \
	--outform pem \
> client_win10.pem \
;

CA 証明書を使ったクライアント証明書の署名

# ipsec \
	pki \
	--pub \
	--in client_android.pem \
	--type rsa \
| ipsec \
	pki \
	--issue \
	--lifetime 3650 \
	--cacert /etc/ipsec.d/cacerts/cacert.der \
	--cakey /etc/ipsec.d/private/caprivatekey.der \
	--dn 'C=, O=, CN=client_android@fqdn.example.com' \
	--san 'client_android@fqdn.example.com' \
	--outform pem \
> clientcert_android.pem \
;

# ipsec \
	pki \
	--pub \
	--in client_win10.pem \
	--type rsa \
| ipsec \
	pki \
	--issue \
	--lifetime 3650 \
	--cacert /etc/ipsec.d/cacerts/cacert.der \
	--cakey /etc/ipsec.d/private/caprivatekey.der \
	--dn 'C=, O=, CN=client_win10@fqdn.example.com' \
	--san 'clientuth=pubkey_win10@fqdn.example.com' \
	--outform pem \
> clientcert_win10.pem \
;

CA 証明書を pem 形式に変換

# openssl \
	x509 \
	-inform DER \
	-in /etc/ipsec.d/cacerts/cacert.der \
	-out /etc/ipsec.d/cacerts/cacert.pem \
	-outform PEM \
;

クライアント証明書、秘密鍵、CA 証明書を PKCS12 形式にまとめる

# openssl \
	pkcs12 \
	-export \
	-inkey client.pem \
	-in clientcert.pem \
	-name "Client Certificarte" \
	-certfile /etc/ipsec.d/cacerts/cacert.pem \
	-caname "CA Certificate" \
	-out vpn.p12 \
;

# openssl \
	pkcs12 \
	-export \
	-inkey client_win10.pem \
	-in clientcert_win10.pem \
	-name "Client Certificarte" \
	-certfile /etc/ipsec.d/cacerts/cacert.pem \
	-caname "CA Certificate" \
	-out vpn_win10.p12 \
;

# echo \
	': RSA serverkey.der' \
>> /etc/ipsec.secrets \
;

# vi -O /etc/ipsec.secrets /etc/ipsec.conf

リファレンス

1. Setting-up a Simple CA Using the strongSwan PKI Tool - Setting-up a Simple CA Using the strongSwan PKI Tool - strongSwan
2. ipsec.d - strongSwan
3. Requirements for certificates used with Windows 7 - strongSwan
4. Windows Clients - strongSwan
5. ipsec pki --gen - strongSwan
6. ipsec pki --self - strongSwan
7. VPN server for remote clients using IKEv2 - Libreswan

関連記事

debian

1. [colinux] coLinuxの導入
2. [debian] mergerfsで透過的ファイルシステム
3. [debian] リモートアップグレード作業メモ (buster から bullseye)
4. [debian] stable上にtestingのパッケージを一部インストールする方法
5. [debian] zfs (OpenZFS) の導入法とraidz の使い方
6. [debian] リモートアップグレード作業メモ (stretch から buster)
7. [debian] stableベースのシステムにインストール済みのstable以外のパッケージの検索
8. [debian] ntfs-3g で NTFS を読み書き
9. [debian] T61p で thinkfan を systemd で起動
10. [debian] 鍵生成に時間がかかる (/dev/radom)
11. [debian] VPN server (strongswan, IKEv2)
12. [debian] 過去のインストールCDイメージ
13. [debian] mdadm で RAID0
14. [debian] HP ProLiant MicroServer N54L
15. [java] debian で itext を使うまで
16. [java] debian で hello world を作るまで
17. [netcat] 簡単な HTTP サーバ
18. [debian] パーティション分割
19. [debian] 古いパッケージやインストーラの入手サイト
20. [debian] Majordomo@lists.debian.org
21. [debian] debootstrapで作った環境にインストールされるパッケージのvariantによる比較
22. [debian] ファイル群に対して同一ファイルのハードリンク化を行うソフトウェアの比較(rdfind,hardlink)
23. [debian] ダミーユーザの作成
24. [debian] うるう秒挿入
25. [debian] publican を使う
26. [debian] debootstrap でブート可能なシステムを作る手順
27. [debian] GRUB で debian-installer を起動させて jessie をインストール
28. [apt] 設定ファイル、依存関係含めてパッケージ削除
29. [debian] シリアルポートの増設
30. [debian] grub インストール先の変更
31. [debian] システムのデフォルトエディタを vim に変更するには update-alternatives
32. [debian] セキュリティよくわからんけど読んでおくべき
33. [debian] ntpd のインストールと設定確認
34. [debian] smplayerのインストール
35. [debian] 音を出す
36. [debian] CDライターのwodim(旧cdrecode)をインストール
37. [debian] パッケージ探索
38. [debian] カテゴリによるパッケージ検索。debtags で幸福実現
39. [debian] apt-cacheによるパッケージ検索
40. [debian] aptitude経由で導入したバイナリパッケージのコンパイルオプションを確認
41. [debian] debian 6.0(squeeze)のリリースは2010クリスマス前
42. [debian] rar ファイルの展開
43. [debian] リリースクリティカルバグが減ってくるとリリースまであと少し?
44. [メモ] debian-goodies は名前のとおりかなり便利なコマンドの詰め合わせ。
45. [debian] リモートでアップグレードする準備、sshの導入。
46. [debian] リモートアップグレードの準備、/のディスク容量不足で/root/.cpanを削除
47. [debian] リモートでアップグレードする。lennyからsqueeze。
48. [debian] debsumsで壊れたパッケージを探し、修正する。
49. [debian] 設定ファイルを残してパッケージを削除するにはaptitude remove
50. [debian] ファイル名の後にdpkg-distが付くファイルはパッケージ謹製ファイル
51. [debian] subversionをインストール
52. [cvs] debian webwmlのローカルコピーをとる
53. [debian] 翻訳コーディネータの心得に関する調査
54. [git] debian webwmlのローカルレポジトリを作るがcopypage.plでLocal/VCS_git.pmが無く失敗
55. [debian] cvsクライアントをインストール
56. [debian] パッケージを検索するにはdpkg --searchとapt-cache searchで十分
57. [debian] webwmlの匿名CVSレポジトリURIがalioth.debian.orgから変更
58. [debian] 新規メンテナに関するページまとめ
59. [debian] 翻訳のときに参照できる訳語集
60. [debian] aptラインからリポジトリにあるパッケージをブラウジング
61. [debian] パッケージ説明文を翻訳する際に注意すべきこと
62. [vine] grubでHDDからdebianインストーラを起動
63. [debian] liloでHDDからdebianインストーラを起動
64. [debian] HDD から debian-installer netboot を起動。ただしインストーラは削除されるパーティションに。
65. [debian] deborphanで挙げられたパッケージをaptitude自動削除
66. [debian] USBメモリのフォーマットとマウント
67. [debian] USBメモリを一般ユーザでマウントして、読み書きを行う
68. [debian] /etc/issueにはディストリビューションが書かれている
69. [debian] sambaでシンボリックリンクを辿れない
70. [dwm-win32] dwm-win32のwindows用バイナリをdebianでクロスコンパイル
71. [debian] メンテナになるために必要な情報
72. [linux] ネットワークスピードをnetcatとddで測定する方法
73. [メモ] debianで使える物理系パッケージ
74. [debian] sshfsのマウントポイントをsambaで共有
75. [debian] sakura vpsでisoイメージをマウント
76. [debian] sakura vpsのベンチマーク
77. [debian] schrootとdebootstrapで一般ユーザから呼び出せるchroot環境を構築
78. [wanderlust] 送信時にスクロールで内容確認する Wanderlust/2.15.5 (Almost Unreal)
79. [debian] amd64でi386アーキテクチャのプログラムが走るか確認。
80. [debian] cpuの64bit対応を確認する方法
81. [debian] deb パッケージのダウンロード、解凍、情報確認
82. [debian] プロキシ設定の確認
83. [debian] メタパッケージの作成
84. [debian] chroot 環境の stable を testing にアップデートしたら /etc/debian_version がおかしい
85. [debian] 日本にいる開発者を検索するフォーム
86. [debian] webwml の validation error をメールで受け取る
87. [debian] chroot 環境のアーキテクチャを確認
88. [debian] nfs サーバのセットアップ
89. [ssh] インストールから初期設定まで
90. [debian] wpa_supplicant で WPA2,AES,EAP-TLS 方式の無線 LAN
91. [debian] isc-dhcp-server で dhcp サーバ
92. [debian] iptables-persistent で iptables の設定を正しくリストア
93. [debian] netbootイメージでメモリの少ないマシンにインストール
94. [debian] Xmingとブラウザで日本語表示するまで
95. [debian] wpa_supplicantでwpa2-pskのネットワークにつながる
96. [debian] 複数の lan ポートがあるのでブリッジ

ソーシャルブックマーク

1. はてなブックマーク
2. Google Bookmarks
3. del.icio.us

日付の近い記事

1. [debian] T61p で thinkfan を systemd で起動
2. メール送信
3. [debian] 鍵生成に時間がかかる (/dev/radom)
4. メールサーバにログイン(受信せず)
5. ファイルの内容に行番号を付加してを表示する
6. [debian] VPN server (strongswan, IKEv2)
7. ファイルの内容を1行につき2回表示する
8. ファイルの内容を表示する1
9. [共有ディレクトリ] 設計指針
10. ファイルの内容を表示する2
11. [samba] 名前のbloadcastを止める

ChangeLog

1. Posted: 2007-10-12T00:18:42+09:00
2. Modified: 2007-10-12T00:18:42+09:00
3. Generated: 2024-11-18T23:09:11+09:00