随着通信技术的快速发展,各企业内部的各个业务系统基本都已经数字化,业务流程已经全部网络化了,企业基本要求能够7*24小时业务在线,员工在线,所以大部分企业都租用电信运营商的专线网络,采购硬件防火墙或者VPN设备,搭建自己的VPN网络,这样保证全员在线的同时也保证了业务系统的安全新。
目前企业主要采用的VPN基本都是硬件VPN,协议采用SSL VPN,L2TP VPN,IPSEC VPN等,但是这些VPN设备昂贵,客户端适配性较差。本文就介绍如何用一个成熟的开源VPN软件pfSense和StrongSwan搭建企业的全场景的企业基于IPsec IKEv2协议的VPN网络,让员工无论是在国内还是身处海外通过互联网安全访问服务器端的资源。
准备材料:云服务器,pfSense软件,StrongSwan客户端软件。
1、安装完pfSense
安装完软件后,通过公网地址进入pfSense的登陆页面:
账号密码登录
输入默认的用户名:admin,密码:pfsense
2、配置证书:
进入主控制面板:选择system-Cert.Manager
配置证书
选择”CAs”,然后选择右下角”Add”
配置证书颁发机构,信息填写完毕后,保存
添加
制作证书:选择”Certificates”,然后点击右下角绿色按钮”Add”:
选择”Certificates”
填写证书相关信息:
选择新创建”Create an internal Certificate”,
描述名字根据自己情况可以自己命名,实例写”XRC VPN 2020”。
办法机构,选择刚才在”CAs”里面创建的那个颁发机构,这个不要选错。
通用名也是自己命名,实例写:http://www.xrcloud.com。
最重要的是证书类型,选择”Server Certificate”,这个不能选错。
可用名选择IP Address,后面填写你这台云服务器对应的公网地址。
创建证书
保存后,我们就可以看到我们创建的证书了,可以导出证书为.Crt和.P12的格式。
导出证书
3、创建IPSec VPN:
点击”VPN’,选择”IPsec”
创建IPSec VPN1
选择”Mobile Clients”
创建IPSec VPN2
选择”Mobile Clients”
选中”Enable IPsec Mobile Client Support”。
选择”Local Database”。
选择”System”
选中”Provide a Virtual IP Address to clients”,然后根据自己习惯配置内网地址,实例配置”172.25.53.0“,后面掩码选择”24”。
然后配置DNS,根据云服务商提供的DNS填写,或者配置公用的DNS,比如114.114.114.114,或者8.8.8.8.最后保存,这样Mobile部分配置完毕,下一步进入IPSec Tunnel的配置了。
配置”IPSec Tunnels”,选择“IKEv2”,选择IPv4或者”Both”
最重要的认证方式选择”EAP-MSchapv2”
我的标识,选择”IP Address”,后面输入云服务器的公网地址,和之前证书里面的公网地址保持一致。
报文加密方式选择”3DES”,”SHA1”,”2(1024bit)”。
NAT选择打开”FORCE”.
MOBIKE启用”ENABLE”
最好保存。
然后开始进入配置”P2”阶段。
选择”Show Phase 2 Entries”,点击右下角绿色按钮”Add P2”,进入配置P2.
选择”IPv4”,Local Network 选择”Network”,地址配置”0.0.0.0”,掩码配置为”0”,协议选择”ESP”,勾选”3DES”,勾选”SHA1”,PFS选择”2(1024bit)”这样P2阶段就配置完毕,最后一步配置用户。
配置用户进入”Pre Shared Keys”,选择右下角绿色按钮 “Add”
配置Identifier,这个地方配置的将是你IPsec IKEv2的用户名,实例配置为[email protected],加密方式选择”EAP”,共享密钥输入密级较高的数字字母组合,这里配置为” dfeijfiejif8!829“,这是客户端的密码。选择保存这样服务端的配置就完成了。
配置完成
StrongSwan配置Windows客户端:敬请期待更新!
StrongSwan配置安卓客户端:敬请期待更新!
StrongSwan配置Iphone客户端:敬请期待更新!
转载链接:https://www.xinruiyun.cn/zhishiku/5599.html