第五节:Centos7配置strongswan(yum)

本节主要内容为:在Centos7上安装strongswan( VPN服务器软件)、strongswan生成证、strongswan配置文件修改、strongswan对接freeradius

通过源码安装与配置strongswan

说明:本文通过源码安装,通过yum安转也是可以的,可以参见本教程

1、安装基础包

2、获取strongswan,并通过源码的形式安装,版本为5.5.3

3、配置证书脚本文件

注意:将下面的$public_ip替换为实际ip地址,如果是IP地址影射,替换为映射后的公网地址

说明:在执行证书生成的过程中可以配置证书导入密码,密码可以为空

4、strongswan 配置文件修改

注意:下面的 10.0.0.0/24 为分配给vpn客户端的地址,$public_ip为网卡ip地址,如果是NAT映射的,请修改为映射后的公网地址,可以复制整个配置文件内容替换原来的配置文件内容

5、配置strongswan.conf 配置文件

说明:2-5行和DNS的内容,其中dns可以在这里指定,也可以在/usr/local/etc/strongswan.d/charon.conf文件中指定,

threads=16  代表程序开启线程数

i_dont_care_about_security_and_use_aggressive_mode_psk  只对5.0以后的版本有效,使系统在使用IKE模式时,支持aggrisive模式

内容如下

6、配置strongswan 加载radius

说明:这里可以设置多个servers,我们设置了server-a,配置中的secret为radius的共享密钥,是strongswan连接radius时用的,它的密码在/etc/raddb/clients.conf 中进行定义,address 是radius 服务器的ip

6、 配置IPsec插件 xauth-eap,支持IKEv1. 即思科的IPSec模式

7、配置strongswan共享密钥

说明:其中的huayu为共享密钥,在vpn客户端配置的时候使用

内容如下

8、启动strongswan

9、启动radiusd

备注:strongswan 调用日志模式,排错时使用 strongswan start –nofork # 将 log 输出到当前终端用于调试.