第五节:Centos7配置strongswan

更新日期:2018年4月23日

本节主要内容为:在Centos7上安装strongswan( VPN服务器软件)、strongswan生成证、strongswan配置文件修改、strongswan对接freeradius

通过源码安装与配置strongswan

说明:本文通过源码安装,通过yum安转也是可以的,如果您希望通过yum安装,可以查看centos7配置strongswan-yum/

但本系列教程均是源码安装,如果通过yum安装,strongswan的路径会有所不同,命令也有所不同

1、安装基础包

2、获取strongswan,并通过源码的形式安装,版本为5.5.3

3、配置证书脚本文件

注意:将下面的ip地址192.168.0.107替换为实际ip地址,如果是IP地址影射,填写映射后的公网地址

说明:在执行证书生成的过程中可以配置证书导入密码,密码可以为空

4、strongswan 配置文件修改

注意:下面的 10.0.0.0/24 为分配给vpn客户端的地址,192.168.0.107为网卡ip地址,如果是NAT映射的,请修改为映射后的公网地址,可以只用复制整个配置文件替换原来的内容

5、配置strongswan.conf 配置文件

说明:2-5行和DNS的内容,其中dns可以在这里指定,也可以在/usr/local/etc/strongswan.d/charon.conf文件中指定,

threads=16  代表程序开启线程数

i_dont_care_about_security_and_use_aggressive_mode_psk  只对5.0以后的版本有效,使系统在使用IKE模式时,支持aggrisive模式

内容如下

6、配置strongswan 加载radius

说明:这里可以设置多个servers,我们设置了server-a,配置中的secret为radius的共享密钥,是strongswan连接radius时用的,它的密码在/etc/raddb/clients.conf 中进行定义,address 是radius 服务器的ip

6、 配置IPsec插件 xauth-eap,支持IKEv1. 即思科的IPSec模式

7、配置strongswan共享密钥

说明:其中的huayu为共享密钥,在vpn客户端配置的时候使用

内容如下

8、启动strongswan

9、启动radiusd

备注:strongswan 调用日志模式,排错时使用 ipsec start –nofork # 将 log 输出到当前终端用于调试.