Configurar VPN strongSwan para conexiones IKEv2 con autenticación de certificado P2S - Linux

Este artículo le ayuda a conectarse a su red virtual Azure (VNet) utilizando VPN Gateway punto a sitio (P2S) VPN y Autenticación de certificado desde un cliente Ubuntu Linux utilizando strongSwan.

Antes de empezar

Antes de empezar, compruebe que está en el artículo correcto. En la tabla siguiente se muestran los artículos de configuración disponibles para los clientes VPN de punto a sitio de Azure VPN Gateway. Los pasos difieren en función del tipo de autenticación, el tipo de túnel y el sistema operativo del cliente.

Authentication	Tipo de túnel	Sistema operativo del cliente	Cliente de VPN
Certificate
	IKEv2, SSTP	Windows	Cliente VPN nativo
	IKEv2	macOS	Cliente VPN nativo
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Cliente VPN de Azure Versión 2.x del cliente de OpenVPN Versión 3.x del cliente de OpenVPN
	OpenVPN	macOS	Cliente OpenVPN
	OpenVPN	iOS	Cliente OpenVPN
	OpenVPN	Linux	Cliente VPN de Azure Cliente OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Cliente VPN de Azure
	OpenVPN	macOS	Cliente VPN de Azure
	OpenVPN	Linux	Cliente VPN de Azure

Requisitos previos

En este artículo se supone que ya has realizado los siguientes requisitos previos:

• El VPN Gateway está configurado para la autenticación de certificados punto a sitio y el tipo de túnel IKEv2. Consulta Configuración de la configuración del servidor para conexiones de VPN Gateway P2S: autenticación de certificados para conocer los pasos.
• Los archivos de configuración del perfil de cliente VPN se han generado y están disponibles. Consulte Generación de los archivos de configuración del perfil del cliente VPN para conocer los pasos.

Requisitos de la conexión

Para conectarse a Azure mediante el cliente strongSwan y la autenticación de certificados mediante el tipo de túnel IKEv2, cada cliente de conexión requiere los siguientes elementos:

• Cada cliente debe configurarse para usar strongSwan.
• El cliente debe tener instalados localmente los certificados correctos.

Flujo de trabajo

El flujo de trabajo de este artículo es:

1. Instalación de strongSwan
2. Vea los archivos de configuración del perfil de cliente VPN incluidos en el paquete de configuración del perfil de cliente VPN que generó.
3. Busque los certificados de cliente necesarios.
4. Configure strongSwan.
5. Conéctese a Azure.

Información acerca de los certificados

Para la autenticación de certificados, se debe instalar un certificado de cliente en cada equipo cliente. El certificado de cliente que quiere usar debe exportarse con la clave privada y contener todos los certificados de la ruta de acceso de certificación. Además, para algunas configuraciones, también tendrá que instalar la información del certificado raíz.

Para obtener más información sobre los certificados para Linux, consulte los siguientes artículos:

• Generación de certificados:openSSL
• Generación de certificados: strongSwan

Instalación de strongSwan

Se usó la siguiente configuración al especificar comandos:

• Equipo: Ubuntu Server 18.04
• Dependencias: strongSwan

Ejecute los comandos siguientes para instalar la configuración necesaria de strongSwan:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Vista de los archivos de configuración del perfil del cliente VPN

Cuando se genera un paquete de configuración del perfil de cliente VPN, todos los ajustes de configuración necesarios para los clientes VPN están contenidos en un archivo zip de configuración del perfil de cliente VPN. Los archivos de configuración de perfil del cliente VPN son específicos de la configuración de puerta de enlace VPN de punto a sitio para la red virtual. Si se produce algún cambio en la configuración de VPN de punto a sitio después de generar los archivos (por ejemplo, cambios en el tipo de protocolo VPN o en el tipo de autenticación), debe generar archivos de configuración de perfil de cliente VPN nuevos y aplicar la nueva configuración a todos los clientes VPN que quiera conectar.

Localice y descomprima el paquete de configuración del perfil de cliente VPN que generó y descargó. Puede encontrar toda la información que necesita para la configuración en la carpeta Genérico. Azure no proporciona un archivo mobileconfig para esta configuración.

Si no aparece la carpeta Generic, compruebe los elementos siguientes y vuelva a generar el archivo ZIP.

• Compruebe el tipo de túnel para la configuración. Es probable que IKEv2 no se haya seleccionado como tipo de túnel.
• En la puerta de enlace de VPN, compruebe que la SKU no sea Básica. La SKU básica de VPN Gateway no admite IKEv2. Luego, seleccione IKEv2 y vuelva a generar el archivo ZIP para recuperar la carpeta Genérico.

que son los archivos siguientes:

• VpnSettings.xml, con configuración importante, como el tipo de túnel y la dirección del servidor.
• VpnServerRoot.cer, que contiene el certificado raíz necesario para validar la puerta de enlace de VPN de Azure durante la configuración de la conexión de punto a sitio.

Configuración del cliente VPN

Después de ver los archivos del perfil del cliente VPN, continúe con los pasos que desee utilizar:

• Pasos de interfaz gráfica de usuario
• Pasos de la CLI

Pasos de interfaz gráfica de usuario

En esta sección se describe la configuración con la GUI de strongSwan. Las siguientes instrucciones se crearon en Ubuntu 18.0.4. Ubuntu 16.0.10 no admite la GUI de strongSwan. Si quiere usar Ubuntu 16.0.10, deberá usar la línea de comandos. Los ejemplos siguientes pueden no coincidir con las pantallas que vea, en función de la versión de Linux y strongSwan que tenga.

1. Abra la herramienta Terminal para instalar strongSwan y su Network Manager (Administrador de red) ejecutando el comando del ejemplo.

   sudo apt install network-manager-strongswan
   

2. Seleccione Configuración y, a continuación, seleccione Red. Seleccione el botón + para crear una conexión.

   

3. Seleccione IPsec/IKEv2 (strongSwan) en el menú y haga doble clic.

   

4. En la página Add VPN (Agregar VPN), agregue un nombre para la conexión VPN.

   

5. Abra el archivo VpnSettings.xml de la carpeta Generic incluida en los archivos de configuración del perfil del cliente VPN descargados. Busque la etiqueta denominada VpnServer y copie el nombre, que comienza con "azuregateway" y termina con ".cloudapp.net".

   

6. Pegue este nombre en el campo Address (Dirección) de la nueva conexión VPN de la sección Gateway (Puerta de enlace). Luego, seleccione el icono de carpeta al final del campo Certificate (Certificado), vaya a la carpeta Generic (Genérico) y seleccione el archivo VpnServerRoot.

7. En la sección Client (Cliente) de la conexión, para Authentication (Autenticación), seleccione Certificate/private key (Certificado/clave privada). En Certificate (Certificado) y Private key (Clave privada), elija el certificado y la clave privada que se crearon anteriormente. En Options (Opciones), seleccione Request an inner IP address (Solicitar una dirección IP interna). Después, seleccione Agregar.

   

8. Ajuste la conexión en Activado.

   

Pasos de la CLI

En esta sección se describe la configuración con la CLI de strongSwan.

1. Desde la carpeta Generic de los archivos de configuración del perfil del cliente de VPN, copie o mueva VpnServerRoot.cer a /etc/ipsec.d/cacerts.

2. Copie o mueva los archivos que generó en /etc/ipsec.d/certs y /etc/ipsec.d/private/ respectivamente. Estos archivos son el certificado de cliente y la clave privada, y deben ubicarse en sus directorios correspondientes. Use los comandos siguientes:

   sudo cp ${USERNAME}Cert.pem /etc/ipsec.d/certs/
   sudo cp ${USERNAME}Key.pem /etc/ipsec.d/private/
   sudo chmod -R go-rwx /etc/ipsec.d/private /etc/ipsec.d/certs
   

3. Ejecute el comando siguiente para tomar nota del nombre de host. Usará este valor en el paso siguiente.

   hostnamectl --static
   

4. Abra el archivo VpnSettings.xml y copie el valor <VpnServer>. Usará este valor en el paso siguiente.

5. Ajuste los valores del ejemplo siguiente y, luego, agregue el ejemplo a la configuración de /etc/ipsec.conf.

   conn azure
         keyexchange=ikev2
         type=tunnel
         leftfirewall=yes
         left=%any
         # Replace ${USERNAME}Cert.pem with the key filename inside /etc/ipsec.d/certs  directory. 
         leftcert=${USERNAME}Cert.pem
         leftauth=pubkey
         leftid=%client # use the hostname of your machine with % character prepended. Example: %client
         right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com
         rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com
         rightsubnet=0.0.0.0/0
         leftsourceip=%config
         auto=add
         esp=aes256gcm16
   

6. Agregue los valores secretos a /etc/ipsec.secrets.

   El nombre del archivo PEM debe coincidir con lo que ha usado anteriormente como archivo de claves de cliente.

   : RSA ${USERNAME}Key.pem  # Replace ${USERNAME}Key.pem with the key filename inside /etc/ipsec.d/private directory. 
   

7. Ejecute los comandos siguientes:

   sudo ipsec restart
   sudo ipsec up azure
   

Pasos siguientes

Para más pasos, vuelva al artículo P2S Azure portal.