Mengonfigurasi klien VPN titik-ke-situs: autentikasi sertifikat - Linux

Artikel
02/02/2024

Artikel ini membantu Anda menyambungkan ke jaringan virtual Azure (VNet) menggunakan VPN Gateway point-to-site (P2S) dan autentikasi Sertifikat dari klien Linux. Ada beberapa set langkah dalam artikel ini, tergantung pada jenis terowongan yang Anda pilih untuk konfigurasi P2S Anda, sistem operasi, dan klien VPN yang digunakan untuk menyambungkan.

Sebelum Anda mulai

Sebelum memulai, verifikasi bahwa Anda berada di artikel yang benar. Tabel berikut ini memperlihatkan artikel konfigurasi yang tersedia untuk klien Vpn Azure VPN Gateway P2S. Langkah-langkah berbeda, tergantung pada jenis autentikasi, jenis terowongan, dan OS klien.

Autentikasi	Jenis terowongan	Hasilkan file konfigurasi	Mengonfigurasi klien VPN
Sertifikat Azure	IKEv2, SSTP	Windows	Klien VPN asli
Sertifikat Azure	OpenVPN	Windows	- Klien OpenVPN - Klien Azure VPN
Sertifikat Azure	IKEv2, OpenVPN	macOS-iOS	macOS-iOS
Sertifikat Azure	IKEv2, OpenVPN	Linux	Linux
Microsoft Entra ID	OpenVPN (SSL)	Windows	Windows
Microsoft Entra ID	OpenVPN (SSL)	macOS	macOS
Sertifikat RADIUS	-	Artikel	Artikel
RADIUS - kata sandi	-	Artikel	Artikel
RADIUS - metode lain	-	Artikel	Artikel

Penting

Mulai 1 Juli 2018, dukungan dihapus untuk TLS 1.0 dan 1.1 dari Gateway VPN Azure. VPN Gateway hanya akan mendukung TLS 1.2. saja Hanya koneksi titik ke situs yang terpengaruh; sambungan situs ke situs tidak akan terpengaruh. Jika Anda menggunakan TLS untuk VPN titik ke situs pada klien Windows 10, Anda tidak perlu mengambil tindakan apa pun. Jika Anda menggunakan TLS untuk koneksi titik ke situs pada klien Windows 7 dan Windows 8, lihat Tanya Jawab Umum VPN Gateway untuk petunjuk pembaruan.

Membuat sertifikat

Untuk autentikasi sertifikat, sertifikat klien harus diinstal pada setiap komputer klien. Sertifikat klien yang ingin Anda gunakan harus diekspor dengan kunci privat, dan harus berisi semua sertifikat di jalur sertifikasi. Selain itu, untuk beberapa konfigurasi, Anda juga perlu menginstal informasi sertifikat akar.

Untuk informasi tentang bekerja dengan sertifikat, lihat Titik-ke-situs: Membuat sertifikat.

Membuat file konfigurasi klien VPN

Semua pengaturan konfigurasi yang diperlukan untuk klien VPN terkandung dalam file zip konfigurasi profil klien VPN. File konfigurasi profil klien VPN yang Anda buat khusus untuk konfigurasi gateway VPN P2S untuk jaringan virtual. Jika ada perubahan pada konfigurasi VPN P2S setelah Anda membuat file, seperti perubahan pada jenis protokol VPN atau jenis autentikasi, Anda perlu membuat file konfigurasi profil klien VPN baru dan menerapkan konfigurasi baru ke semua klien VPN yang ingin Anda sambungkan. Untuk informasi selengkapnya tentang konfigurasi P2S, lihat Tentang VPN Point-to-Site.

Untuk menghasilkan file konfigurasi menggunakan portal Azure:

Di portal Azure, buka gateway jaringan virtual untuk jaringan virtual yang ingin Anda sambungkan.
Pada halaman gateway jaringan virtual, pilih Konfigurasi point-to-site untuk membuka halaman Konfigurasi point-to-site.
Di bagian atas halaman konfigurasi Titik-ke-situs, pilih Unduh klien VPN. Ini tidak mengunduh perangkat lunak klien VPN, ini membuat paket konfigurasi yang digunakan untuk mengonfigurasi klien VPN. Perlu beberapa menit hingga paket konfigurasi klien dapat dibuat. Selama waktu ini, Anda mungkin tidak melihat indikasi apa pun sampai paket dihasilkan.
Setelah paket konfigurasi dibuat, browser Anda menunjukkan bahwa file zip konfigurasi klien tersedia. File diberi nama yang sama dengan gateway Anda.
Ekstrak file zip untuk melihat folder. Anda akan menggunakan beberapa, atau semua, dari file-file ini untuk mengonfigurasi klien VPN Anda. File yang dihasilkan sesuai dengan pengaturan jenis autentikasi dan terowongan yang Anda konfigurasikan di server P2S.

Selanjutnya, konfigurasikan klien VPN. Pilih dari instruksi berikut:

Langkah jenis terowongan IKEv2 untuk strongSwan
Langkah jenis terowongan OpenVPN untuk klien OpenVPN

IKEv2 - langkah strongSwan

Pasang strongSwan

Konfigurasi berikut digunakan saat menentukan perintah:

Komputer: Ubuntu Server 18.04
Dependensi: strongSwan

Gunakan perintah berikut untuk memasang konfigurasi strongSwan yang diperlukan:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Instal sertifikat

Sertifikat klien diperlukan untuk autentikasi saat menggunakan jenis autentikasi sertifikat Azure. Sertifikat klien harus diinstal pada setiap komputer klien. Sertifikat klien yang diekspor harus diekspor dengan kunci privat, dan harus berisi semua sertifikat di jalur sertifikasi. Pastikan bahwa komputer klien memiliki sertifikat klien yang sesuai yang diinstal sebelum melanjutkan ke bagian berikutnya.

Untuk informasi tentang sertifikat klien, lihat Buat sertifikat - Linux.

Tampilkan file profil klien VPN

Buka file konfigurasi profil klien VPN yang diunduh. Folder Generik berisi semua informasi yang Anda butuhkan untuk konfigurasi. Azure tidak menyediakan file mobileconfig untuk konfigurasi ini.

Jika Anda tidak melihat folder Generik, periksa item berikut, lalu buat file zip lagi.

Periksa jenis tunnel untuk konfigurasi Anda. Kemungkinan IKEv2 tidak dipilih sebagai jenis tunnel.
Pada gateway VPN, verifikasi bahwa SKU bukanlah Dasar. SKU Dasar Gateway VPN tidak mendukung IKEv2. Lalu, pilih IKEv2 dan buat file zip lagi untuk mengambil folder Generik.

Folder Generik berisi file-file berikut:

VpnSettings.xml, yang berisi pengaturan penting seperti alamat server dan jenis terowongan.
VpnServerRoot.cer, yang berisi sertifikat akar yang diperlukan untuk memvalidasi gateway VPN Azure selama penyiapan koneksi P2S.

Setelah menampilkan file, lanjutkan dengan langkah-langkah yang ingin Anda gunakan:

Langkah-langkah GUI
Langkah-langkah CLI

langkah-langkah gui strongSwan

Bagian ini memandu Anda melalui konfigurasi menggunakan GUI strongSwan. Instruksi berikut dibuat pada Ubuntu 18.0.4. Ubuntu 16.0.10 tidak mendukung strongSwan GUI. Jika Anda ingin menggunakan Ubuntu 16.0.10, Anda harus menggunakan baris perintah. Contoh berikut mungkin berbeda dengan layar yang Anda lihat, tergantung pada versi Linux dan strongSwan Anda.

Buka Terminal untuk memasang strongSwan dan Manajer Jaringannya dengan menjalankan perintah sesuai contoh.
```
sudo apt install network-manager-strongswan
```
Pilih Pengaturan, lalu pilih Jaringan. Pilih tombol + untuk membuat koneksi baru.
Pilih IPsec/IKEv2 (strongSwan) dari menu, dan klik dua kali.
Pada halaman Tambahkan VPN, tambahkan nama untuk koneksi VPN Anda.
Buka file VpnSettings.xml dari folder Generik yang berada dalam file konfigurasi profil klien VPN yang diunduh. Temukan tag yang disebut VpnServer dan salin namanya, dimulai dengan 'azuregateway' dan diakhiri dengan '.cloudapp.net'.
Tempelkan nama di bidang Alamat pada koneksi VPN baru Anda di bagian Gateway. Selanjutnya, pilih ikon folder di akhir bidang Sertifikat, telusuri ke folder Generik, dan pilih file VpnServerRoot.
Di bagian Klien pada koneksi, untuk Autentikasi, pilih Kunci sertifikat/privat. Untuk Sertifikat dan Kunci privat, pilih sertifikat dan kunci privat yang telah dibuat sebelumnya. Di Opsi, pilih Minta alamat IP internal. Kemudian, pilih Tambahkan.
Nyalakan koneksiAktif.

langkah-langkah CLI strongSwan

Bagian ini memandu Anda melalui konfigurasi menggunakan CLI strongSwan .

Dari file konfigurasi profil klien VPN folder Generik, salin atau pindahkan VpnServerRoot.cer ke /etc/ipsec.d/cacerts.
Salin atau pindahkan file yang Anda buat ke /etc/ipsec.d/certs dan /etc/ipsec.d/private/ masing-masing. File-file ini adalah sertifikat klien dan kunci privat, mereka perlu berada di direktori yang sesuai. Gunakan perintah berikut:
```
sudo cp ${USERNAME}Cert.pem /etc/ipsec.d/certs/
sudo cp ${USERNAME}Key.pem /etc/ipsec.d/private/
sudo chmod -R go-rwx /etc/ipsec.d/private /etc/ipsec.d/certs
```
Jalankan perintah berikut untuk mencatat nama host Anda. Anda akan menggunakan nilai ini pada langkah berikutnya.
```
hostnamectl --static
```
Buka file VpnSettings.xml dan salin <VpnServer> nilainya. Anda akan menggunakan nilai ini pada langkah berikutnya.

Sesuaikan nilai dalam contoh berikut, lalu tambahkan contoh tersebut ke konfigurasi /etc/ipsec.conf.

conn azure
      keyexchange=ikev2
      type=tunnel
      leftfirewall=yes
      left=%any
      # Replace ${USERNAME}Cert.pem with the key filename inside /etc/ipsec.d/certs  directory. 
      leftcert=${USERNAME}Cert.pem
      leftauth=pubkey
      leftid=%client # use the hostname of your machine with % character prepended. Example: %client
      right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com
      rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com
      rightsubnet=0.0.0.0/0
      leftsourceip=%config
      auto=add
      esp=aes256gcm16

Tambahkan nilai rahasia ke /etc/ipsec.secrets.

Nama file PEM harus cocok dengan apa yang telah Anda gunakan sebelumnya sebagai file kunci klien Anda.
```
: RSA ${USERNAME}Key.pem  # Replace ${USERNAME}Key.pem with the key filename inside /etc/ipsec.d/private directory. 
```
Terakhir jalankan perintah berikut:
```
sudo ipsec restart
sudo ipsec up azure
```

Langkah-langkah OpenVPN

Bagian ini membantu Anda mengkonfigurasi klien Linux untuk autentikasi sertifikat yang menggunakan jenis tunnel OpenVPN. Untuk tersambung ke Azure, unduh klien OpenVPN dan konfigurasikan profil koneksi.

Catatan

Klien OpenVPN versi 2.6 belum didukung.

Membuka sesi Terminal baru. Anda dapat membuka sesi baru dengan menekan 'Ctrl + Alt + t' secara bersamaan.

Masukkan perintah berikut untuk menginstal komponen yang diperlukan:

sudo apt-get install openvpn
sudo apt-get -y install network-manager-openvpn
sudo service network-manager restart

Selanjutnya, buka folder profil klien VPN dan buka zip untuk melihat file.
Ekspor sertifikat klien P2S yang Anda buat dan unggah ke konfigurasi P2S Anda di gateway. Untuk langkah-langkahnya, lihat VPN Gateway titik-ke-situs.
Ekstrak kunci privat dan sidik jari base64 dari .pfx. Ada beberapa cara untuk melakukan ini. Menggunakan OpenSSL di komputer Anda adalah salah satu caranya.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
File profileinfo.txt terdiri atas kunci privat dan thumbprint untuk CA dan sertifikat Klien. Pastikan untuk menggunakan thumbprint sertifikat klien.
Buka profileinfo.txt di editor teks. Untuk mendapatkan thumbprint sertifikat klien (elemen anak), pilih teks termasuk dan di antarany "-----BEGIN CERTIFICATE-----" dan "-----END CERTIFICATE-----" untuk sertifikat elemen anak dan salin. Anda dapat mengidentifikasi sertifikat elemen anak dengan melihat baris subject=/.

Buka file vpnconfig.ovpn dan temukan bagian yang ditunjukkan di bawah. Ganti semuanya antara "cert" dan "/cert".

# P2S client certificate
# please fill this field with a PEM formatted cert
<cert>
$CLIENTCERTIFICATE
</cert>

Buka profileinfo.txt di editor teks. Untuk mendapatkan kunci privat, pilih teks termasuk dan antara "-----BEGIN PRIVATE KEY-----" dan "-----END PRIVATE KEY-----" dan salin.
Buka file vpnconfig.ovpn di editor teks dan temukan bagian ini. Tempel kunci privat mengganti segala sesuatu antara dan "kunci" dan "/kunci".
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Jangan ubah bidang lainnya. Gunakan konfigurasi terisi dalam input klien untuk menyambungkan ke VPN.
- Untuk menyambungkan menggunakan baris perintah, ketikkan perintah berikut:
```
sudo openvpn --config <name and path of your VPN profile file>&
```
- Untuk memutuskan sambungan menggunakan baris perintah, ketik perintah berikut:
```
sudo pkill openvpn
```
- Untuk menyambungkan menggunakan GUI, buka pengaturan sistem.
Pilih + untuk menambahkan koneksi VPN baru.
Di bawah Tambahkan VPN, pilih Impor dari file...
Telusuri ke file profil dan klik ganda atau pilih Buka
Pilih Tambahkan di jendela Tambahkan VPN .
Anda bisa tersambung dengan AKTIFKAN VPN pada halaman Pengaturan Jaringan, atau di bawah ikon jaringan di baki sistem.

Langkah berikutnya

Untuk langkah tambahan, kembali ke artikel titik-ke-situs asli tempat Anda bekerja.