Mengonfigurasi VPN strongSwan untuk koneksi IKEv2 autentikasi sertifikat P2S - Linux

Artikel
06/19/2024

Artikel ini membantu Anda menyambungkan ke jaringan virtual Azure (VNet) menggunakan VPN Gateway point-to-site (P2S) VPN dan autentikasi Sertifikat dari klien Linux Ubuntu menggunakan strongSwan.

Sebelum Anda mulai

Sebelum memulai, verifikasi bahwa Anda berada di artikel yang benar. Tabel berikut ini memperlihatkan artikel konfigurasi yang tersedia untuk klien Vpn Azure VPN Gateway P2S. Langkah-langkah berbeda, tergantung pada jenis autentikasi, jenis terowongan, dan OS klien.

Autentikasi	Jenis terowongan	OS Klien	Klien VPN
Sertifikat
	IKEv2, SSTP	Windows	Klien VPN asli
	IKEv2	macOS	Klien VPN asli
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Klien Azure VPN Klien OpenVPN
	OpenVPN	macOS	Klien OpenVPN
	OpenVPN	iOS	Klien OpenVPN
	OpenVPN	Linux	Klien Azure VPN Klien OpenVPN
Microsoft Entra ID
	OpenVPN	Windows	Klien Azure VPN
	OpenVPN	macOS	Klien Azure VPN
	OpenVPN	Linux	Klien Azure VPN

Prasyarat

Artikel ini mengasumsikan bahwa Anda telah melakukan prasyarat berikut:

Gateway VPN dikonfigurasi untuk autentikasi sertifikat titik-ke-situs dan jenis terowongan IKEv2. Lihat Mengonfigurasi pengaturan server untuk koneksi VPN Gateway P2S - autentikasi sertifikat untuk langkah-langkahnya.
File konfigurasi profil klien VPN telah dibuat dan tersedia. Lihat Membuat file konfigurasi profil klien VPN untuk langkah-langkahnya.

Persyaratan koneksi

Untuk menyambungkan ke Azure menggunakan klien strongSwan dan autentikasi sertifikat melalui jenis terowongan IKEv2, setiap klien yang menghubungkan memerlukan item berikut:

Setiap klien harus dikonfigurasi untuk menggunakan strongSwan.
Klien harus memiliki sertifikat yang benar yang diinstal secara lokal.

Alur kerja

Alur kerja untuk artikel ini adalah:

Pasang strongSwan.
Lihat file konfigurasi profil klien VPN yang terkandung dalam paket konfigurasi profil klien VPN yang Anda buat.
Temukan sertifikat klien yang diperlukan.
Konfigurasikan strongSwan.
Sambungkan ke Azure.

Tentang sertifikat

Untuk autentikasi sertifikat, sertifikat klien harus diinstal pada setiap komputer klien. Sertifikat klien yang ingin Anda gunakan harus diekspor dengan kunci privat, dan harus berisi semua sertifikat di jalur sertifikasi. Selain itu, untuk beberapa konfigurasi, Anda juga perlu menginstal informasi sertifikat akar.

Untuk informasi selengkapnya tentang sertifikat untuk Linux, lihat artikel berikut ini:

Pasang strongSwan

Konfigurasi berikut digunakan saat menentukan perintah:

Komputer: Ubuntu Server 18.04
Dependensi: strongSwan

Gunakan perintah berikut untuk memasang konfigurasi strongSwan yang diperlukan:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Menampilkan file konfigurasi profil klien VPN

Saat Anda membuat paket konfigurasi profil klien VPN, semua pengaturan konfigurasi yang diperlukan untuk klien VPN terkandung dalam file zip konfigurasi profil klien VPN. File konfigurasi profil klien VPN khusus untuk konfigurasi gateway VPN P2S untuk jaringan virtual. Jika ada perubahan pada konfigurasi VPN P2S setelah Anda membuat file, seperti perubahan pada jenis protokol VPN atau jenis autentikasi, Anda perlu membuat file konfigurasi profil klien VPN baru dan menerapkan konfigurasi baru ke semua klien VPN yang ingin Anda sambungkan.

Temukan dan buka zip paket konfigurasi profil klien VPN yang Anda buat dan unduh. Folder Generik berisi semua informasi yang Anda butuhkan untuk konfigurasi. Azure tidak menyediakan file mobileconfig untuk konfigurasi ini.

Jika Anda tidak melihat folder Generik, periksa item berikut, lalu buat file zip lagi.

Periksa jenis tunnel untuk konfigurasi Anda. Kemungkinan IKEv2 tidak dipilih sebagai jenis tunnel.
Pada gateway VPN, verifikasi bahwa SKU bukanlah Dasar. SKU Dasar Gateway VPN tidak mendukung IKEv2. Lalu, pilih IKEv2 dan buat file zip lagi untuk mengambil folder Generik.

Folder Generik berisi file-file berikut:

VpnSettings.xml, yang berisi pengaturan penting seperti alamat server dan jenis terowongan.
VpnServerRoot.cer, yang berisi sertifikat akar yang diperlukan untuk memvalidasi gateway VPN Azure selama penyiapan koneksi P2S.

Mengonfigurasi klien VPN

Setelah melihat file profil klien VPN, lanjutkan dengan langkah-langkah yang ingin Anda gunakan:

Langkah-langkah GUI
Langkah-langkah CLI

Langkah-langkah GUI

Bagian ini memandu Anda melalui konfigurasi menggunakan GUI strongSwan. Instruksi berikut dibuat pada Ubuntu 18.0.4. Ubuntu 16.0.10 tidak mendukung strongSwan GUI. Jika Anda ingin menggunakan Ubuntu 16.0.10, Anda harus menggunakan baris perintah. Contoh berikut mungkin tidak cocok dengan layar yang Anda lihat, tergantung pada versi Linux dan strongSwan Anda.

Buka Terminal untuk memasang strongSwan dan Manajer Jaringannya dengan menjalankan perintah sesuai contoh.
```
sudo apt install network-manager-strongswan
```
Pilih Pengaturan, lalu pilih Jaringan. Pilih tombol + untuk membuat koneksi baru.
Pilih IPsec/IKEv2 (strongSwan) dari menu, dan klik dua kali.
Pada halaman Tambahkan VPN, tambahkan nama untuk koneksi VPN Anda.
Buka file VpnSettings.xml dari folder Generik yang berada dalam file konfigurasi profil klien VPN yang diunduh. Temukan tag yang disebut VpnServer dan salin namanya, dimulai dengan 'azuregateway' dan diakhiri dengan '.cloudapp.net'.
Tempelkan nama di bidang Alamat pada koneksi VPN baru Anda di bagian Gateway. Selanjutnya, pilih ikon folder di akhir bidang Sertifikat, telusuri ke folder Generik, dan pilih file VpnServerRoot.
Di bagian Klien pada koneksi, untuk Autentikasi, pilih Kunci sertifikat/privat. Untuk Sertifikat dan Kunci privat, pilih sertifikat dan kunci privat yang telah dibuat sebelumnya. Di Opsi, pilih Minta alamat IP internal. Kemudian, pilih Tambahkan.
Nyalakan koneksiAktif.

Langkah-langkah CLI

Bagian ini memandu Anda melalui konfigurasi menggunakan CLI strongSwan .

Dari file konfigurasi profil klien VPN folder Generik, salin atau pindahkan VpnServerRoot.cer ke /etc/ipsec.d/cacerts.
Salin atau pindahkan file yang Anda buat ke /etc/ipsec.d/certs dan /etc/ipsec.d/private/ masing-masing. File-file ini adalah sertifikat klien dan kunci privat, mereka perlu berada di direktori yang sesuai. Gunakan perintah berikut:
```
sudo cp ${USERNAME}Cert.pem /etc/ipsec.d/certs/
sudo cp ${USERNAME}Key.pem /etc/ipsec.d/private/
sudo chmod -R go-rwx /etc/ipsec.d/private /etc/ipsec.d/certs
```
Jalankan perintah berikut untuk mencatat nama host Anda. Anda akan menggunakan nilai ini pada langkah berikutnya.
```
hostnamectl --static
```
Buka file VpnSettings.xml dan salin <VpnServer> nilainya. Anda akan menggunakan nilai ini pada langkah berikutnya.

Sesuaikan nilai dalam contoh berikut, lalu tambahkan contoh tersebut ke konfigurasi /etc/ipsec.conf.

conn azure
      keyexchange=ikev2
      type=tunnel
      leftfirewall=yes
      left=%any
      # Replace ${USERNAME}Cert.pem with the key filename inside /etc/ipsec.d/certs  directory. 
      leftcert=${USERNAME}Cert.pem
      leftauth=pubkey
      leftid=%client # use the hostname of your machine with % character prepended. Example: %client
      right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com
      rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com
      rightsubnet=0.0.0.0/0
      leftsourceip=%config
      auto=add
      esp=aes256gcm16

Tambahkan nilai rahasia ke /etc/ipsec.secrets.

Nama file PEM harus cocok dengan apa yang telah Anda gunakan sebelumnya sebagai file kunci klien Anda.
```
: RSA ${USERNAME}Key.pem  # Replace ${USERNAME}Key.pem with the key filename inside /etc/ipsec.d/private directory. 
```
Jalankan perintah berikut:
```
sudo ipsec restart
sudo ipsec up azure
```

Langkah berikutnya

Untuk langkah-langkah lainnya, kembali ke artikel portal Azure P2S.

Bagikan melalui