Mengonfigurasi VPN strongSwan untuk koneksi IKEv2 autentikasi sertifikat P2S - Linux
Artikel ini membantu Anda menyambungkan ke jaringan virtual Azure (VNet) menggunakan VPN Gateway point-to-site (P2S) VPN dan autentikasi Sertifikat dari klien Linux Ubuntu menggunakan strongSwan.
Sebelum Anda mulai
Sebelum memulai, verifikasi bahwa Anda berada di artikel yang benar. Tabel berikut ini memperlihatkan artikel konfigurasi yang tersedia untuk klien Vpn Azure VPN Gateway P2S. Langkah-langkah berbeda, tergantung pada jenis autentikasi, jenis terowongan, dan OS klien.
| Autentikasi | Jenis terowongan | OS Klien | Klien VPN |
|---|---|---|---|
| Sertifikat | |||
| IKEv2, SSTP | Windows | Klien VPN asli | |
| IKEv2 | macOS | Klien VPN asli | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klien Azure VPN Klien OpenVPN versi 2.x Klien OpenVPN versi 3.x |
|
| OpenVPN | macOS | Klien OpenVPN | |
| OpenVPN | iOS | Klien OpenVPN | |
| OpenVPN | Linux | Klien Azure VPN Klien OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klien Azure VPN | |
| OpenVPN | macOS | Klien Azure VPN | |
| OpenVPN | Linux | Klien Azure VPN |
Prasyarat
Artikel ini mengasumsikan bahwa Anda telah melakukan prasyarat berikut:
- Gateway VPN dikonfigurasi untuk autentikasi sertifikat titik-ke-situs dan jenis terowongan IKEv2. Lihat Mengonfigurasi pengaturan server untuk koneksi VPN Gateway P2S - autentikasi sertifikat untuk langkah-langkahnya.
- File konfigurasi profil klien VPN telah dibuat dan tersedia. Lihat Membuat file konfigurasi profil klien VPN untuk langkah-langkahnya.
Persyaratan koneksi
Untuk menyambungkan ke Azure menggunakan klien strongSwan dan autentikasi sertifikat melalui jenis terowongan IKEv2, setiap klien yang menghubungkan memerlukan item berikut:
- Setiap klien harus dikonfigurasi untuk menggunakan strongSwan.
- Klien harus memiliki sertifikat yang benar yang diinstal secara lokal.
Alur kerja
Alur kerja untuk artikel ini adalah:
- Pasang strongSwan.
- Lihat file konfigurasi profil klien VPN yang terkandung dalam paket konfigurasi profil klien VPN yang Anda buat.
- Temukan sertifikat klien yang diperlukan.
- Konfigurasikan strongSwan.
- Sambungkan ke Azure.
Tentang sertifikat
Untuk autentikasi sertifikat, sertifikat klien harus diinstal pada setiap komputer klien. Sertifikat klien yang ingin Anda gunakan harus diekspor dengan kunci privat, dan harus berisi semua sertifikat di jalur sertifikasi. Selain itu, untuk beberapa konfigurasi, Anda juga perlu menginstal informasi sertifikat akar.
Untuk informasi selengkapnya tentang sertifikat untuk Linux, lihat artikel berikut ini:
Pasang strongSwan
Konfigurasi berikut digunakan saat menentukan perintah:
- Komputer: Ubuntu Server 18.04
- Dependensi: strongSwan
Gunakan perintah berikut untuk memasang konfigurasi strongSwan yang diperlukan:
sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0
Menampilkan file konfigurasi profil klien VPN
Saat Anda membuat paket konfigurasi profil klien VPN, semua pengaturan konfigurasi yang diperlukan untuk klien VPN terkandung dalam file zip konfigurasi profil klien VPN. File konfigurasi profil klien VPN khusus untuk konfigurasi gateway VPN P2S untuk jaringan virtual. Jika ada perubahan pada konfigurasi VPN P2S setelah Anda membuat file, seperti perubahan pada jenis protokol VPN atau jenis autentikasi, Anda perlu membuat file konfigurasi profil klien VPN baru dan menerapkan konfigurasi baru ke semua klien VPN yang ingin Anda sambungkan.
Temukan dan buka zip paket konfigurasi profil klien VPN yang Anda buat dan unduh. Folder Generik berisi semua informasi yang Anda butuhkan untuk konfigurasi. Azure tidak menyediakan file mobileconfig untuk konfigurasi ini.
Jika Anda tidak melihat folder Generik, periksa item berikut, lalu buat file zip lagi.
- Periksa jenis tunnel untuk konfigurasi Anda. Kemungkinan IKEv2 tidak dipilih sebagai jenis tunnel.
- Pada gateway VPN, verifikasi bahwa SKU bukanlah Dasar. SKU Dasar Gateway VPN tidak mendukung IKEv2. Lalu, pilih IKEv2 dan buat file zip lagi untuk mengambil folder Generik.
Folder Generik berisi file-file berikut:
- VpnSettings.xml, yang berisi pengaturan penting seperti alamat server dan jenis terowongan.
- VpnServerRoot.cer, yang berisi sertifikat akar yang diperlukan untuk memvalidasi gateway VPN Azure selama penyiapan koneksi P2S.
Mengonfigurasi klien VPN
Setelah melihat file profil klien VPN, lanjutkan dengan langkah-langkah yang ingin Anda gunakan:
Langkah-langkah GUI
Bagian ini memandu Anda melalui konfigurasi menggunakan GUI strongSwan. Instruksi berikut dibuat pada Ubuntu 18.0.4. Ubuntu 16.0.10 tidak mendukung strongSwan GUI. Jika Anda ingin menggunakan Ubuntu 16.0.10, Anda harus menggunakan baris perintah. Contoh berikut mungkin tidak cocok dengan layar yang Anda lihat, tergantung pada versi Linux dan strongSwan Anda.
Buka Terminal untuk memasang strongSwan dan Manajer Jaringannya dengan menjalankan perintah sesuai contoh.
sudo apt install network-manager-strongswanPilih Pengaturan, lalu pilih Jaringan. Pilih tombol + untuk membuat koneksi baru.
Pilih IPsec/IKEv2 (strongSwan) dari menu, dan klik dua kali.
Pada halaman Tambahkan VPN, tambahkan nama untuk koneksi VPN Anda.
Buka file VpnSettings.xml dari folder Generik yang berada dalam file konfigurasi profil klien VPN yang diunduh. Temukan tag yang disebut VpnServer dan salin namanya, dimulai dengan 'azuregateway' dan diakhiri dengan '.cloudapp.net'.
Tempelkan nama di bidang Alamat pada koneksi VPN baru Anda di bagian Gateway. Selanjutnya, pilih ikon folder di akhir bidang Sertifikat, telusuri ke folder Generik, dan pilih file VpnServerRoot.
Di bagian Klien pada koneksi, untuk Autentikasi, pilih Kunci sertifikat/privat. Untuk Sertifikat dan Kunci privat, pilih sertifikat dan kunci privat yang telah dibuat sebelumnya. Di Opsi, pilih Minta alamat IP internal. Kemudian, pilih Tambahkan.
Nyalakan koneksiAktif.
Langkah-langkah CLI
Bagian ini memandu Anda melalui konfigurasi menggunakan CLI strongSwan .
Dari file konfigurasi profil klien VPN folder Generik, salin atau pindahkan VpnServerRoot.cer ke /etc/ipsec.d/cacerts.
Salin atau pindahkan file yang Anda buat ke /etc/ipsec.d/certs dan /etc/ipsec.d/private/ masing-masing. File-file ini adalah sertifikat klien dan kunci privat, mereka perlu berada di direktori yang sesuai. Gunakan perintah berikut:
sudo cp ${USERNAME}Cert.pem /etc/ipsec.d/certs/ sudo cp ${USERNAME}Key.pem /etc/ipsec.d/private/ sudo chmod -R go-rwx /etc/ipsec.d/private /etc/ipsec.d/certsJalankan perintah berikut untuk mencatat nama host Anda. Anda akan menggunakan nilai ini pada langkah berikutnya.
hostnamectl --staticBuka file VpnSettings.xml dan salin
<VpnServer>nilainya. Anda akan menggunakan nilai ini pada langkah berikutnya.Sesuaikan nilai dalam contoh berikut, lalu tambahkan contoh tersebut ke konfigurasi /etc/ipsec.conf.
conn azure keyexchange=ikev2 type=tunnel leftfirewall=yes left=%any # Replace ${USERNAME}Cert.pem with the key filename inside /etc/ipsec.d/certs directory. leftcert=${USERNAME}Cert.pem leftauth=pubkey leftid=%client # use the hostname of your machine with % character prepended. Example: %client right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com rightsubnet=0.0.0.0/0 leftsourceip=%config auto=add esp=aes256gcm16Tambahkan nilai rahasia ke /etc/ipsec.secrets.
Nama file PEM harus cocok dengan apa yang telah Anda gunakan sebelumnya sebagai file kunci klien Anda.
: RSA ${USERNAME}Key.pem # Replace ${USERNAME}Key.pem with the key filename inside /etc/ipsec.d/private directory.Jalankan perintah berikut:
sudo ipsec restart sudo ipsec up azure
Langkah berikutnya
Untuk langkah-langkah lainnya, kembali ke artikel portal Azure P2S.