一、前言:
VPN 主要目的不是要做違法之事, 而是要連往某些有限制拜訪來源或是有安全性限制網域時的橋樑,既然是要連往具有嚴格安全性管制網域自然在 VPN 的通訊協定上必須要使用一種安全性較高的 VPN 協定,傳統的 PPTP/L2TP 雖有安全性,但並不足夠安全。近幾年屬於
IPSec[1] 的 ikev2 (Internet Key Exchange version 2) [2] 是一個較為普及通用的加密的VPN 通訊協定。至於 ikev2 是如何運作, 可以參考 ARAVIND .S 這篇 blog 的介紹[3]。
二、安裝 ikev2 VPN server @ Ubuntu 20.04
目前許多作業系統都可以安裝 ikev2 VPN server (包含 windows server [4]), 在此我參考 cloud infrastructure service 這篇文章進行安裝[5]。
1. 先更新系統上的 packages 保持在最新的版本
sudo apt-get update
sudo apt-get upgrade
2. 修改 /etc/sysctl.conf 讓 IP 能夠做 forward (因為做VPN 就想像是多一張虛擬網卡),editor 用 vi 或 nano 都可以。
sudo nano /etc/sysctl.conf
上面白色字的3行原來是有 mark 註解的,將它們拿掉。
3. 重新啟動 sysctl
sudo sysctl -f
4. 安裝 StrongSwan VPN
支援 ikev2 的服務有很多[2],但目前用的較多的為StrongSwan[6],我們透過 apt-get 安裝它及相關套件。
sudo apt-get install strongswan strongswan-pki libcharon-extra-plugins
libcharon-extauth-plugins libstrongswan-extra-plugins libtss2-tcti-tabrmd-dev
5. 安裝憑證授權機構(Certificate Authority, CA)與證書(Certificate)
(1). 產生所需目錄與儲存CA與證書
sudo mkdir -p /root/pki/{cacerts,certs,private}
(2). 產生 root 金鑰以便等會簽署CA
sudo pki --gen --type rsa --size 4096 --outform pem >
/root/pki/private/ca-key.pem
(3). 使用上面金鑰產生 root CA
sudo pki --self --ca --lifetime 3650 --in /root/pki/private/ca-key.pem --type
rsa --dn "CN=VPN root CA" --outform pem >
/root/pki/cacerts/ca-cert.pem
(4). 簽署給 VPN server 用的證書與金鑰
sudo pki --gen --type rsa --size 4096 --outform pem >
/root/pki/private/server-key.pem
(5). 使用之前 CA key 簽署 VPN server 證書, IP 用你 VPN server 的IP(這裏用xxx.xxx.xxx.xxx 取代。
sudo pki --pub --in /root/pki/private/server-key.pem --type rsa | pki --issue
--lifetime 1825 --cacert /root/pki/cacerts/ca-cert.pem --cakey
/root/pki/private/ca-key.pem --dn "CN=xxx.xxx.xxx.xxx" --san xxx.xxx.xxx.xxx
--flag serverAuth --flag ikeIntermediate --outform pem >
/root/pki/certs/server-cert.pem
(6). 拷貝所有證書到 /etc/ipsec.d 資料夾
sudo cp -r /root/pki/* /etc/ipsec.d/
6. 設定 StrongSwan VPN server
(1). 將原舊 ipsec.conf 備份
sudo mv /etc/ipsec.conf /etc/ipsec.conf.bak
(2). 新編寫一個 ipsec.conf 檔
sudo nano /etc/ipsec.conf
(3). 編寫 /etc/ipsec.secrets 檔案
sudo nano /etc/ipsec.secrets
(4).
(5). 重新啟動StrongSwan 服務
sudo systemctl restart strongswan-starter
(6). 檢測 strongswan 的狀態
sudo systemctl status strongswan-starter
7. Client 端的使用
在此使用Android 的StrongSwan
做範例
(1). 先下載你的 VPN 憑證證書到你的手機並導入
/etc/ipsec.d/cacerts 中的 ca-cert.pem 檔案
(2). StrongSwan 做設定時輸入你的IP/帳號/密碼外,最重要的是要導入你的VPN 憑證後方可使用
====================================
References
1. https://en.wikipedia.org/wiki/IPsec
, Access on 2024-01-08.
2. https://en.wikipedia.org/wiki/Internet_Key_Exchange
, Access on 2024-01-08.
3. https://www.linkedin.com/pulse/ikev2-vpn-protocol-explained-what-how-works-aravind-s/
, Access on 2024-01-08.
4. https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831807(v=ws.11)
, Access on 2024-01-08.
5. https://cloudinfrastructureservices.co.uk/setup-ikev2-vpn-server-on-ubuntu-20-04/
, Access on 2024-01-08.
6. https://strongswan.org/ , Access
on 2024-01-08.