StrongSwan: Diferenzas entre revisións
Sen resumo de edición |
|||
Liña 1: | Liña 1: | ||
[[Category:Bulletins]]<teaser>Creación dun Servidor VPN con StrongSwan e acceso dende Clientes Linux/Windows</teaser> |
|||
==Creación dunha VPN con StrongsWan== |
==Creación dunha VPN con StrongsWan== |
||
StrongSwan é unha implementación de VPN basada en IPSEC incluída nos repositorios oficiais Debian, que ofrece múltiples características, entre elas o traspaso de NAT mediante encapsulación UDP e o uso de IKEv2 para a autenticación, soportada en Windows 7 e Android. Podes consultar as características completas na [[http://www.strongswan.org/ páxina de StrongSwan]]. |
StrongSwan é unha implementación de VPN basada en IPSEC incluída nos repositorios oficiais Debian, que ofrece múltiples características, entre elas o traspaso de NAT mediante encapsulación UDP e o uso de IKEv2 para a autenticación, soportada en Windows 7 e Android. Podes consultar as características completas na [[http://www.strongswan.org/ páxina de StrongSwan]]. |
||
Liña 9: | Liña 10: | ||
:a) Habilitar extensións nas solicitudes de certificados, descomentando a liña '''req_extensions = v3_req''' na sección ''[req]'' de ''/etc/ssl/openssl.conf'' |
:a) Habilitar extensións nas solicitudes de certificados, descomentando a liña '''req_extensions = v3_req''' na sección ''[req]'' de ''/etc/ssl/openssl.conf'' |
||
:b) Indicar na sección ''[v3_req]'' que será un certificado de autenticación, e o nome do servidor para o que se vai a utilizar. (Neste caso será '''DNS:vpn.iesrodeira.com''), mediante as propiedades ''extendedKeyUsage'' e ''extendedAltName'': |
:b) Indicar na sección ''[v3_req]'' que será un certificado de autenticación, e o nome do servidor para o que se vai a utilizar. (Neste caso será '''DNS:vpn.iesrodeira.com''), mediante as propiedades ''extendedKeyUsage'' e ''extendedAltName'': |
||
< |
<source lang='text'> |
||
extendedKeyUsage = serverAuth |
extendedKeyUsage = serverAuth |
||
subjectAltName = DNS:vpn.iesrodeira.com |
subjectAltName = DNS:vpn.iesrodeira.com |
||
</ |
</source> |
||
:c) Crear a chave primaria e a solicitude de certificado: |
:c) Crear a chave primaria e a solicitude de certificado: |
||
< |
<source lang='text'> |
||
openssl req -newkey rsa:2048 -keyout vpn.iesrodeira.com.key -out vpn.iesrodeira.com.csr |
openssl req -newkey rsa:2048 -keyout vpn.iesrodeira.com.key -out vpn.iesrodeira.com.csr |
||
</ |
</source> |
||
:d) Enviaremos a solicitude de certificado (''vpn.iesrodeira.com.csr'') a autoridade de certificación (CA) IES de Rodeira, que realizará a firma do mesmo e nos entregará o certificado firmado, ''vpn.iesrodeira.com.crt''. Mediante o comando: |
:d) Enviaremos a solicitude de certificado (''vpn.iesrodeira.com.csr'') a autoridade de certificación (CA) IES de Rodeira, que realizará a firma do mesmo e nos entregará o certificado firmado, ''vpn.iesrodeira.com.crt''. Mediante o comando: |
||
< |
<source lang='text'> |
||
openssl x509 -in winvirtual.iesrodeira.com.crt -noout -text |
openssl x509 -in winvirtual.iesrodeira.com.crt -noout -text |
||
</ |
</source> |
||
:poderemos comprobar si o certificado incorpora as extensións indicadas. |
:poderemos comprobar si o certificado incorpora as extensións indicadas. |
||
Revisión como estaba o 28 de febreiro de 2014 ás 17:27
Creación dunha VPN con StrongsWan
StrongSwan é unha implementación de VPN basada en IPSEC incluída nos repositorios oficiais Debian, que ofrece múltiples características, entre elas o traspaso de NAT mediante encapsulación UDP e o uso de IKEv2 para a autenticación, soportada en Windows 7 e Android. Podes consultar as características completas na [páxina de StrongSwan].
En este artigo, configuraremos un servidor StrongsWan que permitirá o establecimento dunha VPN IPSec entre unha rede local e clientes remotos Linux ou Windows 7 mediante o uso de certificados expedidos por unha autoridade de certificación na que teñamos confianza. Neste caso concreto, os certificados serán expedidos pola CA IES de Rodeira, que se encargará da firma das solicitudes de certificados enviadas polos clientes e de proporcionar o servizo OCSP necesario para a súa verificación.
Servidor VPN
Certificados
O servidor VPN terá un certificado de servidor, firmado dixitalmente pola autoridade CA IES de Rodeira. Debemos:
- a) Habilitar extensións nas solicitudes de certificados, descomentando a liña req_extensions = v3_req na sección [req] de /etc/ssl/openssl.conf
- b) Indicar na sección [v3_req] que será un certificado de autenticación, e o nome do servidor para o que se vai a utilizar. (Neste caso será 'DNS:vpn.iesrodeira.com), mediante as propiedades extendedKeyUsage e extendedAltName:
extendedKeyUsage = serverAuth
subjectAltName = DNS:vpn.iesrodeira.com
- c) Crear a chave primaria e a solicitude de certificado:
openssl req -newkey rsa:2048 -keyout vpn.iesrodeira.com.key -out vpn.iesrodeira.com.csr
- d) Enviaremos a solicitude de certificado (vpn.iesrodeira.com.csr) a autoridade de certificación (CA) IES de Rodeira, que realizará a firma do mesmo e nos entregará o certificado firmado, vpn.iesrodeira.com.crt. Mediante o comando:
openssl x509 -in winvirtual.iesrodeira.com.crt -noout -text
- poderemos comprobar si o certificado incorpora as extensións indicadas.