P2S sertifika kimlik doğrulaması IKEv2 bağlantıları için strongSwan VPN yapılandırma - Linux
Bu makale, strongSwan kullanan bir Ubuntu Linux istemcisinden VPN Gateway noktadan siteye (P2S) VPN ve Sertifika kimlik doğrulaması kullanarak Azure sanal ağınıza (VNet) bağlanmanıza yardımcı olur.
Başlamadan önce
Başlamadan önce doğru makalede olduğunuzu doğrulayın. Aşağıdaki tabloda Azure VPN Gateway P2S VPN istemcileri için kullanılabilen yapılandırma makaleleri gösterilmektedir. Adımlar kimlik doğrulama türüne, tünel türüne ve istemci işletim sistemine bağlı olarak farklılık gösterir.
| Kimlik Doğrulaması | Tünel türü | İstemci İşletim Sistemi | VPN istemcisi |
|---|---|---|---|
| Sertifika | |||
| IKEv2, SSTP | Windows | Yerel VPN istemcisi | |
| IKEv2 | macOS | Yerel VPN istemcisi | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN istemcisi OpenVPN istemci sürümü 2.x OpenVPN istemci sürümü 3.x |
|
| OpenVPN | macOS | OpenVPN istemcisi | |
| OpenVPN | iOS | OpenVPN istemcisi | |
| OpenVPN | Linux | Azure VPN İstemcisi OpenVPN istemcisi |
|
| Microsoft Entra Kimlik | |||
| OpenVPN | Windows | Azure VPN istemcisi | |
| OpenVPN | macOS | Azure VPN İstemcisi | |
| OpenVPN | Linux | Azure VPN İstemcisi |
Önkoşullar
Bu makalede, aşağıdaki önkoşulları zaten gerçekleştirdiğiniz varsayılır:
- VPN ağ geçidi noktadan siteye sertifika kimlik doğrulaması ve IKEv2 tünel türü için yapılandırılır. Adımlar için bkz . P2S VPN Gateway bağlantıları için sunucu ayarlarını yapılandırma - sertifika kimlik doğrulaması .
- VPN istemci profili yapılandırma dosyaları oluşturulmuştur ve kullanılabilir. Adımlar için bkz . VPN istemci profili yapılandırma dosyaları oluşturma.
Bağlantı gereksinimleri
IKEv2 tünel türü aracılığıyla strongSwan istemcisini ve sertifika kimlik doğrulamasını kullanarak Azure'a bağlanmak için her bağlanan istemci aşağıdaki öğeleri gerektirir:
- Her istemci strongSwan kullanacak şekilde yapılandırılmalıdır.
- İstemcide yerel olarak doğru sertifikaların yüklü olması gerekir.
İş Akışı
Bu makalenin iş akışı:
- strongSwan'ı yükleyin.
- Oluşturduğunuz VPN istemci profili yapılandırma paketinde bulunan VPN istemci profili yapılandırma dosyalarını görüntüleyin.
- Gerekli istemci sertifikalarını bulun.
- strongSwan'ı yapılandırın.
- Azure'a bağlanın.
Sertifikalar hakkında
Sertifika kimlik doğrulaması için, her istemci bilgisayara bir istemci sertifikası yüklenmelidir. Kullanmak istediğiniz istemci sertifikası özel anahtarla dışarı aktarılmalı ve sertifika yolundaki tüm sertifikaları içermelidir. Ayrıca, bazı yapılandırmalar için kök sertifika bilgilerini de yüklemeniz gerekir.
Linux sertifikaları hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
strongSwan yükleme
Komutlar belirtilirken aşağıdaki yapılandırma kullanıldı:
- Bilgisayar: Ubuntu Server 18.04
- Bağımlılıklar: strongSwan
Gerekli strongSwan yapılandırmasını yüklemek için aşağıdaki komutları kullanın:
sudo apt-get update
sudo apt-get upgrade
sudo apt install strongswan
sudo apt install strongswan-pki
sudo apt install libstrongswan-extra-plugins
sudo apt install libtss2-tcti-tabrmd0
VPN istemci profili yapılandırma dosyalarını görüntüleme
Bir VPN istemci profili yapılandırma paketi oluşturduğunuzda, VPN istemcileri için gerekli tüm yapılandırma ayarları bir VPN istemci profili yapılandırma zip dosyasında yer alır. VPN istemci profili yapılandırma dosyaları, sanal ağ için P2S VPN ağ geçidi yapılandırmasına özeldir. Dosyaları oluşturduktan sonra P2S VPN yapılandırmasında vpn protokolü türü veya kimlik doğrulama türü değişiklikleri gibi değişiklikler varsa, yeni VPN istemci profili yapılandırma dosyaları oluşturmanız ve yeni yapılandırmayı bağlanmak istediğiniz tüm VPN istemcilerine uygulamanız gerekir.
Oluşturup indirdiğiniz VPN istemci profili yapılandırma paketini bulun ve açın. Yapılandırma için ihtiyacınız olan tüm bilgileri Genel klasöründe bulabilirsiniz. Azure, bu yapılandırma için bir mobileconfig dosyası sağlamaz.
Genel klasörünü görmüyorsanız, aşağıdaki öğeleri denetleyin ve zip dosyasını yeniden oluşturun.
- Yapılandırmanızın tünel türünü denetleyin. IKEv2, tünel türü olarak seçilmemiş olabilir.
- VPN ağ geçidinde SKU'nun Temel olmadığını doğrulayın. VPN Gateway Temel SKU'su IKEv2'yi desteklemez. Ardından, IKEv2'yi seçin ve Genel klasörünü almak için zip dosyasını yeniden oluşturun.
Genel klasörü aşağıdaki dosyaları içerir:
- sunucu adresi ve tünel türü gibi önemli ayarları içeren VpnSettings.xml.
- P2S bağlantısı kurulumu sırasında Azure VPN ağ geçidini doğrulamak için gereken kök sertifikayı içeren VpnServerRoot.cer.
VPN istemcisini yapılandırma
VPN istemci profili dosyalarını görüntüledikten sonra, kullanmak istediğiniz adımlarla devam edin:
GUI adımları
Bu bölümde strongSwan GUI kullanarak yapılandırmada size yol gösterir. Aşağıdaki yönergeler Ubuntu 18.0.4'te oluşturulmuştur. Ubuntu 16.0.10, strongSwan GUI'lerini desteklemez. Ubuntu 16.0.10 kullanmak istiyorsanız komut satırını kullanmanız gerekir. Aşağıdaki örnekler, Linux ve strongSwan sürümünüze bağlı olarak gördüğünüz ekranlarla eşleşmeyebilir.
Örnekte komutunu çalıştırarak strongSwan'ı ve Ağ Yöneticisi'ni yüklemek için Terminal'i açın.
sudo apt install network-manager-strongswanAyarlar'ı ve ardından Ağ'ı seçin. Yeni bir bağlantı oluşturmak için düğmeyi + seçin.
Menüden IPsec/IKEv2 (strongSwan) öğesini seçin ve çift tıklayın.
VPN Ekle sayfasında VPN bağlantınız için bir ad ekleyin.
İndirilen VPN istemci profili yapılandırma dosyalarında bulunan Genel klasöründen VpnSettings.xml dosyasını açın. VpnServer adlı etiketi bulun ve 'azuregateway' ile başlayıp '.cloudapp.net' ile biten adı kopyalayın.
Adı Ağ Geçidi bölümündeki yeni VPN bağlantınızın Adres alanına yapıştırın. Ardından Sertifika alanının sonundaki klasör simgesini seçin, Genel klasörüne gidin ve VpnServerRoot dosyasını seçin.
Bağlantının İstemci bölümünde, Kimlik Doğrulaması için Sertifika/özel anahtar'ı seçin. Sertifika ve Özel anahtar için, daha önce oluşturulan sertifikayı ve özel anahtarı seçin. Seçenekler'de İç IP adresi iste'yi seçin. Ardından Ekle'yi seçin.
Bağlantıyı Açık duruma getirin.
CLI adımları
Bu bölümde strongSwan CLI kullanarak yapılandırmada size yol gösterilir.
VPN istemci profili yapılandırma dosyaları Genel klasöründen VpnServerRoot.cer /etc/ipsec.d/cacerts klasörüne kopyalayın veya taşıyın.
Oluşturduğunuz dosyaları sırasıyla /etc/ipsec.d/certs ve /etc/ipsec.d/private/ dosyaları kopyalayın veya taşıyın. Bu dosyalar istemci sertifikası ve özel anahtardır, bunlara karşılık gelen dizinlerde bulunmaları gerekir. Aşağıdaki komutları kullanın:
sudo cp ${USERNAME}Cert.pem /etc/ipsec.d/certs/ sudo cp ${USERNAME}Key.pem /etc/ipsec.d/private/ sudo chmod -R go-rwx /etc/ipsec.d/private /etc/ipsec.d/certsAna bilgisayar adınızı not almak için aşağıdaki komutu çalıştırın. Sonraki adımda bu değeri kullanacaksınız.
hostnamectl --staticVpnSettings.xml dosyasını açın ve değerini kopyalayın
<VpnServer>. Sonraki adımda bu değeri kullanacaksınız.Aşağıdaki örnekteki değerleri ayarlayın ve örneği /etc/ipsec.conf yapılandırmasına ekleyin.
conn azure keyexchange=ikev2 type=tunnel leftfirewall=yes left=%any # Replace ${USERNAME}Cert.pem with the key filename inside /etc/ipsec.d/certs directory. leftcert=${USERNAME}Cert.pem leftauth=pubkey leftid=%client # use the hostname of your machine with % character prepended. Example: %client right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com rightsubnet=0.0.0.0/0 leftsourceip=%config auto=add esp=aes256gcm16Gizli dizi değerlerini /etc/ipsec.secrets dizinine ekleyin.
PEM dosyasının adı, daha önce istemci anahtarı dosyanız olarak kullandığınız adla eşleşmelidir.
: RSA ${USERNAME}Key.pem # Replace ${USERNAME}Key.pem with the key filename inside /etc/ipsec.d/private directory.Aşağıdaki komutları çalıştırın:
sudo ipsec restart sudo ipsec up azure
Sonraki adımlar
Daha fazla adım için P2S Azure portalı makalesine dönün.