Stellen Sie mit IKEv2 eine Verbindung zu KUINS-III (VPN der Universität Kyoto) von Linux her

Wie ich in oben schrieb, gelang es mir, über PPTP unter Ubuntu eine Verbindung zum VPN-System KUINS-III der Universität Kyoto herzustellen. Es gibt jedoch ein Sicherheitsproblem mit der PPTP-Verbindung, und die IKEv2-Verbindung wird auf der [offiziellen Seite] empfohlen (https://www.iimc.kyoto-u.ac.jp/ja/services/kuins/vpn/). ing. Andererseits wird die Einstellungsmethode von Linux nicht angezeigt, und bis jetzt war es nicht möglich, eine Verbindung über IKEv2 herzustellen. Nachdem ich den vorherigen Erfolg probiert und verschiedene Suchanfragen durchgeführt hatte, fand ich die Website [https://blog.kmconner.net/archives/201](wie man unter Linux eine Verbindung zum IKEv2-VPN der Universität Kyoto herstellt). Versuchen Sie eine VPN-Verbindung über IKEv2 als Referenz.

Paketinstallation

Es wird angenommen, dass das Betriebssystem Ubuntu 20.04 LTS ist, aber ich denke, es wird auch mit 18.04 LTS funktionieren. Da IKEv2 mit einem Paket namens strongswan festgelegt wird, werden die erforderlichen Pakete vom Paketmanager installiert.

$ sudo apt-get install strongswan libcharon-extra-plugins

Verbindungseinstellungen erstellen

Wenn strongswan installiert ist, sollte eine Datei mit dem Namen "/ etc / ipsec.conf" erstellt werden. Beschreiben Sie daher die Einstellungen des VPN, mit dem eine Verbindung hergestellt werden soll.

$ sudo cat << EOF >> /etc/ipsec.conf
conn KUINS
    auto=start
    right=<IKEv2-Server>
    rightid=<IKEv2-Server>
    rightsubnet=10.0.0.0/8
    rightauth=never
    left=%defaultroute
    leftsourceip=%config
    leftid=<ECS-ID>
    leftauth=eap-mschapv2
    eap_identity=%identity
    keyexchange=ikev2
    type=tunnel
    ike=aes128-sha256-modp3072
EOF

Der Teil von \ <IKEv2-Server > ist Offizielle Seite Sie können von überprüfen. Verwenden Sie ikev2.kuins.kyoto-u.ac.jp, um eine Verbindung zu KUINS-II herzustellen. Wählen Sie für eine feste VLAN-Verbindung (KUINS-III) den Hostnamen des Campus aus, zu dem eine Verbindung hergestellt werden soll. Außerdem muss leftid = <ECS-ID @ vlan number> festgelegt werden. Fügen Sie als Nächstes das Kennwort für die EAP-Authentifizierung zu "/ etc / ipsec.secrets" hinzu.

$ sudo cat << EOF >> /etc/ipsec.secrets
ECS-ID : EAP "ECS-Geben Sie direkt das ID-Passwort ein"
EOF

Einstellungen für Serverzertifikate

Die Einstellungen für die Clientauthentifizierung werden mit den obigen Einstellungen abgeschlossen. Danach müssen Sie Zertifikat festlegen, um die Route zum Server zu authentifizieren.

$ sudo curl https://www.secomtrust.net/service/ninsyo/cer/scrootca2.txt >> /etc/ipsec.d/cacerts/key.pem
$ sudo chmod 600 /etc/ipsec.d/cacerts/key.pem

Vorbereitung vor dem Anschluss

Nach verschiedenen Einstellungen müssen die Änderungen vor der ersten Verbindung berücksichtigt werden.

$ sudo ipsec restart   #Starten Sie strongswan neu
$ sudo ipsec reload    #Laden Sie die Einstellungen neu
$ sudo ipsec listcacerts  #Zeigen Sie das festgelegte Zertifikat an
List of X.509 CA Certificates

  subject:  "C=JP, O=National Institute of Informatics, CN=NII Open Domain CA - G5"
  issuer:   "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  validity:  not before Mar 22 15:33:29 2018, ok
             not after  Mar 22 15:33:29 2028, ok (expires in 2793 days)
  serial:    22:b9:b1 ...
  flags:     CA CRLSign 
  CRL URIs:  http://repository.secomtrust.net/SC-Root2/SCRoot2CRL.crl
  OCSP URIs: http://scrootca2.ocsp.secomtrust.net
  pathlen:   0
  certificatePolicies:
             1.2.392.200091.100.901.4
             CPS: https://repository.secomtrust.net/SC-Root2/
  authkeyId: 0a:85:a9 ...
  subjkeyId: 67:3a:3a ...
  pubkey:    RSA 2048 bits
  keyid:     8e:c0:9a ...
  subjkey:   67:3a:3a ...

  subject:  "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  issuer:   "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  validity:  not before May 29 14:00:39 2009, ok
             not after  May 29 14:00:39 2029, ok (expires in 3225 days)
  serial:    00
  flags:     CA CRLSign self-signed 
  subjkeyId: 0a:85:a9 ...
  pubkey:    RSA 2048 bits
  keyid:     3b:37:c0 ...
  subjkey:   0a:85:a9 ...

Wenn die obige Anzeige angezeigt wird, ist die Vorbereitung in Ordnung.

Verbindung

Sie können mit dem folgenden Befehl eine Verbindung herstellen / trennen.

$ sudo ipsec up KUINS    #Stellen Sie eine Verbindung zu VPN her
$ sudo ipsec down KUINS  #Verbindung zum VPN trennen

Impressionen

Auf der offiziellen Seite habe ich das Gefühl, dass ich verstehe, was es bedeutet, Tee schlammig zu machen, indem ich sage "Linux unterstützt iKEv2 nicht". Es gibt viele textbasierte Einstellungen, und wenn diese Methode veröffentlicht wird, ist es schwierig, Probleme zu lösen. Wenn Sie jedoch darüber nachdenken, wird KUINS selbst mit strongswan erstellt, sodass es keinen Grund gibt, warum Sie keine Verbindung mit Linux herstellen können. Lol

Recommended Posts

Stellen Sie mit IKEv2 eine Verbindung zu KUINS-III (VPN der Universität Kyoto) von Linux her
Stellen Sie von CentOS 7 minimal eine Verbindung zu Packetix VPN her.
Stellen Sie von Python aus eine Verbindung zu SQLite her
Stellen Sie von Python aus eine Verbindung zur utf8mb4-Datenbank her
SSH-Verbindung von Windows zu GCP
Stellen Sie mit Flask SQL Alchemy eine Verbindung zu MySQL her
Stellen Sie von Flask aus eine Verbindung zum MySQL-Container von Docker her
Von Python bis zur Verwendung von MeCab (und CaboCha)
[Linux] Übergang vom Einschalten zum PC-Start
Stellen Sie über einen Remotedesktop eine Verbindung zu GNU / Linux her
So bedienen Sie Linux von der Konsole aus
Einführung von Docker Engine in Linux von Grund auf neu
[Amazon Linux] Wechsel von der Python 2-Serie zur Python 3-Serie
Stellen Sie von Python aus eine Verbindung zur Websocket-API von coincheck her
Gust kann unter Linux keine Verbindung zu Wifi herstellen