Connectez-vous à KUINS-III (VPN de l'Université de Kyoto) à partir de Linux en utilisant IKEv2

Comme je l'ai écrit dans ce qui précède, j'ai réussi à me connecter au système VPN KUINS-III de l'Université de Kyoto en utilisant PPTP sur Ubuntu. Cependant, il y a un problème de sécurité avec la connexion PPTP, et la connexion IKEv2 est recommandée sur la Page officielle. ing. En revanche, la méthode de paramétrage par Linux n'est pas affichée, et jusqu'à présent, il n'était pas possible de se connecter par IKEv2. Après avoir goûté au succès précédent et effectué des recherches diverses, j'ai trouvé le site [https://blog.kmconner.net/archives/201](comment se connecter au VPN IKEv2 de l'Université de Kyoto depuis Linux). Essayez la connexion VPN par IKEv2 pour référence.

Installation du package

Le système d'exploitation est supposé être Ubuntu 20.04 LTS, mais je pense qu'il fonctionnera également avec 18.04 LTS. Étant donné que IKEv2 est défini à l'aide d'un package appelé strongswan, les packages nécessaires sont installés par le gestionnaire de packages.

$ sudo apt-get install strongswan libcharon-extra-plugins

Créer des paramètres de connexion

Lorsque strongswan est installé, un fichier appelé / etc / ipsec.conf doit être créé, décrivez donc les paramètres du VPN pour vous y connecter.

$ sudo cat << EOF >> /etc/ipsec.conf
conn KUINS
    auto=start
    right=<Serveur IKEv2>
    rightid=<Serveur IKEv2>
    rightsubnet=10.0.0.0/8
    rightauth=never
    left=%defaultroute
    leftsourceip=%config
    leftid=<ECS-ID>
    leftauth=eap-mschapv2
    eap_identity=%identity
    keyexchange=ikev2
    type=tunnel
    ike=aes128-sha256-modp3072
EOF

La partie du \ <serveur IKEv2 > est la page officielle Vous pouvez vérifier à partir de. Pour vous connecter à KUINS-II, utilisez ikev2.kuins.kyoto-u.ac.jp. Pour une connexion VLAN fixe (KUINS-III), sélectionnez le nom d'hôte du campus auquel se connecter. De plus, leftid = <ECS-ID @ vlan number> doit être défini. Ensuite, ajoutez le mot de passe pour l'authentification EAP dans / etc / ipsec.secrets.

$ sudo cat << EOF >> /etc/ipsec.secrets
ECS-ID : EAP "ECS-Tapez directement le mot de passe ID"
EOF

Paramètres de certificat de serveur

Les paramètres d'authentification du client sont complétés avec les paramètres ci-dessus. Après cela, vous devez définir Certificat pour authentifier la route vers le serveur.

$ sudo curl https://www.secomtrust.net/service/ninsyo/cer/scrootca2.txt >> /etc/ipsec.d/cacerts/key.pem
$ sudo chmod 600 /etc/ipsec.d/cacerts/key.pem

Préparation avant la connexion

Après divers réglages, il est nécessaire de refléter les changements avant la première connexion.

$ sudo ipsec restart   #Redémarrez strongswan
$ sudo ipsec reload    #Recharger les paramètres
$ sudo ipsec listcacerts  #Afficher le certificat défini
List of X.509 CA Certificates

  subject:  "C=JP, O=National Institute of Informatics, CN=NII Open Domain CA - G5"
  issuer:   "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  validity:  not before Mar 22 15:33:29 2018, ok
             not after  Mar 22 15:33:29 2028, ok (expires in 2793 days)
  serial:    22:b9:b1 ...
  flags:     CA CRLSign 
  CRL URIs:  http://repository.secomtrust.net/SC-Root2/SCRoot2CRL.crl
  OCSP URIs: http://scrootca2.ocsp.secomtrust.net
  pathlen:   0
  certificatePolicies:
             1.2.392.200091.100.901.4
             CPS: https://repository.secomtrust.net/SC-Root2/
  authkeyId: 0a:85:a9 ...
  subjkeyId: 67:3a:3a ...
  pubkey:    RSA 2048 bits
  keyid:     8e:c0:9a ...
  subjkey:   67:3a:3a ...

  subject:  "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  issuer:   "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  validity:  not before May 29 14:00:39 2009, ok
             not after  May 29 14:00:39 2029, ok (expires in 3225 days)
  serial:    00
  flags:     CA CRLSign self-signed 
  subjkeyId: 0a:85:a9 ...
  pubkey:    RSA 2048 bits
  keyid:     3b:37:c0 ...
  subjkey:   0a:85:a9 ...

Si l'écran ci-dessus s'affiche, la préparation est OK.

Lien

Vous pouvez vous connecter / vous déconnecter avec la commande suivante.

$ sudo ipsec up KUINS    #Connectez-vous au VPN
$ sudo ipsec down KUINS  #Se déconnecter du VPN

Impressions

Sur la page officielle, je sens que je comprends la signification de rendre le thé trouble, en disant "Linux ne supporte pas iKEv2". Il existe de nombreux paramètres basés sur du texte, et si cette méthode est rendue publique, il sera difficile de résoudre les problèmes. Cependant, quand on y pense, KUINS lui-même est construit avec strongswan, il n'y a donc aucune raison pour que vous ne puissiez pas vous connecter avec Linux lol

Recommended Posts

Connectez-vous à KUINS-III (VPN de l'Université de Kyoto) à partir de Linux en utilisant IKEv2
Connectez-vous au VPN Packetix à partir de CentOS 7 minimal.
Connectez-vous à sqlite depuis python
Connectez-vous à la base de données utf8mb4 à partir de python
Connexion SSH de Windows à GCP
Connectez-vous à MySQL à l'aide de Flask SQL Alchemy
Connectez-vous au conteneur MySQL de Docker depuis Flask
De Python à l'utilisation de MeCab (et CaboCha)
[Linux] Flux de la mise sous tension au démarrage du PC
Connectez-vous à GNU / Linux avec un bureau distant
Comment faire fonctionner Linux depuis la console
Présentation de Docker Engine à Linux From Scratch
[Amazon Linux] Passage de la série Python 2 à la série Python 3
Connectez-vous à l'API Websocket de Coincheck depuis Python
Gust ne peut pas se connecter au Wifi sous Linux