Tutorial

Cómo configurar un servidor VPN IKEv2 con StrongSwan en Ubuntu 18.04

Published on December 5, 2019
Español
Cómo configurar un servidor VPN IKEv2 con StrongSwan en Ubuntu 18.04

Introducción

Un red virtual privad,(VPN, por sus siglas en inglés) le permite cifrar de forma segura el tráfico mientras tiene lugar a través de redes no confiables, como las de una cafetería, una sala de conferencias o un aeropuerto.

IKEv2, o Internet Key Exchange v2, es un protocolo que permite la implementación directa de túneles de IPSec entre el servidor y los clientes. En las implementaciones de VPN IKEv2, IPSec proporciona cifrado para el tráfico de red. IKEv2 es compatible de forma nativa con algunas plataformas (OS X 10.11+, iOS 9.1+ y Windows 10) sin necesidad de aplicaciones adicionales y maneja los picos de los clientes sin problemas.

A través de este tutorial, configurará un servidor VPN IKEv2 con ayuda de StrongSwan en un servidor Ubuntu 18.04 y se conectará a este desde clientes de Windows, macOS, Ubuntu, iOS y Android.

Requisitos previos

Para completar este tutorial, necesitará lo siguiente:

Paso 1: Instalar StrongSwan

Primero, instalaremos StrongSwan, un demonio IPSec de código abierto que configuraremos para que funcione como nuestro servidor VPN. De igual modo, instalaremos el componente de infraestructura de clave pública que nos permita crear una autoridad de certificación para proporcionar las credenciales destinadas a nuestra infraestructura.

Actualice la caché del paquete local e instale el software escribiendo lo siguiente:

  1. sudo apt update
  2. sudo apt install strongswan strongswan-pki

Ahora que se instaló todo, crearemos nuestros certificados.

Paso 2: Crear una autoridad de certificación

Un servidor IKEv2 requiere un certificado para identificarse ante los clientes. Para que podamos crear el certificado requerido, el paquete strongswan-pki incluye una utilidad para generar una autoridad de certificación y certificados de servidor. Para comenzar, crearemos algunos directorios para almacenar todos los activos en los que trabajaremos. La estructura de directorios coincide con algunos de los directorios de /etc/ipsec.d, a donde moveremos todos los elementos que creemos en algún momento. Bloquearemos los permisos para que otros usuarios no puedan ver nuestros archivos privados:

  1. mkdir -p ~/pki/{cacerts,certs,private}
  2. chmod 700 ~/pki

Ahora que disponemos de una estructura de directorios para almacenar todo, podemos generar una clave de root. Será una clave RSA de 4096 bits que se usará para firmar nuestra autoridad de certificación de root.

Ejecute estos comandos para generar la clave:

  1. ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/ca-key.pem

Ahora que contamos con una clave, podemos crear nuestra autoridad de certificación de root usando la clave para firmar nuestro certificado de root:

  1. ipsec pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
  2. --type rsa --dn "CN=VPN root CA" --outform pem > ~/pki/cacerts/ca-cert.pem

Puede cambiar los valores de *nombre distinguido *(DN) por otra cosa si lo desea. El nombre común aquí es únicamente el indicador, de modo que no tiene que coincidir con nada en su infraestructura.

Ahora que nuestra autoridad de certificación de root está lista, podemos crear un certificado que usará el servidor de VPN.

Paso 3: Generar un certificado para el servidor de VPN

Ahora, crearemos un certificado y la contraseña para el servidor de VPN. Esta certificación permitirá a los clientes verificar la autenticidad del servidor usando la certificación de CA que acabamos de generar.

Primero, cree una clave privada para el servidor de VPN con el siguiente comando:

  1. ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/server-key.pem

Ahora, cree y firme el certificado del servidor de VPN con la clave de la autoridad de certificación que creó en el paso anterior. Ejecute el siguiente comando, pero cambie los campos de nombre común (CN) y nombre alternativo de sujeto (SAN) por el nombre de DNS o la dirección IP de su servidor de VPN:

  1. ipsec pki --pub --in ~/pki/private/server-key.pem --type rsa \
  2. | ipsec pki --issue --lifetime 1825 \
  3. --cacert ~/pki/cacerts/ca-cert.pem \
  4. --cakey ~/pki/private/ca-key.pem \
  5. --dn "CN=server_domain_or_IP" --san "server_domain_or_IP" \
  6. --flag serverAuth --flag ikeIntermediate --outform pem \
  7. > ~/pki/certs/server-cert.pem

Ahora que generamos todos los archivos TLS/SSL que necesita StrongSwan, podemos moverlos a su lugar en el directorio /etc/ipsec.d escribiendo lo siguiente:

  1. sudo cp -r ~/pki/* /etc/ipsec.d/

En este paso, creamos un par de certificados que podrían usarse para proteger las comunicaciones entre el cliente y el servidor. También, firmamos los certificados con la clave de CA, para que el cliente pueda verificar la autenticidad del servidor de VPN usando el certificado de CA. Ahora que tenemos listos todos los certificados listos, configuraremos el software.

Paso 4: Configurar StrongSwan

StrongSwan tiene un archivo de configuración predeterminado con algunos ejemplos, pero tendremos que hacer la mayor parte de la configuración por nuestra cuenta. Haremos una copia de seguridad del archivo a modo de referencia antes de empezar de cero:

  1. sudo mv /etc/ipsec.conf{,.original}

Cree y abra un nuevo archivo de configuración vacío escribiendo lo siguiente:

  1. sudo nano /etc/ipsec.conf

Primero, le diremos a StrongSwan que registre los estados de los demonios para depurar y permitir conexiones duplicadas. Añada estas líneas al archivo:

/etc/ipsec.conf
config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

Luego, crearemos una sección de configuración para nuestra VPN. También le indicaremos a StrongSwan que cree túneles de VPN IKEv2 y cargue de forma automática esta sección de configuración cuando se inicie. Agregue las siguientes líneas al archivo:

/etc/ipsec.conf
. . .
conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes

También configuraremos la detección de pares inactivos para eliminar cualquier conexión “pendiente” en caso de que el cliente se desconecte de forma inesperada. Agregue estas líneas:

/etc/ipsec.conf
. . .
conn ikev2-vpn
    . . .
    dpdaction=clear
    dpddelay=300s
    rekey=no

Luego, configuraremos los parámetros IPSec del lado (izquierdo) del servidor. Agregue esto al archivo:

/etc/ipsec.conf
. . .
conn ikev2-vpn
    . . .
    left=%any
    leftid=@server_domain_or_IP
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0

Nota: Cuando configure el ID del servidor (leftid), solo incluya el carácter @ si su servidor de VPN se identificará por un nombre de dominio:

    leftid=@vpn.example.com

Si el servidor se identifica por su dirección IP, simplemente introdúzcala:

    leftid=203.0.113.7

A continuación, podemos configurar los parámetros de IPSec del lado (derecho) del cliente, como los rangos de direcciones IP privadas y los servidores DNS que se usarán:

/etc/ipsec.conf
. . .
conn ikev2-vpn
    . . .
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never

Por último, indicaremos a StrongSwan que solicite a los clientes las credenciales de los usuarios cuando se conecten:

/etc/ipsec.conf
. . .
conn ikev2-vpn
    . . .
    eap_identity=%identity

El archivo de configuración debe tener el siguiente aspecto:

/etc/ipsec.conf
config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_domain_or_IP
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    eap_identity=%identity

Guarde y cierre el archivo una vez que haya verificado que realizó la configuración como se indica.

Ahora que configuramos los parámetros de VPN, crearemos una cuenta para que nuestros usuarios puedan conectarse al servidor.

Paso 5: Configurar la autenticación de VPN

Nuestro servidor de VPN ahora está configurado para aceptar conexiones de clientes, pero aún no establecimos credenciales. Tendremos que realizar algunas configuraciones en un archivo de configuración especial llamado ipsec.secrets:

  • Debemos indicar a StrongSwan dónde encontrar la clave privada para el certificado de nuestro servidor, de modo que este últio pueda autenticar a los clientes.
  • También, tendremos que configurar una lista de usuarios a quienes se les permitirá conectarse al VPN.

Abramos el archivos de secretos para editarlo:

  1. sudo nano /etc/ipsec.secrets

Primero, le indicaremos a StrongSwan dónde encontrar nuestra clave privada:

/etc/ipsec.secrets
: RSA "server-key.pem"

Luego, definiremos las credenciales de los usuarios. Puede crear cualquier combinación de nombre de usuario o contraseña que desee:

/etc/ipsec.secrets
your_username : EAP "your_password"

Guarde y cierre el archivo. Ahora que terminamos de trabajar con los parámetros de VPN, reiniciaremos el servicio de VPN para que se aplique nuestra configuración:

  1. sudo systemctl restart strongswan

Ahora que el servidor de VPN quedó totalmente configurado, tanto con opciones de servidor como con las credenciales de usuarios, es el momento de proseguir con la configuración de la parte más importante: el firewall.

Paso 6: Configurar el firewall y el reenvío de IP de kernel

Una vez completada la configuración de StrongSwan, debemos configurar el firewall para reenviar y permitir el tráfico de VPN.

Si siguió el tutorial de los requisitos previos, debería tener habilitado un firewall UFW muy básico. Si aún no tiene configurado UFW, puede crear una configuración referencial y habilitarla escribiendo lo siguiente:

  1. sudo ufw allow OpenSSH
  2. sudo ufw enable

Ahora, agregue una regla para permitir el tráfico UDP a los puertos IPSec estándares 500 y 4500:

  1. sudo ufw allow 500,4500/udp

A continuación, abriremos uno de los archivos de configuración de UFW para agregar algunas políticas de bajo nivel a fin de dirigir y reenviar paquetes IPSec. Antes de hacerlo, debemos determinar la interfaz de red de nuestro servidor que se usa para acceder a Internet. Podemos encontrarlo consultando la interfaz asociada a la ruta predeterminada:

  1. ip route | grep default

Su interfaz pública debe ir después de la palabra “dev”. Por ejemplo, este resultado muestra la interfaz llamada eth0, que se resalta a continuación:

Output
default via 203.0.113.7 dev eth0 proto static

Cuando tenga una interfaz de red pública, abra el archivo /etc/ufw/before.rules en su editor de texto:

  1. sudo nano /etc/ufw/before.rules

Cerca de la parte superior del archivo (antes de la línea *filter), agregue el siguiente bloque de configuración:

/etc/ufw/before.rules
*nat
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
COMMIT

*mangle
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT

*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
. . .

Cambie cada instancia de eth0 en la configuración superior para que coincida con el nombre de interfaz que encontró con ip route. Las líneas *nat crean reglas para que el firewall pueda dirigir y manipular de forma correcta el tráfico entre los clientes de VPN e Internet. La línea *mangle ajusta el tamaño máximo del segmento de paquete para evitar problemas potenciales con determinados clientes de VPN.

A continuación, después de las líneas *filter y de definición de cadenas, agregue un bloque más de configuración:

/etc/ufw/before.rules
. . .
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]

-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.10.0/24 -j ACCEPT

Estas líneas solicitan al firewall que reenvíe el tráfico de carga de seguridad encapsuladora (ESP), para que los clientes de VPN puedan conectarse. ESP proporciona seguridad adicional para nuestros paquetes de VPN a medida que circulan por redes no confiables.

Cuando termine, guarde y cierre el archivo.

Antes de reiniciar el firewall, cambiaremos algunos parámetros de kernel de red para permitir el enrutamiento de una interfaz a otra. Abra el archivo de configuración de parámetros de kernel de UFW.

  1. sudo nano /etc/ufw/sysctl.conf

Tendremos que realizar algunas configuraciones aquí:

  • Primero, habilitaremos el reenvío de paquetes IPv4.
  • Inhabilitaremos la detección de MTU de ruta para evitar problemas de fragmentación de paquetes.
  • Tampoco aceptaremos redireccionamientos de ICMP ni enviaremos redireccionamientos de ICMP para prevenir la presencia de atacantes desconocidos.

Los cambios que debe hacer en el archivo están resaltados en el siguiente código:

/etc/ufw/sysctl.conf

. . .

# Enable forwarding
# Uncomment the following line
net/ipv4/ip_forward=1

. . .

# Do not accept ICMP redirects (prevent MITM attacks)
# Ensure the following line is set
net/ipv4/conf/all/accept_redirects=0

# Do not send ICMP redirects (we are not a router)
# Add the following lines
net/ipv4/conf/all/send_redirects=0
net/ipv4/ip_no_pmtu_disc=1

Guarde el archivo cuando termine. UFW aplicará estos cambios la próxima vez que se inicie.

Ahora podemos activar todos nuestros cambios desactivando y reactivando el firewall:

  1. sudo ufw disable
  2. sudo ufw enable

Se le solicitará confirmar el proceso. Escriba Y para activar UFW nuevamente con las configuraciones nuevas.

Paso 7: Probar la conexión de VPN en Windows, iOS y macOS

Ahora que todo está configurado, es hora de probarlo. Primero, deberá copiar el certificado de CA que creó e instalarlo en sus dispositivos clientes que se conectarán a la VPN. La forma más sencilla de hacerlo es iniciar sesión en su servidor y mostrar el contenido del archivo de certificado:

  1. cat /etc/ipsec.d/cacerts/ca-cert.pem

Verá un resultado similar a este:

Output
-----BEGIN CERTIFICATE----- MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE . . . EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQ BayqOb/Q -----END CERTIFICATE-----

Copie este resultado a su computadora, incluidas las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----, y guárdelo en un archivo con un nombre que pueda reconocer, como ca-cert.pem. Asegúrese de que el archivo que cree tenga la extensión .pem.

De forma alternativa, use SFTP para transferir el archivo a su computadora.

Una vez que descargue el archivo ca-cert.pem a su computadora, podrá configurar la conexión a la VPN.

Establecer conexión desde Windows

Primero, importe el certificado de root siguiendo estos pasos:

  1. Pulse WINDOWS+R para abrir el diálogo Ejecutar e ingrese mmc.exe para iniciar la Consola de administración de Windows.

  2. En el menú Archivo, diríjase a Agregar o quitar complemento, seleccione Certificados en la lista de complementos disponibles y haga clic en Agregar.

  3. Nuestro propósito es que la VPN funcione con cualquier usuario. Por ello, debe seleccionar Cuenta de equipo y hacer clic en Siguiente.

  4. Realizaremos algunas configuraciones en la computadora local. Seleccione Equipo local y luego haga clic en Finalizar.

  5. Debajo del nodo Raíz de consola, expanda la entrada Certificados (equipo local), expanda Entidades de certificación raíz de confianza, y seleccione la entrada Certificados: Vista de certificados.

  6. En el menú Acción, seleccione Todas las tareas y haga clic en Importar… para visualizar el Asistente para importación de certificados. Haga clic en Siguiente para pasar la introducción.

  7. En la pantalla Archivo para importar, presione el botón Examinar… y seleccione el archivo de certificado que guardó. Luego haga clic en Siguiente.

  8. Asegúrese de que el valor de Almacén de certificados sea Entidades de certificación raíz de confianza y haga clic en Siguiente.

  9. Haga clic en Finalizar para importar el certificado.

Luego, configure la VPN siguiendo estos pasos:

  1. Inicie el Panel de control y diríjase a Centro de redes y recursos compartidos.
  2. Haga clic en Configurar una nueva conexión o red y luego seleccione Conectarse a un área de trabajo.
  3. Seleccione Usar mi conexión a Internet (VPN).
  4. Ingrese la información del servidor VPN. Ingrese el nombre del dominio o la dirección IP del servidor en el campo Dirección de Internet y luego complete Nombre de destino con algo que describa su conexión de VPN. Luego haga clic en Conectar.

Se podrá ver su nueva conexión de VPN en la lista de redes. Seleccione la VPN y haga clic en Conectar. Se le solicitará su nombre de usuario y contraseña. Escríbalos y haga clic ****en Aceptar. Con esto, establecerá la conexión.

Establecer conexión desde macOS

Siga estos pasos para importar el certificado:

  1. Haga doble clic en el archivo de certificado.Acceso a Llaveros aparecerá con el diálogo “Acceso a Llaveros está intentando modificar el sistema de administración de contraseñas. Ingrese su contraseña para autorizarlo”.
  2. Ingrese su contraseña y haga clic en Modificar llavero.
  3. Haga clic en el certificado de VPN recién importado. Con esto, se abrirá abre una pequeña ventana de propiedades en la que podrá especificar los niveles de confianza. Fije Seguridad de IP (IPSec) en Confiar siempre. Se solicitará que ingrese su contraseña nuevamente. Esta configuración guarda de forma automática la contraseña una vez que se ingresa.

Ahora que el certificado es importante y confiable, configure la conexión de VPN siguiendo estos pasos:

  1. Diríjase a Preferencias del Sistema y seleccione Red.
  2. Haga clic en el botón pequeño de “adición” en la parte inferior izquierda de la lista de redes.
  3. En la ventana emergente que aparecerá, fije el valor de Interfaz en VPN y el de Tipo de VPN en IKEv2, y asigne un nombre a la conexión.
  4. En los campos Servidor y ID remoto, ingrese el nombre de dominio o la dirección IP del servidor. Deje ID local en blanco.
  5. Haga clic en Ajustes de autenticación, seleccione Nombre del usuario, e ingrese el nombre de usuario y la contraseña que configuró para su usuario de VPN. Luego haga clic en Aceptar.

Por último, haga clic en Conectar para conectarse a la VPN. Con esto, debería establecer la conexión con la VPN.

Establecer conexión desde Ubuntu

Para conectarse desde un equipo con Ubuntu, puede configurar y administrar StrongSwan como un servicio o usar un comando único cada vez que desee conectarse. Se proporcionan instrucciones para ambas alternativas.

Administrar StrongSwan como un servicio

  1. Actualice la cache de su paquete local: sudo apt update.
  2. Instale StrongSwan y el software relacionado: libcharon sudo apt install.
  3. Copie el certificado CA al directorio /etc/ipsec.d/cacerts: sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts.
  4. Inhabilite StrongSwan para que la VPN no se inicie de forma automática: sudo systemctl disable --now strongswan.
  5. Configure su nombre de usuario y contraseña de VPN en el archivo /etc/ipsec.secrets: your_username: EAP “your_password”<^>.
  6. Edite el archivo /etc/ipsec.conf para definir su configuración.
/etc/ipsec.conf
config setup

conn ikev2-rw
    right=server_domain_or_IP
    # This should match the `leftid` value on your server's configuration
    rightid=server_domain_or_IP
    rightsubnet=0.0.0.0/0
    rightauth=pubkey
    leftsourceip=%config
    leftid=username
    leftauth=eap-mschapv2
    eap_identity=%identity
    auto=start

Para conectarse a la VPN, escriba lo siguiente:

  1. sudo systemctl start strongswan

Para desconectarse nuevamente, escriba lo siguiente:

  1. sudo systemctl stop strongswan

Utilizar un cliente simple para conexiones únicas

  1. Actualice la caché de su paquete local: sudo apt update.
  2. Instale charon-cmd y el software relacionado: sudo apt install charon-cmd.
  3. Vaya al directorio al que copió el certificado de CA: cd /path/to/ca-cert.pem.
  4. Conéctese al servidor de VPN con charon-cmd usando el certificado de CA del servidor, la dirección IP del servidor de VPN y el usuario que configuró: sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username.
  5. Cuando se le solicite, brinde la contraseña del usuario de la VPN.

Con esto, debería establecer la conexión con la VPN. Para desconectarse, pulse CTRL+C y espere que la conexión se cierre.

Establecer conexión desde iOS

Para configurar la conexión de VPN en un dispositivo iOS, siga estos pasos:

  1. Envíese un correo electrónico con el certificado de root adjunto.
  2. Abra el correo electrónico en su dispositivo iOS, toque el archivo del certificado adjunto y luego seleccione Instalar e ingrese su código de acceso. Una vez que se instale, pulse Listo.
  3. Diríjase a Configuración, General, VPN y toque Agregar configuración de VPN. Con esto, se mostrará la pantalla de configuración de la conexión de la VPN.
  4. Toque Tipo y seleccione IKEv2.
  5. En el campo Descripción, ingrese un nombre corto para la conexión de VPN. Puede ser el que desee.
  6. En los campos Servidor e ID remoto, ingrese el nombre de dominio o la dirección IP del servidor. Puede dejar el campo ID local vacío.
  7. Ingrese su nombre de usuario y contraseña en la sección Autenticación y toque Listo.
  8. Seleccione la conexión de VPN que acaba de crear y toque el conmutador en la parte superior de la página. Con esto, se conectará.

Establecer conexión desde Android

Siga estos pasos para importar el certificado:

  1. Envíese un correo electrónico con el certificado de CA adjunto. Guarde el certificado CA en su carpeta de descargas.
  2. Descargue strongSwan VPN Client de Play Store.
  3. Abra la aplicación. Toque el ícono “más” en la esquina superior derecha (ícono de tres puntos) y seleccione certificados de CA.
  4. Toque nuevamente el ícono “más” en la esquina superior derecha. Seleccione Importar certificado.
  5. Busque el archivo del certificado de CA en su carpeta de descargas y selecciónelo para importarlo a la aplicación.

Ahora que se importó el certificado a la aplicación strongSwan, puede configurar la conexión de VPN con los siguientes pasos:

  1. En la aplicación, toque ADD VPN PROFILE en la parte superior.
  2. Complete el **campo Server **con el nombre de dominio o la dirección IP pública de su servidor de VPN.
  3. Asegúrese de seleccionar IKEv2 EAP (Username/Password) en la categoría “Type” para la VPN.
  4. Complete los campos Username y Password con las credenciales que definió en el servidor.
  5. Anule la selección de** Select automatically en la sección CA certificate** y haga clic en Select CA certificate .
  6. Toque la pestaña IMPORTED en la parte superior de la pantalla y elija la CA que importó (recibirá el nombre “CA rootVPN” si no cambió “DN” previamente).
  7. Si desea, complete el campo Profile name (optional) con un nombre más descriptivo.

Cuando desee conectarse a la VPN, haga clic en el perfil que acaba de crear en la aplicación strongSwan.

Solución de problemas en conexiones

Si no puede importar el certificado, asegúrese de que el archivo contenga la extensión .pem en lugar .pem.txt.

Si no puede conectarse a la VPN, verifique el nombre o la dirección IP del servidor que usó. El nombre de dominio o la dirección IP del servidor debe coincidir con lo que configuró como nombre común (CN) al crear el certificado. Si no coinciden, la conexión de VPN no funcionará. Si configura un certificado con el CN de vpn.example.com, debe usar vpn.example.com cuando ingrese la información del servidor de VPN. Verifique bien el comando que usó para generar el certificado y los valores que empleó al crear su conexión de VPN.

Por último, verifique la configuración de VPN para garantizar que el valor leftid esté configurado con el símbolo @ si usa un nombre de dominio:

    leftid=@vpn.example.com

Y si usa una dirección IP, asegúrese de que se omita el símbolo @.

Conclusión

A través de este tutorial, creó un servidor de VPN que usa el protocolo IKEv2. Ahora tendrá la seguridad de que sus actividades en línea permanecerán protegidas sin importar a dónde se dirija.

Para agregar o eliminar usuarios, simplemente repase el paso 5. Cada línea es para un usuario. Esto permite agregar o eliminar usuarios con solo editar el archivo.

A partir de este punto, es posible que desee configurar un analizador de archivos de registro, ya que strongSwan vuelca sus registros en syslog. Encontrará más información sobre cómo realizar esta configuración en el tutorial Cómo instalar y usar Logwatch Log Analyzer and Reporter en un VPS.

Puede interesarle también esta guía de EFF sobre privacidad en línea.

Thanks for learning with the DigitalOcean Community. Check out our offerings for compute, storage, networking, and managed databases.

Learn more about our products

About the authors
Default avatar
Namo

author



Still looking for an answer?

Ask a questionSearch for more help

Was this helpful?
 
Leave a comment


This textbox defaults to using Markdown to format your answer.

You can type !ref in this text area to quickly search our full set of tutorials, documentation & marketplace offerings and insert the link!

Try DigitalOcean for free

Click below to sign up and get $200 of credit to try our products over 60 days!

Sign up

Join the Tech Talk
Success! Thank you! Please check your email for further details.

Please complete your information!

Become a contributor for community

Get paid to write technical tutorials and select a tech-focused charity to receive a matching donation.

DigitalOcean Documentation

Full documentation for every DigitalOcean product.

Resources for startups and SMBs

The Wave has everything you need to know about building a business, from raising funding to marketing your product.

Get our newsletter

Stay up to date by signing up for DigitalOcean’s Infrastructure as a Newsletter.

New accounts only. By submitting your email you agree to our Privacy Policy

The developer cloud

Scale up as you grow — whether you're running one virtual machine or ten thousand.

Get started for free

Sign up and get $200 in credit for your first 60 days with DigitalOcean.*

*This promotional offer applies to new accounts only.