Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6.7. Libreswan で IKEv2 Remote Access VPN の設定

ロードウォーリアーは、ノート PC など、動的に割り当てられた IP アドレスを持つモバイルクライアントを使用するユーザーを指します。これらの証明書は、証明書を使用して認証されます。古い IKEv1 XAUTH プロトコルの使用を必要としないため、以下の例では IKEv2 が使用されます。
サーバー上では以下の設定になります。
conn roadwarriors
    ikev2=insist
    # Support (roaming) MOBIKE clients (RFC 4555)
    mobike=yes
    fragmentation=yes
    left=1.2.3.4
    # if access to the LAN is given, enable this, otherwise use 0.0.0.0/0
    # leftsubnet=10.10.0.0/16
    leftsubnet=0.0.0.0/0
    leftcert=vpn-server.example.com
    leftid=%fromcert
    leftxauthserver=yes
    leftmodecfgserver=yes
    right=%any
    # trust our own Certificate Agency
    rightca=%same
    # pick an IP address pool to assign to remote users
    # 100.64.0.0/16 prevents RFC1918 clashes when remote users are behind NAT
    rightaddresspool=100.64.13.100-100.64.13.254
    # if you want remote clients to use some local DNS zones and servers
    modecfgdns="1.2.3.4, 5.6.7.8"
    modecfgdomains="internal.company.com, corp"
    rightxauthclient=yes
    rightmodecfgclient=yes
    authby=rsasig
    # optionally, run the client X.509 ID through pam to allow/deny client
    # pam-authorize=yes
    # load connection, don't initiate
    auto=add
    # kill vanished roadwarriors
    dpddelay=1m
    dpdtimeout=5m
    dpdaction=%clear
詳細は以下のようになります。
left=1.2.3.4
1.2.3.4 値はサーバーの実際の IP アドレスまたはホスト名を指定します。
leftcert=vpn-server.example.com
このオプションは、証明書のインポートに使用される分かりやすい名前またはニックネームを参照する証明書を指定します。 通常、名前は、a.p12 ファイルの形式で PKCS #12 証明書バンドルの一部として生成されます。詳細は、man ページの pkcs12(1) および pk12util(1) を参照してください。
ロードウォーリアーのデバイスであるモバイルクライアントでは、上記の設定に若干の違いを使用します。
conn to-vpn-server
    ikev2=insist
    # pick up our dynamic IP
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=myname.example.com
    leftid=%fromcert
    leftmodecfgclient=yes
    # right can also be a DNS hostname
    right=1.2.3.4
    # if access to the remote LAN is required, enable this, otherwise use 0.0.0.0/0
    # rightsubnet=10.10.0.0/16
    rightsubnet=0.0.0.0/0
    # trust our own Certificate Agency
    rightca=%same
    authby=rsasig
    # allow narrowing to the server’s suggested assigned IP and remote subnet
    narrowing=yes
    # Support (roaming) MOBIKE clients (RFC 4555)
    mobike=yes
    # Initiate connection
    auto=start
詳細は以下のようになります。
auto=start
このオプションにより、ipsec システムサービスを開始するたびに、ユーザーが VPN に接続できるようになります。後で接続を確立する場合は、auto=add に置き換えます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。