Protokol tunneling layer 2 (L2TP) dengan IPsec digunakan untuk memastikan enkripsi ujung ke ujung karena L2TP tidak mendukung fitur keamanan. Alat OpenSwan digunakan untuk membuat terowongan IPsec yang akan dikompilasi pada distribusi Ubuntu. Fitur keamanan otentikasi diimplementasikan menggunakan server FreeRadius. Tujuan dari server otentikasi adalah untuk mengotentikasi pengguna L2TP VPN. Klien Android dan Windows mendukung L2TP/IPsec PSK dengan CHAPv2, oleh karena itu, saluran aman akan dibuat antara ponsel cerdas dan server.
Paket Wajib
Paket berikut akan diinstal menggunakan openswan-l2tp-installation.sh naskah.
Alat
- Server/Klien Freeradius (instalasi basis sumber)
- xl2tpd
- Server Pop-top
- MySQL Server/klien
- OpenSwan (instalasi basis sumber)
Paket Pengembangan
- Bison
- Fleksibel
- Perpustakaan GMP
Isi skrip ditampilkan dalam cuplikan berikut.
#!/bin/bash
##NOTE: Adding a proper date in lastaccounting filed to fix the invalid default value issue in /etc/freeradius/sql/mysql/cui.sql.
##-installation of tools-##
apt-get update
apt-get install -y mysql-server mysql-client freeradius-mysql pptpd xl2tpd build-essential libgmp3-dev bison flex
echo "Installing freeradius client --"
wget https://github.com/FreeRADIUS/freeradius-client/archive/master.zip
unzip master.zip
cd freeradius-client-master
./configure --prefix=/
make
make install
echo "Installation of OpenSwan "
wget https://download.openswan.org/openswan/openswan-latest.tar.gz
tar -xvzf openswan-latest.tar.gz
cd openswan-*
make programs
make install
echo " OpenSwan installed"
Masukkan kata sandi "test" untuk pengguna root server MySql.
Konfigurasi
Skrip lain "openswan-l2tp-configuration.sh " digunakan untuk mengkonfigurasi penerusan paket di Ubuntu , aturan iptables untuk subnet xl2tpd, pengaturan server/klien FreeRadius untuk mekanisme otentikasi dan terowongan IPsec OpenSwan. Beberapa cuplikan skrip konfigurasi ditampilkan di bawah ini.
1. pengaturan iptables &sysctl
2. Setting server FreeRadius menggunakan mysql
3. Pengaturan klien FreeRadius
4. Konfigurasi untuk layanan pptpd &xl2tpd
5. Konfigurasi VPN OpenSwan
Sebelum menjalankan skrip konfigurasi, satu perubahan diperlukan di cui.sql file yang ada di bawah /etc/freeradius/sql/mysql/ . Ubah baris berikut yang disorot dalam file sql yang ditentukan.
`lastaccounting` timestamp NOT NULL default '0000-00-00 00:00:00',
`lastaccounting` timestamp NOT NULL default '2016-10-01 00:00:00',Jalankan skrip konfigurasi untuk mengatur paket yang diinstal secara otomatis.
Masukkan nama pengguna/kata sandi di database FreeRadius untuk klien Android/Windows L2TP menggunakan perintah berikut.
INSERT INTO radius.radcheck (username, attribute, op, value) VALUES ('test','User-Password',':=','test123');
Jalankan server FreeRadius menggunakan perintah berikut dan juga restart semua layanan yang diperlukan.
freeradius -X
Jalankan perintah berikut di localhost untuk menguji konfigurasi server FreeRadius.
uji radtest test123 localhost 0 pengujian123
/etc/init.d/xl2tpd restart
/etc/init.d/ipsec restart
Tampaknya semua layanan yang diperlukan telah dikonfigurasi dan berjalan dengan benar. Sekarang, konfigurasikan L2TP/IPsec PSK VPN di Klien Windows dan Android.
Konfigurasi Klien MS Windows 8
Klik "setup a new connection or network" di "Network &Sharing Center" .
pilih opsi "Hubungkan ke Tempat Kerja" seperti yang ditunjukkan pada cuplikan berikut.
Seperti yang ditunjukkan di bawah ini. pilih opsi "gunakan internet saya (VPN)" di jendela berikutnya.
Masukkan judul dan alamat internet (alamat ip mesin ) pada koneksi VPN dan klik tombol "buat".
Koneksi VPN baru akan dibuat dan ditampilkan dalam daftar jaringan seperti yang ditunjukkan di bawah ini.
Properti default koneksi VPN baru tidak akan berfungsi dengan konfigurasi server FreeRadius saat ini. Oleh karena itu, beberapa perubahan diperlukan dalam pengaturan keamanan klien VPN MS Windows.
Pertama-tama, ubah jenis VPN (protokol tunneling layer 2 melalui IPsec).
Klik "Pengaturan Lanjut" dan pilih opsi "gunakan kunci yang dibagikan sebelumnya untuk autentikasi".
Pilih opsi "Microsoft CHAP versi 2" di bawah pengaturan "Izinkan protokol ini".
Setelah konfigurasi koneksi VPN L2TP/IPsec, masukkan username/password (test/test123) seperti di bawah ini.
L2TP/IPsec VPN berhasil terhubung ke server dan alamat ip diberikan alamat seperti yang ditunjukkan di bawah ini.
Cuplikan berikut menunjukkan status koneksi VPN L2TP/IPsec.
Konfigurasi L2TP/IPsec di Android
Untuk menghubungkan klien Android L2TP dengan server, buat koneksi L2TP/IPsec di atasnya. Klik "setelan " . "Lainnya " dan "VPN " opsi. Sekarang "Tambahkan Jaringan VPN " dan pilih "L2TP PSK " opsi untuk koneksi VPN yang diinginkan.
Sekali, koneksi VPN L2TP/IPsec baru dibuat. Sekarang, klik nama koneksi VPN dan masukkan nama pengguna/kata sandi yang sudah dibuat di server FreeRadius.
Klien L2TP/IPsec terhubung ke server seperti yang ditunjukkan di bawah ini.
Status Radius Bebas
Cuplikan berikut menunjukkan otentikasi pengguna yang berhasil dan tipe otentikasi adalah CHAP.
Status terowongan
Seperti yang ditunjukkan di bawah ini, perintah status xfrm memberikan status terowongan OpenSwan.
ip xfrm state
Perintah lain yang disediakan di alat OpenSwan adalah "ipsec look' yang memberikan kombinasi informasi status xfrm, aturan iptables, dan perutean.
ipsec look
1. keluaran status xfrm dalam perintah ipsec
2. keluaran kebijakan xfrm dalam perintah ipsec
3. Pengaturan perutean dan iptables dalam perintah ipsec
Perintah berikut memberikan status otomatis terowongan seperti yang ditunjukkan di bawah ini.
ipsec auto --status
Kesimpulan
Dalam tutorial ini, terowongan dibuat pada lapisan 2 menggunakan L2TP dengan OpenSwan untuk mengamankan komunikasi antara klien dan server. Mekanisme otentikasi CHAPv2 digunakan antara klien dan server menggunakan layanan FreeRadius. Klien L2TP berbasis Android dan Windows digunakan untuk mendemonstrasikan koneksi klien dengan server.