3개의 OpenWrt 라우터를 strongswan 을 이용해 site2site2site 연결해 봤습니다. swanctl.conf 와 ipsec.conf를 이용한 설정 및 xfrm 를 활용한 라우팅기반 vpn 과 정책기반 vpn 연결을 병행했습니다.
설정화일이 많다보니 자세한 설명은 생략하고 설정화일 위주로 보여드리겠습니다.
구성
- routerA, routerB간 연결은 xfrm 인터페이스를 이용한 라우팅기반 vpn 연결(xfrm은 OpenWrt V21.02 이상에서 지원하며 이전 버전에서는 라우팅기반 vpn 연결을 위해선 vti 인터페이스를 이용하면 됩니다.)
- routerA, routerC간 연결은 정책기반 vpn 연결
- routerB, routerC간 연결은 정책기반 vpn 연결
- routerA, rw간 연결은 정책기반 vpn 연결
- rw는 routerA 로 연결시 routerA 서브넷의 dhcp 할당
- routerA, routerB의 설정은 /etc/swanctl/swanctl.conf를 이용
- routerC는 전통적인 /etc/ipsec.conf를 이용한 설정
- rw client 설정은 여기서 따로 설명하지 않으니 이전글 확인
사전준비
- 독립된 도메인 혹은 ddns를 준비하세요. 만약 고정ip사용자라면 ip를 사용해도 상관없습니다.(본 예에서는 duckdns.org를 이용하며 duckdns가 아닌 어떤 ddns도 상관없습니다.)
패키지 설치
routeA, routerB
routerA, routerB는 xfrm 인터페이스를 이용한 라우팅기반 vpn 연결이므로 xfrm 인터페이스 모듈 등을 설치합니다.
opkg update
opkg install xfrm kmod-xfrm-interface
또한 routerA, routerB는 swanctl.conf를 이용한 설정을 할 것으므로 다른 필요한 패키지 외 strongswan-swanctl, strongswan-mod-vici 도 추가 설치합니다.
opkg install curl strongswan-default strongswan-pki ipset strongswan-mod-openssl strongswan-mod-curl strongswan-mod-dhcp strongswan-mod-eap-tls strongswan-mod-eap-identity kmod-tun openssl-util strongswan-mod-test-vectors strongswan-mod-farp strongswan-swanctl strongswan-mod-vici
만약 이전에 게시한 글 OpenWrt strongswan 으로 구성한 ikev2 vpn 나 Strongswan ipsec VPN site to site 연결 에 따라 패키지를 미리 설치했다면 추가되는 패키지 strongswan-swanctl, strongswan-mod-vici 만 설치하면 되지만 기존에 설치한 strongswan-mod-kernel-libipsec 패키지는 제거해야 합니다. (필요도 없고, 제거하지 않으면 데몬이 죽으면서 라우터가 먹통이 될 수 있습니다.) 제거하려면 아래와 같이 합니다.
opkg remove strongswan-mod-kernel-libipsec
또한 기존에 /etc/ipsec.conf 화일에 따로 vpn 설정을 했다면 ipsec 데몬이 기존 설정을 읽어 들입니다. swanctl.conf 화일로 마이그레이션 할 경우 /etc/ipsec.conf, /etc/ipsec.secret 화일을 빈 화일로 만들어 놓으면 되고 그냥 기존대로 ipsec.conf 화일로 설정을 하겠다면 strongswan.org 에 많은 자료가 있으니 설정방법을 확인하세요. 각자에게 맡깁니다.
마지막으로 dnsmasq-full 패키지를 설치합니다.
opkg install dnsmasq-full --download-only && opkg remove dnsmasq && opkg install dnsmasq-full --cache . && rm *.ipk
routerC
routerC는 routerA, routerC에 대해 정책기반 vpn연결을 하고 전통적인 ipsec.conf를 이용한 설정을 할 것으므로 strongswan-swanctl, strongswan-mod-vici를 설치하지 않습니다. 그리고 필수사항은 아니지만 이전글과 같이 ipsec0라고 명명된 네트워크 인터페이스를 만들어 이용할 예정이므로 strongswan의 다른 패키지 외 strongswan-mod-kernel-libipsec 설치합니다.
opkg update
opkg install curl strongswan-default strongswan-pki ipset strongswan-mod-openssl strongswan-mod-curl strongswan-mod-dhcp strongswan-mod-eap-tls strongswan-mod-eap-identity kmod-tun openssl-util strongswan-mod-test-vectors strongswan-mod-farp strongswan-mod-kernel-libipsec
dnsmasq-full 패키지를 설치합니다.
opkg install dnsmasq-full --download-only && opkg remove dnsmasq && opkg install dnsmasq-full --cache . && rm *.ipk
인증서 생성 및 psk키 생성
인증서 생성
본 예에서는 메인 라우터인 routerA에서 인증서를 생성해 각각의 peer에 전송해 사용할 것입니다.
만약 이전글을 참고해 인증서를 이미 만들었다면 그 인증서를 복사해서 사용해도 됩니다.(인증서 전송 위치는 아래 참고)
인증서를 생성하는 스크립트는 다음과 같습니다.
- mk_rsa_ca.sh : Root CA 인증서 생성(한번만 실행하세요. 다시 실행하면 기존에 생성한 서버/사용자 인증서가 모두 무력화 됩니다.)
- mk_rsa_server.sh : 서버 인증서 생성
- mk_rsa_user.sh : 사용자 인증서 생성
/etc/swanctl/mk_rsa_ca.sh
#!/bin/sh
SRVNAME="aaa.duckdns.org"
#IPADDR="aaa.duckdns.orgm"
#Uncomment only if vpn server is behind a static IP
#IPADDR=$(. /lib/functions/network.sh; network_get_ipaddr ip wan; echo $ip)
COUNTRY="KR"
ORG="qquack"
VALIDDAYS="3652"
PREFIX="rsa4096_"
ipsec pki --gen --type rsa --size 4096 --outform pem > rsa/${PREFIX}cakey.pem
chmod 600 rsa/${PREFIX}cakey.pem
ipsec pki --self --ca --lifetime ${VALIDDAYS} --in rsa/${PREFIX}cakey.pem --type rsa --dn "C=${COUNTRY}, O=${ORG}, CN=${ORG} Root CA" --outform pem > x509ca/${PREFIX}cacert.pem
ipsec pki --print --in x509ca/${PREFIX}cacert.pem
/etc/swanctl/mk_rsa_server.sh
#!/bin/sh
SRVNAME="aaa.duckdns.org"
#IPADDR="aaa.duckdns.org"
#Uncomment only if vpn server is behind a static IP
#IPADDR=$(. /lib/functions/network.sh; network_get_ipaddr ip wan; echo $ip)
COUNTRY="KR"
ORG="qquack"
LIFETIME="3652"
PREFIX="rsa4096_"
ipsec pki --gen --type rsa --size 4096 --outform pem > rsa/${PREFIX}hostkey.pem
chmod 600 rsa/${PREFIX}hostkey.pem
ipsec pki --pub --in rsa/${PREFIX}hostkey.pem --type rsa | ipsec pki --issue --lifetime ${LIFETIME} --cacert x509ca/${PREFIX}cacert.pem --cakey rsa/${PREFIX}cakey.pem --dn "C=${COUNTRY}, O=${ORG}, CN=${SRVNAME}" --san ${SRVNAME} --flag serverAuth --flag ikeIntermediate --outform pem > x509/${PREFIX}hostcert.pem
ipsec pki --print --in x509/${PREFIX}hostcert.pem
/etc/swanctl/mk_rsa_user.sh
#!/bin/sh
NAME="user1"
USERID="${NAME}@aaa.duckdns.org"
#echo "Enter userid (no spaces or special characters):"
#read USERID
#
#[ -z "$USERID" ] && {
# echo Empty user ID. Cancelling.
# exit 0
#}
#
#echo "Enter fullname:"
#read NAME
#
#[ -z "$NAME" ] && {
# echo Empty full name. Cancelling.
# exit 0
#}
COUNTRY="KR"
ORG="qquack"
LIFETIME="1826"
PREFIX="rsa4096_"
#mkdir -p pkcs12 2> /dev/null
ipsec pki --gen --type rsa --size 4096 --outform pem > rsa/${PREFIX}${USERID}.pem
chmod 600 rsa/${PREFIX}${USERID}.pem
ipsec pki --pub --in rsa/${PREFIX}${USERID}.pem --type rsa | ipsec pki --issue --lifetime ${LIFETIME} --cacert x509ca/${PREFIX}cacert.pem --cakey rsa/${PREFIX}cakey.pem --dn "C=${COUNTRY}, O=${ORG}, CN=${USERID}" --san "${USERID}" --outform pem > x509/${PREFIX}${USERID}.pem
ipsec pki --print --in x509/${PREFIX}${USERID}.pem
openssl pkcs12 -export -inkey rsa/${PREFIX}${USERID}.pem -in x509/${PREFIX}${USERID}.pem -name "${NAME}'s VPN Certificate" -certfile x509ca/${PREFIX}cacert.pem -caname "${ORG} Root CA" -out pkcs12/${PREFIX}${USERID}.p12
본 예에서는 위의 스크립트를 활용해 다음과 같은 인증서를 생성했습니다.
- mk_rsa_ca.sh : Root CA 인증서 생성
- mk_rsa_server.sh : routerA 서버 인증서 생성
- mk_rsa_user.sh : 아래 사용자 인증서 생성(pkcs12 포함)
- routerB : 사용자명 [email protected]
- routerC : 사용자명 [email protected]
- roadwarrior : 사용자명 [email protected]
인증서 전송
routerA에서 생성한 인증서를 scp를 이용해 전송을 하든 putty를 이용해 화면에서 긁어서 붙이든 routerB, routerC에 전송합니다. roadwarrior는 생성한 p12화일 및 cacert화일을 전송해서 쓰면 되겠죠
- routerA --> routetB
- /etc/swanctl/x509ca/rsa4096_cacert.pem --> /etc/swanctl/x509ca/rsa4096_cacert.pem
- /etc/swanctl/x509/[email protected] --> /etc/swanctl/x509/[email protected]
- /etc/swanctl/rsa/[email protected] --> /etc/swanctl/rsa/[email protected]
- routerA --> routetC
- /etc/swanctl/x509ca/rsa4096_cacert.pem -->/etc/ipsec.d/cacert/rsa4096_cacert.pem
- /etc/swanctl/x509/[email protected] --> /etc/ipsec.d/certs/[email protected]
- /etc/swanctl/rsa/[email protected] --> /etc/swanctl/private/[email protected]
psk키 생성
routerA, routerC간 연결시 인증서를 통한 연결 외 참고로 psk를 활용한 연결을 만들어 봤습니다. 아래와 같이 openssl 명령으로 psk를 생성해 활용할 수 있습니다.
openssl rand -base64 32
router 설정
routerA, routerB, routerC 공통 설정(방화벽)
/etc/config/firewall
...
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option proto 'esp'
option target 'ACCEPT'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config rule
option name 'IPSec-NAT-Traversal'
option src 'wan'
option proto 'udp'
option dest_port '4500'
option target 'ACCEPT'
config rule
option name 'IPSec-Auth-Header'
option src 'wan'
option proto 'ah'
option target 'ACCEPT'
/etc/firewall.user
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
routerA 설정
/etc/config/network 에 xfrm 인터페이스 추가 및 routerB에 대한 라우팅 설정을 합니다.
...
config interface 'xfrm0'
option proto 'xfrm'
option mtu '1438'
option zone 'vpn1'
option tunlink 'wan'
option ifid '357'
config interface 'xfrm0_s'
option proto 'static'
option device '@xfrm0'
option ipaddr '10.1.3.1/30'
config route
option interface 'xfrm0'
option source '10.1.1.1'
option target '192.168.10.0/24'
/etc/config/firewall
...
config zone
option name 'vpn1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option mtu_fix '1'
list network 'xfrm0'
list subnet '10.1.1.0/24'
list subnet '192.168.10.0/24'
config forwarding
option src 'lan'
option dest 'vpn1'
config forwarding
option src 'vpn1'
option dest 'lan'
...
/etc/strongswan.conf 에 roadwarrior를 위한 dhcp 구성
charon {
load_modular = yes
dns1 = 10.1.1.1
# nbns1 = 10.1.1.1
plugins {
include strongswan.d/charon/*.conf
dhcp {
force_server_address = yes
# use_server_port = yes
# uncomment the line above if log shows that DHCP
# offer can't be accepted
identity_lease = yes
server = 10.1.1.255
# use LAN broadcast address here, not IP address.
}
}
}
include strongswan.d/*.conf
include /var/ipsec/strongswan.conf
/etc/swanctl/swanctl.conf
conn-defaults {
version = 2
fragmentation = yes
mobike = no
rekey_time = 240m
over_time = 24m
rand_time = 24m
dpd_delay = 0s
keyingtries = 0
send_cert = always
send_certreq = no
proposals = aes128-sha256-x25519,aes128-sha1-sha256-modp2048
}
child-defaults {
mode = tunnel
ipcomp = no
rekey_time = 60m
life_time = 66m
rand_time = 6m
dpd_action = clear
esp_proposals = aes128-sha256-x25519,aes128-sha1,null-sha256-x25519
}
connections {
rw : conn-defaults {
local_addrs = %any
remote_addrs = %any
pools = dhcp
local {
auth = pubkey
certs = rsa4096_hostcert.pem
id = aaa.duckdns.org
}
remote {
auth = eap-tls
eap_id = %any
}
children {
rw : child-defaults {
local_ts = 0.0.0.0/0
remote_ts = 0.0.0.0/0
}
}
}
bbb : conn-defaults {
local_addrs = %any
remote_addrs = bbb.duckdns.org
local {
auth = pubkey
certs = rsa4096_hostcert.pem
id = "C=KR, O=qquack, CN=aaa.duckdns.org"
}
remote {
auth = pubkey
id = "C=KR, O=qquack, [email protected]"
}
children {
bbb : child-defaults {
local_ts = 0.0.0.0/0
remote_ts = 0.0.0.0/0
if_id_in = 357
if_id_out = 357
start_action = trap
}
}
}
ccc : conn-defaults {
local_addrs = %any
remote_addrs = ccc.duckdns.org
local {
auth = pubkey
certs = rsa4096_hostcert.pem
id = aaa.duckdns.org
}
remote {
auth = pubkey
id = "C=KR, O=qquack, [email protected]"
}
children {
ccc : child-defaults {
local_ts = 10.1.1.0/24
remote_ts = 192.168.1.0/24
}
}
}
ccc-psk : conn-defaults {
local_addrs = %any
remote_addrs = ccc.duckdns.org
local {
auth = psk
id = aaa.duckdns.org
}
remote {
auth = psk
id = ccc.duckdns.org
}
children {
ccc-psk : child-defaults {
local_ts = 10.1.1.0/24
remote_ts = 192.168.1.0/24
}
}
}
}
secrets {
rsa-aaa {
file = rsa4096_hostkey.pem
}
ike-ccc {
id = ccc.duckdns.org
secret = [email protected]
}
}
pools {
}
authorities {
}
routerB 설정
/etc/config/network 에 xfrm 인터페이스 추가 및 routerA에 대한 라우팅 설정을 합니다.
...
config interface 'xfrm0'
option proto 'xfrm'
option mtu '1438'
option zone 'vpn1'
option tunlink 'wan'
option ifid '308'
config interface 'xfrm0_s'
option proto 'static'
option device '@xfrm0'
option ipaddr '10.1.3.2/30'
config route
option interface 'xfrm0'
option source '192.168.10.1'
option target '10.1.1.0/24'
/etc/config/firewall
...
config zone
option name 'vpn1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option mtu_fix '1'
list network 'xfrm0'
list subnet '10.1.1.0/24'
list subnet '192.168.10.0/24'
config forwarding
option src 'lan'
option dest 'vpn1'
config forwarding
option src 'vpn1'
option dest 'lan'
...
/etc/swanctl/swanctl.conf
conn-defaults {
version = 2
fragmentation = yes
mobike = no
rekey_time = 240m
over_time = 24m
rand_time = 24m
dpd_delay = 0s
keyingtries = 0
send_cert = always
send_certreq = no
proposals = aes128-sha256-x25519
}
child-defaults {
mode = tunnel
ipcomp = no
rekey_time = 60m
life_time = 66m
rand_time = 6m
dpd_action = clear
esp_proposals = aes128-sha256-x25519
}
connections {
aaa : conn-defaults {
local_addrs = %any
remote_addrs = aaa.duckdns.org
local {
auth = pubkey
certs = [email protected]
id = "C=KR, O=qquack, [email protected]"
}
remote {
auth = pubkey
id = "C=KR, O=qquack, CN=aaa.duckdns.org"
}
children {
aaa : child-defaults {
local_ts = 0.0.0.0/0
remote_ts = 0.0.0.0/0
if_id_in = 308
if_id_out = 308
start_action = trap
}
}
}
ccc : conn-defaults {
local_addrs = %any
remote_addrs = ccc.duckdns.org
local {
auth = pubkey
certs = [email protected]
id = "C=KR, O=qquack, [email protected]"
}
remote {
auth = pubkey
id = "C=KR, O=qquack, [email protected]"
}
children {
ccc : child-defaults {
local_ts = 192.168.10.0/24
remote_ts = 192.168.1.0/24
}
}
}
}
secrets {
rsa-bbb {
file = [email protected]
}
}
pools {
}
authorities {
}
routerC 설정
/etc/config/network에 ipsec0 인터페이스를 생성합니다.
...
config interface 'ipsec0'
option ifname 'ipsec0' #OpenWrt V21.02 부터는 ifname 이 device로 변경
option proto 'none'
option defaultroute '0'
option peerdns '0'
/etc/config/firewall
...
config zone
option name 'vpn1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option mtu_fix '1'
list network 'ipsec0'
list subnet '10.1.1.0/24'
list subnet '192.168.1.0/24'
list subnet '192.168.10.0/24'
config forwarding
option src 'lan'
option dest 'vpn1'
config forwarding
option src 'vpn1'
option dest 'lan'
...
/etc/ipsec.conf
config setup
strictcrlpolicy=no
uniqueid=no
# Add connections here.
conn %default
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=no
mobike=no
dpdaction=clear
dpddelay=300s
rekey=no
ike=aes128-sha256-x25519
esp=aes128-sha256-x25519
conn aaa-psk
authby=secret
left=%any
leftid=ccc.duckdns.org
leftsubnet=192.168.1.0/24
right=aaa.duckdns.org
rightid=aaa.duckdns.org
rightsubnet=10.1.1.0/24
conn aaa
authby=pubkey
left=%any
leftid=%any
leftsubnet=192.168.1.0/24
[email protected]
leftsendcert=always
right=aaa.duckdns.org
rightid=aaa.duckdns.org
rightsubnet=10.1.1.0/24
conn bbb
# auto=start
authby=pubkey
left=%any
leftid="C=KR, O=qquack, [email protected]"
leftsubnet=192.168.1.0/24
[email protected]
leftsendcert=always
right=bbb.duckdns.org
rightid="C=KR, O=qquack, [email protected]"
rightsubnet=192.168.10.0/24
/etc/ipsec.secrets
# /etc/ipsec.secrets - strongSwan IPsec secrets file : RSA [email protected] aaa.duckdns.org : PSK [email protected]
서비스 재시작
설정한 라우터들의 데몬을 재시작합니다.
/etc/init.d/network restart
/etc/init.d/firewall restart
/etc/init.d/ipsec restart
/etc/init.d/swanctl restart
연결
swanctl.conf 로 설정한 routerA, routerB의 경우 먼저 swanctl -q 옵션으로 설정을 읽어온 후 swanctl -i --child <name> 으로 연결을 합니다. swanctl -t --child <name> 명령으로 연결을 종료할 수 있으며 swanctl 명령의 자세한 설명은 swanctl --help 를 참고하세요.
swanctl -q --noprompt
swanctl -i --child bbb
swanctl -i --child ccc
ipsec.conf 를 이용한 설정을 한 routerC는 따로 설정을 불러 올 필요 없이 ipec up <name>, ipsec down <name> 으로 각각 연결 및 종료를 할 수 있습니다.
ipec up bbb
연결을 마친후 각각의 router에 ping 을 때려보세요.
[email protected]:~# ping 10.1.1.1 PING 10.1.1.1 (10.1.1.1): 56 data bytes 64 bytes from 10.1.1.1: seq=0 ttl=64 time=5.719 ms 64 bytes from 10.1.1.1: seq=1 ttl=64 time=4.320 ms 64 bytes from 10.1.1.1: seq=2 ttl=64 time=3.918 ms ^C --- 10.1.1.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 3.918/4.652/5.719 ms [email protected]:~# [email protected]:~# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1): 56 data bytes 64 bytes from 192.168.1.1: seq=0 ttl=64 time=10.757 ms 64 bytes from 192.168.1.1: seq=1 ttl=64 time=9.016 ms 64 bytes from 192.168.1.1: seq=2 ttl=64 time=11.692 ms 64 bytes from 192.168.1.1: seq=3 ttl=64 time=14.426 ms ^C --- 192.168.1.1 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max = 9.016/11.472/14.426 ms [email protected]:~#
참고
- https://wiki.strongswan.org/projects/strongswan/wiki/connsection
- https://wiki.strongswan.org/projects/strongswan/wiki/Fromipsecconf
- https://docs.strongswan.org/strongswan-docs/5.9/index.html
- https://docs.strongswan.org/strongswan-docs/5.9/swanctl/swanctlDir.html
- https://openwrt.org/docs/guide-user/services/vpn/strongswan/configuration
- https://docs.strongswan.org/strongswan-docs/5.9/config/IKEv2CipherSuites.html
