LoginSignup
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@matsu1024

LinuxからIKEv2を用いてKUINS-III(京大VPN)に接続する

Last updated at Posted at 2020-07-29

前記事に書いた通り, UbuntuでPPTPを用いて京都大学のVPNシステムKUINS-IIIへの接続に成功した.
しかし, PPTP接続にはセキュリティ上の問題があり, 公式ページではIKEv2による接続が推奨されている.
その一方で, Linuxによる設定方法は示されておらず,今までIKEv2により接続することができなかった.
前回の成功に味をしめていろいろ検索していると,(Linux から京大の IKEv2 VPN に接続する方法)[https://blog.kmconner.net/archives/201]サイトを発見したので,これを参考にしてIKEv2によるVPN接続を試みる.

パッケージのインストール

OSはUbuntu 20.04 LTSを想定していますが, 18.04 LTSでも動作すると思います.
IKEv2はstrongswanと呼ばれるパッケージを用いて設定を行うため,必要なパッケージをパッケージマネージャによりインストールします.

$ sudo apt-get install strongswan libcharon-extra-plugins

接続設定の作成

strongswanをインストールすると,/etc/ipsec.confというファイルが作成されているはずなので,そちらに今回接続するVPNの設定を記述する.

$ sudo cat << EOF >> /etc/ipsec.conf
conn KUINS
    auto=start
    right=<IKEv2サーバー>
    rightid=<IKEv2サーバー>
    rightsubnet=10.0.0.0/8
    rightauth=never
    left=%defaultroute
    leftsourceip=%config
    leftid=<ECS-ID>
    leftauth=eap-mschapv2
    eap_identity=%identity
    keyexchange=ikev2
    type=tunnel
    ike=aes128-sha256-modp3072
EOF

<IKEv2サーバー>の部分は公式ページ
から確認できる.
KUINS-IIへ接続する場合はikev2.kuins.kyoto-u.ac.jpとすればよい.VLAN固定接続(KUINS-III)の場合は接続するキャンパスのホスト名を選択する. また,leftid=<ECS-ID@vlan番号>としなければならない.
次に,EAP認証する際のパスワードを/etc/ipsec.secretsに追記する.

$ sudo cat << EOF >> /etc/ipsec.secrets
ECS-ID : EAP "ECS-IDのパスワードを直打ち"
EOF

サーバー証明書の設定

前述の設定でクライアント認証のための設定は完了した.あとは,サーバーまでのルートを認証するための証明書を設定して置かなければならない.

$ sudo curl https://www.secomtrust.net/service/ninsyo/cer/scrootca2.txt >> /etc/ipsec.d/cacerts/key.pem
$ sudo chmod 600 /etc/ipsec.d/cacerts/key.pem

接続前の前準備

各種設定後,初回接続前に変更内容を反映させる必要がある.

$ sudo ipsec restart   # strongswanの再起動
$ sudo ipsec reload    # 設定内容を再読込
$ sudo ipsec listcacerts  # 設定された証明書を表示
List of X.509 CA Certificates

  subject:  "C=JP, O=National Institute of Informatics, CN=NII Open Domain CA - G5"
  issuer:   "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  validity:  not before Mar 22 15:33:29 2018, ok
             not after  Mar 22 15:33:29 2028, ok (expires in 2793 days)
  serial:    22:b9:b1 ...
  flags:     CA CRLSign 
  CRL URIs:  http://repository.secomtrust.net/SC-Root2/SCRoot2CRL.crl
  OCSP URIs: http://scrootca2.ocsp.secomtrust.net
  pathlen:   0
  certificatePolicies:
             1.2.392.200091.100.901.4
             CPS: https://repository.secomtrust.net/SC-Root2/
  authkeyId: 0a:85:a9 ...
  subjkeyId: 67:3a:3a ...
  pubkey:    RSA 2048 bits
  keyid:     8e:c0:9a ...
  subjkey:   67:3a:3a ...

  subject:  "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  issuer:   "C=JP, O=SECOM Trust Systems CO.,LTD., OU=Security Communication RootCA2"
  validity:  not before May 29 14:00:39 2009, ok
             not after  May 29 14:00:39 2029, ok (expires in 3225 days)
  serial:    00
  flags:     CA CRLSign self-signed 
  subjkeyId: 0a:85:a9 ...
  pubkey:    RSA 2048 bits
  keyid:     3b:37:c0 ...
  subjkey:   0a:85:a9 ...

上記のような表示がされれば準備はOKである.

接続

次のコマンドで接続・切断を行うことができる.

$ sudo ipsec up KUINS    # VPNに接続
$ sudo ipsec down KUINS  # VPNから切断

感想

公式ページで,「LinuxはiKEv2に対応していない」とお茶を濁す意味がわかった気がする.テキストベースでの設定が多くこの方法を公開すればトラブル対応に追われるのが落ちである.しかしよく考えてみると,KUINS自体がstrongswanで構築されているのでLinuxで接続できないわけがない笑

4
2
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?