sudo apt-get install strongswan strongswan-pki strongswan strongswan-plugin-eap-mschapv2 strongswan-plugin-xauth-generic
跟据不同系统版本要安装的软件包有差异,但是第一个肯定是要装的
eap-mschapv2认证也是需要服务器证书的,不需要客户端证书,但也需要服务器证书所用的CA证书在客户端信任列表中,如果是自签名证书一定要信任CA,网上说的免证书有误导人之嫌,我配置的时候绕了很大圈。只有用信任CA签发服务器证书才可以真正在客户端免证书。
首先生成所需证书
ipsec pki --gen > caKey.der
ipsec pki --self --in caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --ca > caCert.der
ipsec pki --gen > serverKey.der
ipsec pki --pub --in serverKey.der | ipsec pki --issue --cacert caCert.der --cakey caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --san 192.168.5.105 --flag serverAuth --flag ikeIntermediate > serverCert.der
CN和san后面也可以是域名或计算机名
安装证书
CA证书,CA证书同时也要安装到客户端的信任根证书列表中,不然连接VPN时出现
13801错误:IKE身份验证凭证不可接受
sudo cp caCert.der /etc/ipsec.d/cacerts/
服务器证书
sudo cp serverCert.der /etc/ipsec.d/certs/
私钥
sudo cp serverKey.der /etc/ipsec.d/private/
配置ipsec.conf
conn ikev2_mschapv2
type=tunnel
keyexchange=ikev2
left=192.168.5.105
leftid=192.168.5.105
leftauth=pubkey
leftcert=serverCert.der
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=eap-mschapv2
eap_identity=%any
rightsourceip=192.168.7.0/24
rightsendcert=never
rightdns=8.8.4.4,114.114.114.114
mobike=yes
auto=add
/etc/ipsec.secrets
: RSA serverKey.der
test %any : EAP "12345678"
ipsec restart
客户端安装CA证书,把caCert.der安装到windows的信任根证书里面,iphone需要用邮件附件发送或放到http服务器上打开安装
ikev2配置主要还是证书问题比较多,另外就是低版本的系统上默认不支持Eap-mschapv2,需要另外安装软件包
ikev2用rightsourceip可以给客户端分配虚拟ip,与pptp,l2tp不同的是只客户端有虚拟ip,服务端是没有的
参考
https://wiki.strongswan.org/projects/strongswan/wiki/AppleClients
https://wiki.strongswan.org/projects/strongswan/wiki/Win7CertReq
https://wiki.strongswan.org/projects/strongswan/wiki/VirtualIP
