使用strongswan建立基于ikev2 eap-mschapv2的ipsec服务器

xiaoxiao2021-03-01  4

sudo apt-get install strongswan strongswan-pki strongswan strongswan-plugin-eap-mschapv2 strongswan-plugin-xauth-generic 跟据不同系统版本要安装的软件包有差异,但是第一个肯定是要装的 eap-mschapv2认证也是需要服务器证书的,不需要客户端证书,但也需要服务器证书所用的CA证书在客户端信任列表中,如果是自签名证书一定要信任CA,网上说的免证书有误导人之嫌,我配置的时候绕了很大圈。只有用信任CA签发服务器证书才可以真正在客户端免证书。 首先生成所需证书 ipsec pki --gen > caKey.der ipsec pki --self --in caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --ca > caCert.der ipsec pki --gen > serverKey.der ipsec pki --pub --in serverKey.der | ipsec pki --issue --cacert caCert.der --cakey caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --san 192.168.5.105 --flag serverAuth --flag ikeIntermediate > serverCert.der CN和san后面也可以是域名或计算机名 安装证书 CA证书,CA证书同时也要安装到客户端的信任根证书列表中,不然连接VPN时出现 13801错误:IKE身份验证凭证不可接受 sudo cp caCert.der /etc/ipsec.d/cacerts/ 服务器证书 sudo cp serverCert.der /etc/ipsec.d/certs/ 私钥 sudo cp serverKey.der /etc/ipsec.d/private/ 配置ipsec.conf conn ikev2_mschapv2 type=tunnel keyexchange=ikev2 left=192.168.5.105 leftid=192.168.5.105 leftauth=pubkey leftcert=serverCert.der leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightauth=eap-mschapv2 eap_identity=%any rightsourceip=192.168.7.0/24 rightsendcert=never rightdns=8.8.4.4,114.114.114.114 mobike=yes auto=add /etc/ipsec.secrets : RSA serverKey.der test %any : EAP "12345678" ipsec restart 客户端安装CA证书,把caCert.der安装到windows的信任根证书里面,iphone需要用邮件附件发送或放到http服务器上打开安装 ikev2配置主要还是证书问题比较多,另外就是低版本的系统上默认不支持Eap-mschapv2,需要另外安装软件包  ikev2用rightsourceip可以给客户端分配虚拟ip,与pptp,l2tp不同的是只客户端有虚拟ip,服务端是没有的 参考 https://wiki.strongswan.org/projects/strongswan/wiki/AppleClients https://wiki.strongswan.org/projects/strongswan/wiki/Win7CertReq https://wiki.strongswan.org/projects/strongswan/wiki/VirtualIP
转载请注明原文地址: https://www.6miu.com/read-3100331.html

最新回复(0)