Không giúp đỡ à?
Trân trọng, Willem M. Poort
StrongSwan mini Cách sử dụng Debian 5
install strongswan + openssl
apt-get install strongswan openssl
Tạo tệp CA của bạn:
cd /etc/ipsec.d
openssl req -x509 -days 3650 -newkey rsa:2048 -keyout \
private/strongswanKey.pem -out cacerts/strongswanCert.pem
cp cacerts/strongswanCert.pem certs/
Nếu bạn thích chứng chỉ CA ở định dạng DER nhị phân thì lệnh sau sẽ đạt được phép chuyển đổi này:
openssl x509 -in cacerts/strongswanCert.pem -outform DER -out \
cacerts/strongswanCert.der
Chỉnh sửa /etc/ssl/openssl.conf
( /usr/lib/ssl/openssl.cnf
là một liên kết tượng trưng):
nano -w /usr/lib/ssl/openssl.cnf
Thay đổi các thông số để phù hợp với môi trường mạnh mẽ của bạn.
[ CA_default ]
dir = /etc/ipsec.d # Where everything is kept
certificate = $dir/cacerts/strongswanCert.pem # The CA certificate
private_key = $dir/private/strongswanKey.pem # The private key
Tạo các tệp và tệp bị thiếu:
mkdir newcerts
touch index.txt
echo “00” > serial
Tạo chứng chỉ người dùng:
openssl req -newkey rsa:1024 -keyout private/hostKey.pem \
-out reqs/hostReq.pem
Ký tên trong hai năm:
openssl ca -in reqs/hostReq.pem -days 730 -out \
certs/hostCert.pem -notext
Thông thường, máy khách VPN dựa trên Windows cần khóa riêng, chứng chỉ máy chủ hoặc người dùng và chứng chỉ CA của nó. Cách thuận tiện nhất để tải thông tin này là đưa mọi thứ vào tệp PKCS # 12:
openssl pkcs12 -export -inkey private/hostKey.pem \
-in certs/hostCert.pem \
-name "host" \
-certfile cacerts/strongswanCert.pem \
-caname "strongSwan Root CA" \
-out host.p12
Chỉnh sửa /etc/ipsec.secrets
:
:RSA strongswanKey.pem “pempassword”
:XAUTH user "secret"
Chỉnh sửa /etc/ipsec.conf
:
config setup
plutodebug=none
uniqueids=yes
nat_traversal=yes
interfaces="%defaultroute"
conn %default
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
keyingtries=1
keylife=20m
ikelifetime=240m
conn iphone
auto=add
dpdaction=clear
authby=xauthrsasig
xauth=server
pfs=no
leftcert=strongswanCert.pem
left=<serverip>
leftsubnet=0.0.0.0/0
right=%any
rightsourceip=<virtual client ip> #local VPN virtual subnet
rightcert=hostCert.pem
Trên iPhone
- Nhập chứng chỉ máy khách iphone ở định dạng p12
- Nhập chứng chỉ CA ở định dạng pem
- Định cấu hình IPSEC-VPN với Chứng chỉ máy khách iphone và sử dụng làm Máy chủ Tên DNS (Tên DynDNS). Nó phải giống với cái trong Chứng chỉ máy chủ
Để nhập chứng chỉ trên iphone của bạn, chỉ cần gửi email cho chính bạn! Khi tạo ipsec vpn trên iphone bạn có thể chọn chứng chỉ.
Lưu ý rằng bạn cần thiết lập iptables nếu bạn muốn NAT. (Nhìn vào fwbuilder)