Làm cách nào để thiết lập Strongswan hoặc openswan cho IPSEC thuần với máy khách iPhone?

21

Tôi đang gặp khó khăn trong việc tìm kiếm thông tin cụ thể, cập nhật về cách thiết lập Strongswan hoặc openswan để được sử dụng bởi ứng dụng khách VPN của iphone. Máy chủ của tôi đứng sau bộ định tuyến NAT của bộ định tuyến.

Tôi đã tìm thấy cái này , nhưng nó đề cập đến cả đống tệp .pem không có tài liệu tham khảo về cách tạo chúng. Thật không may, hướng dẫn sử dụng "tốt" cho cả hai gói khá khó hiểu và không thân thiện với người mới. Tôi đã thiết lập OpenVPN trước đây và quản lý để có được kết quả có thể phục vụ rất nhanh, nhưng sau một ngày rưỡi đọc tài liệu hết hạn, tôi hầu như không biết bắt đầu từ đâu.

Mọi sự trợ giúp sẽ rất được trân trọng!

vpn  ipsec 
Tủ quần áo
nguồn

Câu trả lời:

23

Không giúp đỡ à?
Trân trọng, Willem M. Poort

StrongSwan mini Cách sử dụng Debian 5

install strongswan + openssl
apt-get install strongswan openssl

Tạo tệp CA của bạn:

cd /etc/ipsec.d
openssl req -x509 -days 3650 -newkey rsa:2048 -keyout \
private/strongswanKey.pem -out cacerts/strongswanCert.pem
cp cacerts/strongswanCert.pem certs/

Nếu bạn thích chứng chỉ CA ở định dạng DER nhị phân thì lệnh sau sẽ đạt được phép chuyển đổi này:

openssl x509 -in cacerts/strongswanCert.pem -outform DER -out \ 
cacerts/strongswanCert.der

Chỉnh sửa /etc/ssl/openssl.conf ( /usr/lib/ssl/openssl.cnflà một liên kết tượng trưng):

nano -w /usr/lib/ssl/openssl.cnf

Thay đổi các thông số để phù hợp với môi trường mạnh mẽ của bạn.

[ CA_default ] 

dir     = /etc/ipsec.d              # Where everything is kept 
certificate = $dir/cacerts/strongswanCert.pem       # The CA certificate 

private_key = $dir/private/strongswanKey.pem        # The private key

Tạo các tệp và tệp bị thiếu:

mkdir newcerts
touch index.txt
echo “00” > serial

Tạo chứng chỉ người dùng:

openssl req -newkey rsa:1024 -keyout private/hostKey.pem \
    -out reqs/hostReq.pem

Ký tên trong hai năm:

openssl ca -in reqs/hostReq.pem -days 730 -out \
    certs/hostCert.pem -notext

Thông thường, máy khách VPN dựa trên Windows cần khóa riêng, chứng chỉ máy chủ hoặc người dùng và chứng chỉ CA của nó. Cách thuận tiện nhất để tải thông tin này là đưa mọi thứ vào tệp PKCS # 12:

openssl pkcs12 -export -inkey private/hostKey.pem \
    -in certs/hostCert.pem  \
    -name "host" \ 
    -certfile cacerts/strongswanCert.pem \
    -caname "strongSwan Root CA" \
    -out host.p12

Chỉnh sửa /etc/ipsec.secrets:

:RSA strongswanKey.pem “pempassword”
:XAUTH user "secret"

Chỉnh sửa /etc/ipsec.conf:

config setup
    plutodebug=none
    uniqueids=yes
    nat_traversal=yes
    interfaces="%defaultroute"

conn %default
    authby=rsasig
    leftrsasigkey=%cert
    rightrsasigkey=%cert
    keyingtries=1
    keylife=20m
    ikelifetime=240m

conn iphone
    auto=add
    dpdaction=clear
    authby=xauthrsasig
    xauth=server
    pfs=no
    leftcert=strongswanCert.pem
    left=<serverip>
    leftsubnet=0.0.0.0/0
    right=%any
    rightsourceip=<virtual client ip>   #local VPN virtual subnet
    rightcert=hostCert.pem

Trên iPhone

  1. Nhập chứng chỉ máy khách iphone ở định dạng p12
  2. Nhập chứng chỉ CA ở định dạng pem
  3. Định cấu hình IPSEC-VPN với Chứng chỉ máy khách iphone và sử dụng làm Máy chủ Tên DNS (Tên DynDNS). Nó phải giống với cái trong Chứng chỉ máy chủ

Để nhập chứng chỉ trên iphone của bạn, chỉ cần gửi email cho chính bạn! Khi tạo ipsec vpn trên iphone bạn có thể chọn chứng chỉ.

Lưu ý rằng bạn cần thiết lập iptables nếu bạn muốn NAT. (Nhìn vào fwbuilder)

Willem M. Poort
nguồn
1
+1 Rực rỡ. Tôi sẽ xem xét điều này khi tôi dành thời gian cho kỳ nghỉ và quay lại với bạn. Cảm ơn rất nhiều vì sự giúp đỡ.
Shabbycoat
Xin chào, tnx Willem M. Poort, tôi đã sử dụng mini-howto của bạn để thử kết nối iphone và máy chủ vpn của tôi với ubfox 10.10 nhưng có gì đó không ổn ... bạn có hướng dẫn hoặc liên kết cụ thể hơn để đề xuất không? tnx nữa! Fabio
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.