Как настроить strongswan или openswan для чистого IPSEC с клиентом iPhone?

Question

Как настроить strongswan или openswan для чистого IPSEC с клиентом iPhone?

У меня возникают проблемы с поиском конкретной актуальной информации о том, как настроить strongswan или openswan для использования VPN-клиентом iphone. Мой сервер находится за бюджетным маршрутизатором Linksys NAT.

Я нашел это, но он упоминает целую кучу файлов.pem без ссылки на то, как их создать. К сожалению, "прекрасные" руководства для обоих пакетов были довольно непостижимыми и недружественными для новичка. Я настраивал OpenVPN и раньше, и мне удалось очень быстро получить исправные результаты, но после полутора дней чтения устаревших документов я едва знаю, с чего начать.

Любая помощь будет принята с благодарностью!

21

vpn ipsec

Источник

Shabbyrobe 14 дек '10 в 11:37

1 ответ

Другие вопросы по тегам vpn ipsec

Willem M. Poort 22 дек '10 в 12:25 2010-12-22 12:25 · Answer 1 · 2010-12-22 12:25

Это помогает?
С уважением, Виллем М. Поорт

StrongSwan mini Howto Debian 5

install strongswan + openssl
apt-get install strongswan openssl

Создайте свой CA-файл:

cd /etc/ipsec.d
openssl req -x509 -days 3650 -newkey rsa:2048 -keyout \
private/strongswanKey.pem -out cacerts/strongswanCert.pem
cp cacerts/strongswanCert.pem certs/

Если вы предпочитаете, чтобы сертификаты CA были в двоичном формате DER, то следующая команда выполняет это преобразование:

openssl x509 -in cacerts/strongswanCert.pem -outform DER -out \ 
cacerts/strongswanCert.der

редактировать /etc/ssl/openssl.conf (/usr/lib/ssl/openssl.cnf символическая ссылка):

nano -w /usr/lib/ssl/openssl.cnf

Измените параметры в соответствии с вашей средой.

[ CA_default ] 

dir     = /etc/ipsec.d              # Where everything is kept 
certificate = $dir/cacerts/strongswanCert.pem       # The CA certificate 

private_key = $dir/private/strongswanKey.pem        # The private key

Создать недостающие DIR и файлы:

mkdir newcerts
touch index.txt
echo “00” > serial

Создайте сертификат пользователя:

openssl req -newkey rsa:1024 -keyout private/hostKey.pem \
    -out reqs/hostReq.pem

Подпишите его на два года:

openssl ca -in reqs/hostReq.pem -days 730 -out \
    certs/hostCert.pem -notext

Обычно для VPN-клиента на базе Windows требуется закрытый ключ, сертификат хоста или пользователя и сертификат CA. Самый удобный способ загрузить эту информацию - поместить все в файл PKCS#12:

openssl pkcs12 -export -inkey private/hostKey.pem \
    -in certs/hostCert.pem  \
    -name "host" \ 
    -certfile cacerts/strongswanCert.pem \
    -caname "strongSwan Root CA" \
    -out host.p12

редактировать /etc/ipsec.secrets:

:RSA strongswanKey.pem “pempassword”
:XAUTH user "secret"

редактировать /etc/ipsec.conf:

config setup
    plutodebug=none
    uniqueids=yes
    nat_traversal=yes
    interfaces="%defaultroute"

conn %default
    authby=rsasig
    leftrsasigkey=%cert
    rightrsasigkey=%cert
    keyingtries=1
    keylife=20m
    ikelifetime=240m

conn iphone
    auto=add
    dpdaction=clear
    authby=xauthrsasig
    xauth=server
    pfs=no
    leftcert=strongswanCert.pem
    left=<serverip>
    leftsubnet=0.0.0.0/0
    right=%any
    rightsourceip=<virtual client ip>   #local VPN virtual subnet
    rightcert=hostCert.pem

На айфоне

Импорт сертификата iphone-клиента в формате p12
Импортируйте сертификат CA в pem-формате
Настройте IPSEC-VPN с помощью сертификата iphone-client и используйте в качестве сервера DNS-имя (DynDNS-Name). Он должен быть таким же, как в сертификате сервера

Чтобы импортировать сертификаты на свой iphone, просто отправьте их себе по электронной почте! При создании ipsec vpn на вашем iphone вы можете выбрать сертификат.

Имейте в виду, что вам нужно настроить iptables, если вы хотите NAT. (Посмотрите на fwbuilder)