Назад | Перейти на главную страницу

Как настроить StrongSwan IKEv2 VPN с PSK (предварительный общий ключ)?

Я ищу инструкцию по настройке IKEv2 VPN, которая использует pre-shared keys вместо того certs (я полагаю, это разные методы шифрования туннеля?).

Я следил этот замечательный урок чтобы заставить работать IKEv2 VPN (с certificate) и это работает.

Мой вопрос в том, что нужно изменить, чтобы он использовал PSK вместо? Я предполагаю изменения в /etc/ipsec.secrets и /etc/ipsec.conf должны быть сделаны.

Мой нынешний ipsec.conf выглядит так:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    rightsendcert=never
    eap_identity=%identity

UPD: Основываясь на моей работе и ответе @ChandanK, я сделал два сценария для развертывания VPN-сервера StrongSwan на свежей установке Ubuntu 16.04 здесь: https://github.com/truemetal/ikev2_vpn

Предполагая, что вы хотите настроить правую часть с помощью psk. Это довольно просто.

1. remove eap_identity and rightsendcert fields. 2. set rightauth=secret

Теперь отредактируйте файл /etc/ipsec.secrets:

1. remove "your_username %any% : EAP "your_password"" line. 2. add ": PSK <your_password>"

Затем перечитайте секреты и перезапустите службу.

$sudo ipsec rereadsecrets $sudo ipsec reload $sudo ipsec restart

Все готово. Следуйте «Подключение с iOS» и создайте новое vpn-соединение ikev2. В настройках аутентификации выберите none и введите общий секретный ключ. Надеюсь, вы подключитесь.

Редактировать:

Судя по комментариям, изменения конфигурации, необходимые для перехода на аутентификацию с предварительным общим ключом:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    authby=secret

Удалите следующую строку из ipsec.secrets:

server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem

Затем перечитайте секреты и перезапустите службу.

Основываясь на моей работе и ответе @ChandanK, я сделал два сценария для развертывания VPN-сервера StrongSwan на свежей установке Ubuntu 16.04 здесь: https://github.com/truemetal/ikev2_vpn