После многих дней поиска в Google, через Serverfault и даже на веб-сайте StrongSwan мне не удалось заставить StrongSwan IPSec / IKEv2 VPN работать на OS X 10.11.5 и iOS 10. Мне очень удалось это получить. работать с Windows 10 Pro Insider Preview и Android - ни то, ни другое не имеет отношения к моей поездке, когда у меня будет только ноутбук Mac и устройства iOS 10.
У меня установлено два сервера StrongSwan VPN - один в Лондоне и один в Сан-Франциско, оба с почти идентичными конфигурациями.
Следуя https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html Мне удалось быстро настроить оба сервера и выдать единый клиентский сертификат для Windows 10 Pro Insider Preview и Android. Однако, когда я копирую p12 двух серверов в OS X и iOS для создания VPN, мне задают вопросы, которые я не понял, что это за две другие операционные системы.
Кажется, я могу найти окончательный ответ на вопрос, что такое "Remote ID
" и "Local ID
"и как это относится ко мне, устанавливая соединение с аутентификацией на основе сертификата к серверу SwanStrong VPN?
Из того немногого, что я смог найти, я узнал следующее:
Local ID
должен соответствовать CN
или SAN
указано в сертификате (т.е. example@example.com
)Remote ID
требуется как для OS X, так и для iOS, но я понятия не имею, что поместить в это поле вводаЭто одна из конфигураций сервера StrongSwan (та, которую я тестировал):
# ipsec.conf - strongSwan IPsec configuration file
config setup
charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
conn %default
keyexchange=ikev2
ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
dpdaction=clear
dpddelay=300s
authby=pubkey
left=%any
leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.der
leftsendcert=always
right=%any
rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
rightdns=8.8.8.8,2001:4860:4860::8888
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
Как правильно настроить VPN-туннель в OS X 10.11.5 и iOS 10 с теми же сертификатами, которые используются в Windows и Android?
Как оказалось, мне нужно было использовать Apple Configurator
чтобы создать профиль VPN, чтобы я мог настроить криптографию для использования DH Group 2
и 3DES
.
Мне также пришлось изменить Remote ID
к FQDN
VPN-сервера, как указано в сертификате Common Name
. OS X проигнорировала Subject Alternative Name (SAN)
.
Однако, хотя теперь я могу установить соединение с VPN, я не могу проходить через него трафик.
Поскольку этот вопрос не имеет отношения к этому, я разместил еще один вопрос по адресу: https://apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os-x-10-11-5