Назад | Перейти на главную страницу

Strongswan IKEv2 VPN на клиентах OS X 10.11 и iOS 10

После многих дней поиска в Google, через Serverfault и даже на веб-сайте StrongSwan мне не удалось заставить StrongSwan IPSec / IKEv2 VPN работать на OS X 10.11.5 и iOS 10. Мне очень удалось это получить. работать с Windows 10 Pro Insider Preview и Android - ни то, ни другое не имеет отношения к моей поездке, когда у меня будет только ноутбук Mac и устройства iOS 10.

У меня установлено два сервера StrongSwan VPN - один в Лондоне и один в Сан-Франциско, оба с почти идентичными конфигурациями.

Следуя https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html Мне удалось быстро настроить оба сервера и выдать единый клиентский сертификат для Windows 10 Pro Insider Preview и Android. Однако, когда я копирую p12 двух серверов в OS X и iOS для создания VPN, мне задают вопросы, которые я не понял, что это за две другие операционные системы.

Кажется, я могу найти окончательный ответ на вопрос, что такое "Remote ID" и "Local ID"и как это относится ко мне, устанавливая соединение с аутентификацией на основе сертификата к серверу SwanStrong VPN?

Из того немногого, что я смог найти, я узнал следующее:

Это одна из конфигураций сервера StrongSwan (та, которую я тестировал):

# ipsec.conf - strongSwan IPsec configuration file

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
    dpdaction=clear
    dpddelay=300s
    authby=pubkey
    left=%any
    leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.der
    leftsendcert=always
    right=%any
    rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
    rightdns=8.8.8.8,2001:4860:4860::8888

conn IPSec-IKEv2
    keyexchange=ikev2
    auto=add

Как правильно настроить VPN-туннель в OS X 10.11.5 и iOS 10 с теми же сертификатами, которые используются в Windows и Android?

Как оказалось, мне нужно было использовать Apple Configurator чтобы создать профиль VPN, чтобы я мог настроить криптографию для использования DH Group 2 и 3DES.

Мне также пришлось изменить Remote ID к FQDN VPN-сервера, как указано в сертификате Common Name. OS X проигнорировала Subject Alternative Name (SAN).

Однако, хотя теперь я могу установить соединение с VPN, я не могу проходить через него трафик.

Поскольку этот вопрос не имеет отношения к этому, я разместил еще один вопрос по адресу: https://apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os-x-10-11-5