Мне не удается найти конкретную актуальную информацию о том, как настроить strongswan или openswan для использования клиентом VPN на iphone. Мой сервер находится за бюджетным NAT-маршрутизатором Linksys.
я нашел этот, но в нем упоминается целая куча файлов .pem без указания того, как их создавать. К сожалению, "прекрасные" руководства для обоих пакетов были довольно непостижимыми и недружелюбными для новичков. Я настраивал OpenVPN раньше, и мне удалось очень быстро получить приемлемые результаты, но после полутора дней чтения устаревшей документации я даже не знаю, с чего начать.
Любая помощь будет принята с благодарностью!
Это помогает?
С уважением, Виллем М. Поорт
install strongswan + openssl
apt-get install strongswan openssl
Создайте свой файл CA:
cd /etc/ipsec.d
openssl req -x509 -days 3650 -newkey rsa:2048 -keyout \
private/strongswanKey.pem -out cacerts/strongswanCert.pem
cp cacerts/strongswanCert.pem certs/
Если вы предпочитаете, чтобы сертификаты CA были в двоичном формате DER, это преобразование выполняется следующей командой:
openssl x509 -in cacerts/strongswanCert.pem -outform DER -out \
cacerts/strongswanCert.der
редактировать /etc/ssl/openssl.conf(/usr/lib/ssl/openssl.cnf символическая ссылка):
nano -w /usr/lib/ssl/openssl.cnf
Измените параметры, чтобы они соответствовали вашей среде strongswan.
[ CA_default ]
dir = /etc/ipsec.d # Where everything is kept
certificate = $dir/cacerts/strongswanCert.pem # The CA certificate
private_key = $dir/private/strongswanKey.pem # The private key
Создайте отсутствующий DIR и файлы:
mkdir newcerts
touch index.txt
echo “00” > serial
Создайте сертификат пользователя:
openssl req -newkey rsa:1024 -keyout private/hostKey.pem \
-out reqs/hostReq.pem
Подпишите на два года:
openssl ca -in reqs/hostReq.pem -days 730 -out \
certs/hostCert.pem -notext
Обычно клиенту VPN на базе Windows требуются его закрытый ключ, сертификат хоста или пользователя и сертификат CA. Самый удобный способ загрузить эту информацию - поместить все в файл PKCS # 12:
openssl pkcs12 -export -inkey private/hostKey.pem \
-in certs/hostCert.pem \
-name "host" \
-certfile cacerts/strongswanCert.pem \
-caname "strongSwan Root CA" \
-out host.p12
редактировать /etc/ipsec.secrets:
:RSA strongswanKey.pem “pempassword”
:XAUTH user "secret"
редактировать /etc/ipsec.conf:
config setup
plutodebug=none
uniqueids=yes
nat_traversal=yes
interfaces="%defaultroute"
conn %default
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
keyingtries=1
keylife=20m
ikelifetime=240m
conn iphone
auto=add
dpdaction=clear
authby=xauthrsasig
xauth=server
pfs=no
leftcert=strongswanCert.pem
left=<serverip>
leftsubnet=0.0.0.0/0
right=%any
rightsourceip=<virtual client ip> #local VPN virtual subnet
rightcert=hostCert.pem
Чтобы импортировать сертификаты на свой iphone, просто отправьте их себе по электронной почте! При создании ipsec vpn на вашем iphone вы можете выбрать сертификат.
Имейте в виду, что вам необходимо настроить iptables, если вы хотите использовать NAT. (Загляните в fwbuilder)