web-dev-qa-db-ja.com

PSK(事前共有キー)を使用してStrongSwan IKEv2 VPNを構成する方法

certsではなくpre-shared keysを使用するIKEv2 VPNの構成手順を探しています(これらは、私が想定しているトンネル暗号化のさまざまな方法ですか?)。

私は この素晴らしいチュートリアル に従ってIKEv2 VPNを動作させ(certificateを使用)、動作しました。

私の質問は、代わりにPSKを使用するために何を変更する必要があるかです。 /etc/ipsec.secrets/etc/ipsec.confの変更が行われると思います。

私の現在のipsec.confは次のようになります:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    rightsendcert=never
    eap_identity=%identity

UPD:私のいじくりと@ChandanKの回答に基づいて、StrongSwan VPNサーバーを新しいUbuntu 16.04インストールに展開するための2つのスクリプトを作成しました:- https://github.com/truemetal/ikev2_vpn

6
Dannie P

Pskを使用して右側をセットアップすると仮定します。これはかなり簡単です。

1. remove eap_identity and rightsendcert fields. 2. set rightauth=secret

/etc/ipsec.secretsファイルを編集します。

1. remove "your_username %any% : EAP "your_password"" line. 2. add ": PSK <your_password>"

次に、シークレットを再度読み取り、サービスを再起動します。

$Sudo ipsec rereadsecrets $Sudo ipsec reload $Sudo ipsec restart

準備完了。 「iOSからの接続」に従って、新しいikev2 vpn接続を作成します。認証設定で[なし]を選択し、共有秘密鍵を入力します。うまくいけば、接続します。

編集:

コメントに基づいて、事前共有キー認証に切り替えるために必要な構成変更:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    authby=secret

Ipsec.secretsから次の行を削除します。

server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem

次に、シークレットを再度読み取り、サービスを再起動します。

7
ChandanK

私のいじくりと@ChandanKの回答に基づいて、StrongSwan VPNサーバーを新しいUbuntu 16.04にデプロイするための2つのスクリプトをここに作成しました: https://github.com/truemetal/ikev2_vpn

2
Dannie P