使用strongswan建立基于ikev2 eap-mschapv2的ipsec服务器

sudo apt-get install strongswan strongswan-pki strongswan strongswan-plugin-eap-mschapv2 strongswan-plugin-xauth-generic

跟据不同系统版本要安装的软件包有差异，但是第一个肯定是要装的

eap-mschapv2认证也是需要服务器证书的，不需要客户端证书，但也需要服务器证书所用的CA证书在客户端信任列表中，如果是自签名证书一定要信任CA，网上说的免证书有误导人之嫌，我配置的时候绕了很大圈。只有用信任CA签发服务器证书才可以真正在客户端免证书。

首先生成所需证书

ipsec pki --gen > caKey.der

ipsec pki --self --in caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --ca > caCert.der

ipsec pki --gen > serverKey.der

ipsec pki --pub --in serverKey.der | ipsec pki --issue --cacert caCert.der --cakey caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --san 192.168.5.105 --flag serverAuth --flag ikeIntermediate > serverCert.der

CN和san后面也可以是域名或计算机名

安装证书

CA证书，CA证书同时也要安装到客户端的信任根证书列表中，不然连接VPN时出现13801错误:IKE身份验证凭证不可接受

sudo cp caCert.der /etc/ipsec.d/cacerts/

服务器证书

sudo cp serverCert.der /etc/ipsec.d/certs/

私钥

sudo cp serverKey.der /etc/ipsec.d/private/

配置ipsec.conf

conn ikev2_mschapv2

type=tunnel

keyexchange=ikev2

left=192.168.5.105

leftid=192.168.5.105

leftauth=pubkey

leftcert=serverCert.der

leftsendcert=always

leftsubnet=0.0.0.0/0

right=%any

rightauth=eap-mschapv2

eap_identity=%any

rightsourceip=192.168.7.0/24

rightsendcert=never

rightdns=8.8.4.4,114.114.114.114

mobike=yes

auto=add

/etc/ipsec.secrets

: RSA serverKey.der

test %any : EAP "12345678"

ipsec restart

客户端安装CA证书，把caCert.der安装到windows的信任根证书里面，iphone需要用邮件附件发送或放到http服务器上打开安装

ikev2配置主要还是证书问题比较多，另外就是低版本的系统上默认不支持Eap-mschapv2,需要另外安装软件包

 ikev2用rightsourceip可以给客户端分配虚拟ip，与pptp,l2tp不同的是只客户端有虚拟ip，服务端是没有的

参考

https://wiki.strongswan.org/projects/strongswan/wiki/AppleClients

https://wiki.strongswan.org/projects/strongswan/wiki/Win7CertReq

https://wiki.strongswan.org/projects/strongswan/wiki/VirtualIP