sudo apt-get install strongswan strongswan-pki strongswan strongswan-plugin-eap-mschapv2 strongswan-plugin-xauth-generic
跟据不同系统版本要安装的软件包有差异,但是第一个肯定是要装的
eap-mschapv2认证也是需要服务器证书的,不需要客户端证书,但也需要服务器证书所用的CA证书在客户端信任列表中,如果是自签名证书一定要信任CA,网上说的免证书有误导人之嫌,我配置的时候绕了很大圈。只有用信任CA签发服务器证书才可以真正在客户端免证书。
首先生成所需证书
ipsec pki --gen > caKey.der
ipsec pki --self --in caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --ca > caCert.der
ipsec pki --gen > serverKey.der
ipsec pki --pub --in serverKey.der | ipsec pki --issue --cacert caCert.der --cakey caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --san 192.168.5.105 --flag serverAuth --flag ikeIntermediate > serverCert.der
CN和san后面也可以是域名或计算机名
安装证书
CA证书,CA证书同时也要安装到客户端的信任根证书列表中,不然连接VPN时出现13801错误:IKE身份验证凭证不可接受
sudo cp caCert.der /etc/ipsec.d/cacerts/
服务器证书
sudo cp serverCert.der /etc/ipsec.d/certs/
私钥
sudo cp serverKey.der /etc/ipsec.d/private/
配置ipsec.conf
conn ikev2_mschapv2
type=tunnel
keyexchange=ikev2
left=192.168.5.105
leftid=192.168.5.105
leftauth=pubkey
leftcert=serverCert.der
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=eap-mschapv2
eap_identity=%any
rightsourceip=192.168.7.0/24
rightsendcert=never
rightdns=8.8.4.4,114.114.114.114
mobike=yes
auto=add
/etc/ipsec.secrets
: RSA serverKey.der
test %any : EAP "12345678"
ipsec restart
客户端安装CA证书,把caCert.der安装到windows的信任根证书里面,iphone需要用邮件附件发送或放到http服务器上打开安装
ikev2配置主要还是证书问题比较多,另外就是低版本的系统上默认不支持Eap-mschapv2,需要另外安装软件包
ikev2用rightsourceip可以给客户端分配虚拟ip,与pptp,l2tp不同的是只客户端有虚拟ip,服务端是没有的
参考
相关推荐
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
该项目包含用于freeRADIUS和wpa_supplicant的库和补丁程序,它们实现草稿-tschofenig-eap-ikev2-12.txt Internet-Draft(http://tools.ietf.org/wg/eap/draft-tschofenig-eap-ikev2 -12.txt)
strongswan使用linux内核的af_alg加密接口配置,IKEv2协议交互报文。
IKEv2协议使用camellia加密算法的协商报文,交互流程。
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
针对IKEv2协议存在的对通信实体的身份保护不足和系统开销大等问题,提出了一种安全高效的改进的IKEv2协议。新协议采用了基于签密的可认证密钥协商来代替D-H密钥交换,在交换秘密信息的同时实现了对协议的发起者与...
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
- **第二阶段**:基于已经建立的IKE SA,为IPSec协商具体的IPSec安全联盟(IPSec SA)。 #### 二、IKE协商过程详解 ##### 2.1 主模式协商 主模式协商是IKE协商的第一种方式,它通过三个交互阶段(共六条消息)来...
由于系统设置默认必须用积分,这个大家可以去strongswan官网下载。官网地址:https://download.strongswan.org/Android/
IKEV2新特性
服务器初始化和MySQL-PHP-Python 3-Redis-Nodejs-Nginx-ikev2自动安装脚本,包括站点管理工具_initServer
配套说明: http://blog.csdn.net/gogoytgo/article/details/79420745
Linux下IKEv1和IKEv2协议的仿真分析.pdf
cisco l2tp hahahahahahahahahahahaahah
给大家分享,英文协议,FC5996.希望大家喜欢
该项目旨在全面实施RFC4306和相关的RFC。 它是作为守护进程执行的,就像针对类Unix操作系统的此类软件的自定义设置一样。 守护程序的主要目标是Linux环境,特别是Fedora Core 5。
在给定的示例中,我们看到两个服务器(Server01和Server02)正在配置IPSec隧道以进行安全通信。以下是一些关键知识点: 1. **strongswan**: `strongswan` 是一个开源的IPSec实现,用于Linux系统,用于创建和管理...
rfc7296 IKEv2 pdf IKEv2 rfc7296 Internet Key Exchange
IPSEC IKEV1报文分析与理解
ipsec源代码的实现,非常流行的strongswan ikev2,lgplliesecs