Vpn

OS X 10.11 和 iOS 10 客戶端上的 Strongswan IKEv2 VPN

  • September 19, 2016

在 Google、Serverfault 甚至 StrongSwan 網站上搜尋了很多天后,我試圖讓 StrongSwan IPSec/IKEv2 VPN 在 OS X 10.11.5 和 iOS 10 上執行都沒有成功。我非常成功地得到它在 Windows 10 Pro Insider Preview 和 Android 上工作——這兩者都與我只有 Mac 筆記本和 iOS 10 設備的旅行安排無關。

我設置了兩台 StrongSwan VPN 伺服器——一台在倫敦,一台在舊金山,兩者的配置幾乎相同。

遵循https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html後,我能夠快速設置兩個伺服器並為 Windows 10 Pro Insider Preview 和 Android 頒發單個客戶端證書。但是,當我將兩台伺服器的 p12 複製到 OS X 和 iOS 以創建 VPN 時,我遇到的問題是我沒有得到其他兩個作業系統的內容。

我似乎可以找到關於什麼是“ Remote ID”和“ ”的明確答案,Local ID這與我建立基於證書的身份驗證連接到 SwanStrong VPN 伺服器有何關係?

從我所能找到的一點點中,我學到了以下內容:

  • Local ID必須與證書中指定的CNor匹配SAN(即example@example.com
  • Remote IDOS X 和 iOS 都需要,但我不知道在這個輸入欄位中輸入什麼
  • 與通過加密無縫連接的 Windows 和 Android 不同,OS X 和 iOS 都卡在“正在連接”或將快速循環到永久“斷開連接”

這是 StrongSwan 伺服器配置之一(我一直在測試的那個):

# ipsec.conf - strongSwan IPsec configuration file

config setup
   charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
   keyexchange=ikev2
   ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
   esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
   dpdaction=clear
   dpddelay=300s
   authby=pubkey
   left=%any
   leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
   leftsubnet=0.0.0.0/0
   leftcert=vpnHostCert.der
   leftsendcert=always
   right=%any
   rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
   rightdns=8.8.8.8,2001:4860:4860::8888

conn IPSec-IKEv2
   keyexchange=ikev2
   auto=add

如何使用 Windows 和 Android 使用的相同證書在 OS X 10.11.5 和 iOS 10 上正確配置 VPN 隧道?

事實證明,我需要使用Apple Configurator來創建 VPN 配置文件,以便我可以將加密設置為使用DH Group 23DES.

我還必須更改VPN 伺服器Remote IDFQDN,因為它列在證書的Common Name. OS X 忽略了Subject Alternative Name (SAN).

然而,雖然我現在可以建立到 VPN 的連接,但我無法通過它遍歷流量。

由於該問題與此無關,我在以下位置發布了另一個問題:https ://apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os-x-10 -11-5

引用自:https://serverfault.com/questions/803801