OS X 10.11 和 iOS 10 客戶端上的 Strongswan IKEv2 VPN
在 Google、Serverfault 甚至 StrongSwan 網站上搜尋了很多天后,我試圖讓 StrongSwan IPSec/IKEv2 VPN 在 OS X 10.11.5 和 iOS 10 上執行都沒有成功。我非常成功地得到它在 Windows 10 Pro Insider Preview 和 Android 上工作——這兩者都與我只有 Mac 筆記本和 iOS 10 設備的旅行安排無關。
我設置了兩台 StrongSwan VPN 伺服器——一台在倫敦,一台在舊金山,兩者的配置幾乎相同。
遵循https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html後,我能夠快速設置兩個伺服器並為 Windows 10 Pro Insider Preview 和 Android 頒發單個客戶端證書。但是,當我將兩台伺服器的 p12 複製到 OS X 和 iOS 以創建 VPN 時,我遇到的問題是我沒有得到其他兩個作業系統的內容。
我似乎可以找到關於什麼是“
Remote ID”和“ ”的明確答案,Local ID這與我建立基於證書的身份驗證連接到 SwanStrong VPN 伺服器有何關係?從我所能找到的一點點中,我學到了以下內容:
Local ID必須與證書中指定的CNor匹配SAN(即example@example.com)Remote IDOS X 和 iOS 都需要,但我不知道在這個輸入欄位中輸入什麼- 與通過加密無縫連接的 Windows 和 Android 不同,OS X 和 iOS 都卡在“正在連接”或將快速循環到永久“斷開連接”
這是 StrongSwan 伺服器配置之一(我一直在測試的那個):
# ipsec.conf - strongSwan IPsec configuration file config setup charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" conn %default keyexchange=ikev2 ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$ esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$ dpdaction=clear dpddelay=300s authby=pubkey left=%any leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net leftsubnet=0.0.0.0/0 leftcert=vpnHostCert.der leftsendcert=always right=%any rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112 rightdns=8.8.8.8,2001:4860:4860::8888 conn IPSec-IKEv2 keyexchange=ikev2 auto=add如何使用 Windows 和 Android 使用的相同證書在 OS X 10.11.5 和 iOS 10 上正確配置 VPN 隧道?
事實證明,我需要使用
Apple Configurator來創建 VPN 配置文件,以便我可以將加密設置為使用DH Group 2和3DES.我還必須更改VPN 伺服器
Remote ID的FQDN,因為它列在證書的Common Name. OS X 忽略了Subject Alternative Name (SAN).然而,雖然我現在可以建立到 VPN 的連接,但我無法通過它遍歷流量。
由於該問題與此無關,我在以下位置發布了另一個問題:https ://apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os-x-10 -11-5