Como configurar o StrongSwan IKEv2 VPN com PSK (chave pré-compartilhada)?

6

Eu estou procurando por uma configuração de instruções para VPN IKEv2 que usa pre-shared keys em vez de certs (esses são métodos diferentes para criptografia de túnel, eu diria?).

Eu segui este maravilhoso tutorial para que o IKEv2 VPN funcione (com certificate ) e funciona.

Minha pergunta é o que precisa ser alterado para que use PSK ? Eu suponho que as alterações em /etc/ipsec.secrets e /etc/ipsec.conf serão feitas.

Meu atual ipsec.conf é assim:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    rightsendcert=never
    eap_identity=%identity

UPD: Com base no meu conserto e na resposta do @ChandanK, fiz dois scripts para implantar um servidor VPN StrongSwan em uma nova instalação do Ubuntu 16.04 aqui: link

    
por Dannie P 08.08.2017 / 15:40

2 respostas

6

Supondo que você queira configurar seu lado direito com o psk. Isso é bastante fácil.

1. remove eap_identity and rightsendcert fields. 2. set rightauth=secret

Agora edite o arquivo /etc/ipsec.secrets:

1. remove "your_username %any% : EAP "your_password"" line. 2. add ": PSK <your_password>"

Em seguida, releia os segredos e reinicie o serviço.

$sudo ipsec rereadsecrets $sudo ipsec reload $sudo ipsec restart

Tudo pronto. Siga "Conectando a partir do iOS" e crie uma nova conexão ikev2 vpn. Em configurações de autenticação, selecione none e coloque a chave secreta compartilhada. Espero que você se conecte.

Editar:

Com base nos comentários, alterações de configuração necessárias para alternar para a autenticação de chave pré-compartilhada:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    authby=secret

Remova a seguinte linha de ipsec.secrets:

server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem

Em seguida, releia os segredos e reinicie o serviço.

    
por 25.08.2017 / 03:07
2

Com base no meu conserto e na resposta do @ChandanK, fiz dois scripts para implantar um servidor VPN StrongSwan em uma nova instalação do Ubuntu 16.04 aqui: link

    
por 23.01.2018 / 15:02