Depois de muitos dias pesquisando no Google, por meio do Serverfault e até mesmo no site StrongSwan, não obtive êxito ao tentar fazer com que o StrongSwan IPSec / IKEv2 VPN funcionasse no OS X 10.11.5 e no iOS 10. Tive muito êxito para que ele funcione no Windows 10 Pro Insider Preview e no Android - nenhum dos dois é relevante para meus planos de viagem, onde só terei um notebook Mac e dispositivos iOS 10.
Eu tenho dois servidores VPN StrongSwan - um em Londres e outro em San Francisco, ambos com configurações quase idênticas.
Tendo seguido o link , consegui configurar rapidamente os dois servidores e emitir um único certificado de cliente para o Windows 10 Pro Insider Preview e Android. No entanto, quando copio as p12s dos dois servidores para o OS X e o iOS para criar as VPNs, sou confrontado com questões que não obtive com os outros dois sistemas operacionais.
Eu posso encontrar uma resposta definitiva sobre o que é um " Remote ID
" e " Local ID
" e como isso se relaciona comigo ao estabelecer uma conexão autenticada baseada em certificado para o VPN SwanStrong Servidor?
Pelo pouco que consegui encontrar, aprendi o seguinte:
-
Local ID
deve corresponder ao CN
ou SAN
especificado no certificado (por exemplo, [email protected]
)
-
Remote ID
é exigido pelo OS X e pelo iOS, mas não tenho ideia do que colocar nesse campo de entrada
- Diferentemente do Windows e do Android, que se conectam perfeitamente à criptografia, o OS X e o iOS ficam presos em "Conectando" ou alternam rapidamente para "Desconectar" perpetuamente
Esta é uma das configurações do servidor StrongSwan (aquela em que eu testei):
# ipsec.conf - strongSwan IPsec configuration file
config setup
charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
conn %default
keyexchange=ikev2
ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
dpdaction=clear
dpddelay=300s
authby=pubkey
left=%any
leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.der
leftsendcert=always
right=%any
rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
rightdns=8.8.8.8,2001:4860:4860::8888
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
Como posso provisionar corretamente o túnel VPN no OS X 10.11.5 e no iOS 10 com os mesmos certificados usados pelo Windows e pelo Android?