Strongswan VPN IKEv2 em clientes OS X 10.11 e iOS 10

4

Depois de muitos dias pesquisando no Google, por meio do Serverfault e até mesmo no site StrongSwan, não obtive êxito ao tentar fazer com que o StrongSwan IPSec / IKEv2 VPN funcionasse no OS X 10.11.5 e no iOS 10. Tive muito êxito para que ele funcione no Windows 10 Pro Insider Preview e no Android - nenhum dos dois é relevante para meus planos de viagem, onde só terei um notebook Mac e dispositivos iOS 10.

Eu tenho dois servidores VPN StrongSwan - um em Londres e outro em San Francisco, ambos com configurações quase idênticas.

Tendo seguido o link , consegui configurar rapidamente os dois servidores e emitir um único certificado de cliente para o Windows 10 Pro Insider Preview e Android. No entanto, quando copio as p12s dos dois servidores para o OS X e o iOS para criar as VPNs, sou confrontado com questões que não obtive com os outros dois sistemas operacionais.

Eu posso encontrar uma resposta definitiva sobre o que é um " Remote ID " e " Local ID " e como isso se relaciona comigo ao estabelecer uma conexão autenticada baseada em certificado para o VPN SwanStrong Servidor?

Pelo pouco que consegui encontrar, aprendi o seguinte:

  • Local ID deve corresponder ao CN ou SAN especificado no certificado (por exemplo, [email protected] )
  • Remote ID é exigido pelo OS X e pelo iOS, mas não tenho ideia do que colocar nesse campo de entrada
  • Diferentemente do Windows e do Android, que se conectam perfeitamente à criptografia, o OS X e o iOS ficam presos em "Conectando" ou alternam rapidamente para "Desconectar" perpetuamente

Esta é uma das configurações do servidor StrongSwan (aquela em que eu testei):

# ipsec.conf - strongSwan IPsec configuration file

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
    dpdaction=clear
    dpddelay=300s
    authby=pubkey
    left=%any
    leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.der
    leftsendcert=always
    right=%any
    rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
    rightdns=8.8.8.8,2001:4860:4860::8888

conn IPSec-IKEv2
    keyexchange=ikev2
    auto=add

Como posso provisionar corretamente o túnel VPN no OS X 10.11.5 e no iOS 10 com os mesmos certificados usados pelo Windows e pelo Android?

    
por Olivia 18.09.2016 / 09:57

1 resposta

3

Como se constatou, precisei usar o Apple Configurator para criar o perfil da VPN para que eu pudesse definir a criptografia para usar DH Group 2 e 3DES .

Também tive que alterar o Remote ID para o FQDN do servidor VPN, conforme listado no Common Name do certificado. OS X ignorou o Subject Alternative Name (SAN) .

No entanto, embora agora eu possa estabelecer a conexão com a VPN, não consigo percorrer o tráfego sobre ela.

Como essa questão não está relacionada a isso, eu publiquei outra pergunta em: link

    
por 19.09.2016 / 03:38