Вопросы Теги

How to configure StrongSwan IKEv2 VPN with PSK (pre-shared key)?

I'm looking for a configuration instructions for IKEv2 VPN that uses pre-shared keys instead of certs (those are different methods for tunnel encryption I'd assume?).

I've followed this wonderful tutorial to get IKEv2 VPN working (with certificate) and it works.

My question is what needs to be changed so that it would use PSK instead? I'd assume changes in /etc/ipsec.secrets and /etc/ipsec.conf are to be made.

My current ipsec.conf looks like this:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    rightsendcert=never
    eap_identity=%identity

UPD: Based on my tinkering and @ChandanK answer, I've made two scripts to deploy a StrongSwan VPN server on a fresh Ubuntu 16.04 install here: https://github.com/truemetal/ikev2_vpn

6
задан 31 May 2018 в 14:26
2 ответа

Предполагая, что вы хотите настроить правую часть с помощью psk. Это довольно просто.

1. удалите поля eap_identity и rightsendcert. 2. установите rightauth = secret

Теперь отредактируйте файл /etc/ipsec.secrets:

1. удалить строку "your_username% any%: EAP" your_password "". 2. добавьте «: PSK <ваш_пароль>»

Затем перечитайте секреты и перезапустите службу.

$ sudo ipsec rereadsecrets $ sudo ipsec перезагрузка $ sudo ipsec restart

Все готово. Следуйте «Подключение с iOS» и создайте новое vpn-соединение ikev2. В настройках аутентификации выберите none и введите общий секретный ключ. Надеюсь, вы подключитесь.

Изменить:

На основании комментариев, изменения конфигурации, необходимые для переключения на аутентификацию с предварительным общим ключом: 

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    authby=secret

Удалите следующую строку из ipsec.secrets:

server_name_or_ip: RSA "/ etc /ipsec.d/private/vpn-server-key.pem

Затем перечитайте секреты и перезапустите службу.

7
ответ дан 3 December 2019 в 00:18

На основании моих экспериментов и ответа @ChandanK я сделал два сценария для развертывания VPN-сервера StrongSwan на свежей версии Ubuntu 16.04, установленной здесь: https://github.com/ truemetal / ikev2_vpn

2
ответ дан 3 December 2019 в 00:18

Теги

Похожие вопросы