I'm looking for a configuration instructions for IKEv2 VPN that uses pre-shared keys
instead of certs
(those are different methods for tunnel encryption I'd assume?).
I've followed this wonderful tutorial to get IKEv2 VPN working (with certificate
) and it works.
My question is what needs to be changed so that it would use PSK
instead? I'd assume changes in /etc/ipsec.secrets
and /etc/ipsec.conf
are to be made.
My current ipsec.conf
looks like this:
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_name_or_ip
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
rightsendcert=never
eap_identity=%identity
UPD: Based on my tinkering and @ChandanK answer, I've made two scripts to deploy a StrongSwan VPN server on a fresh Ubuntu 16.04 install here: https://github.com/truemetal/ikev2_vpn
Предполагая, что вы хотите настроить правую часть с помощью psk. Это довольно просто.
1. удалите поля eap_identity и rightsendcert.
2. установите rightauth = secret
Теперь отредактируйте файл /etc/ipsec.secrets:
1. удалить строку "your_username% any%: EAP" your_password "".
2. добавьте «: PSK <ваш_пароль>»
Затем перечитайте секреты и перезапустите службу.
$ sudo ipsec rereadsecrets
$ sudo ipsec перезагрузка
$ sudo ipsec restart
Все готово. Следуйте «Подключение с iOS» и создайте новое vpn-соединение ikev2. В настройках аутентификации выберите none и введите общий секретный ключ. Надеюсь, вы подключитесь.
Изменить:
На основании комментариев, изменения конфигурации, необходимые для переключения на аутентификацию с предварительным общим ключом:
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_name_or_ip
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
authby=secret
Удалите следующую строку из ipsec.secrets:
server_name_or_ip: RSA "/ etc /ipsec.d/private/vpn-server-key.pem
Затем перечитайте секреты и перезапустите службу.
На основании моих экспериментов и ответа @ChandanK я сделал два сценария для развертывания VPN-сервера StrongSwan на свежей версии Ubuntu 16.04, установленной здесь: https://github.com/ truemetal / ikev2_vpn