it-swarm.com.de

Wie konfiguriere ich StrongSwan IKEv2 VPN mit PSK (Pre-Shared Key)?

Ich suche nach einer Konfigurationsanleitung für IKEv2 VPN, die pre-shared keys Anstelle von certs verwendet (dies sind verschiedene Methoden für die Tunnelverschlüsselung, die ich annehmen würde?).

Ich habe dieses wunderbare Tutorial befolgt, um IKEv2 VPN zum Laufen zu bringen (mit certificate) und es funktioniert.

Meine Frage ist, was geändert werden muss, damit stattdessen PSK verwendet wird. Ich würde annehmen, dass Änderungen in /etc/ipsec.secrets Und /etc/ipsec.conf Vorgenommen werden müssen.

Mein aktueller ipsec.conf Sieht folgendermaßen aus:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    [email protected]_name_or_ip
    leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    rightsendcert=never
    eap_identity=%identity

UPD: Basierend auf meiner Bastel- und @ HandanK-Antwort habe ich zwei Skripte erstellt, um einen StrongSwan VPN-Server auf einer neuen Ubuntu 16.04-Installation hier bereitzustellen: - https://github.com/truemetal/ikev2_vpn

6
Dannie P

Angenommen, Sie möchten Ihre rechte Seite mit psk einrichten. Das ist ziemlich einfach.

1. remove eap_identity and rightsendcert fields. 2. set rightauth=secret

Bearbeiten Sie nun die Datei /etc/ipsec.secrets:

1. remove "your_username %any% : EAP "your_password"" line. 2. add ": PSK <your_password>"

Lesen Sie dann die Geheimnisse erneut und starten Sie den Dienst neu.

$Sudo ipsec rereadsecrets $Sudo ipsec reload $Sudo ipsec restart

Alles bereit. Folgen Sie "Verbindung von iOS herstellen" und erstellen Sie eine neue ikev2 vpn-Verbindung. Wählen Sie in den Authentifizierungseinstellungen keine aus und geben Sie den freigegebenen geheimen Schlüssel ein. Hoffentlich verbinden Sie sich.

Edit :

Basierend auf den Kommentaren sind Konfigurationsänderungen erforderlich, um zur Authentifizierung mit vorinstalliertem Schlüssel zu wechseln:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    [email protected]_name_or_ip
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    authby=secret

Entfernen Sie die folgende Zeile aus ipsec.secrets:

server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem

Lesen Sie dann die Geheimnisse erneut und starten Sie den Dienst neu.

7
ChandanK

Basierend auf meiner Bastel- und @ HandanK-Antwort habe ich zwei Skripte erstellt, um einen StrongSwan-VPN-Server auf einer neuen Ubuntu 16.04-Installation hier bereitzustellen: https://github.com/truemetal/ikev2_vpn

2
Dannie P