配置StrongSwan支持ios9 ikev2免證書登錄


ios9上有個ikev1,還有個ikev2,前文雖然支持ikev1,但是不支持ikev2,出於程序員的天性雜家覺得不得勁了。經過一番努力終於搞定了支持ikev2的配置方法。本文前提是基於前文使用鏈接的腳本成功跑通了ikev1. 因為個別vps上可能遇到麻煩,因為路由iptables的問題導致ikev1連不上,所以最好一步一步好。ikev1能連上的情況下,不用擔心路由的問題,只需修改/usr/local/etc/ipsec.conf文件里的以windows為標識的字段如下:

conn windows7
    keyexchange=ikev2
    ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!
    esp=aes256-sha256,3des-sha1,aes256-sha1!


    rekey=no
    left=%defaultroute
    leftid=yourip
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    leftcert=server.cert.pem


    right=%any
    rightauth=eap-mschapv2
    rightsourceip=10.31.2.0/24
    rightsendcert=never
    eap_identity=%any
    dpdaction=clear
    fragmentation=yes
    auto=add

幾點說明:

1,請將leftid 右邊的yourip換成自己的vps ip。 此處有人說寫域名,但是我的vps沒有綁定域名,有人說寫 CN即生成證書的Common Name,經我試驗都是扯淡。

2,關於conn windows7,這僅僅是個標識,后面的windows7可以換成任何民字。有終端連上后,ipsec status查到的會顯示終端是什么類型的,就對應這里的標簽。

3,配置的關鍵在前三句,即ike和esp這兩處,這里是支持win7,ios,OSX的。iOS支持的IKE為aes256-sha256-modp1024,OS X為3des-sha1-modp1024,Win7為aes256-sha1-modp1024。注意ESP的順序與IKE的一致。

4,配置里的left對應服務器端,right對應客戶端,rightauth務必寫eat-mschapv2, rightsendcert寫never.這樣就可以不用證書了。

5,rightsourceip后面的值要根據自己iptables而定,兩者要匹配。如果配置里使用的其他的ip范圍,此處與之保持一致即可。

6,ios9上的使用ikev2方法參考鏈接,即只需要輸入 服務器/遠程ID,用戶鑒定選擇“用戶名”,用戶名/密碼就ok了。服務器和遠程ID都寫vps的公網ip。


參考:

1,http://linsir.org/post/how_to_install_IPSec_IKEV2_base_on_strongswan_with_CentOS7

2,https://maskray.me/blog/2015-12-31-strongswan



注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com