目标
我正在尝试使用带有 Let's Encrypt 证书和 RSA 身份验证的 strongswan IPSEC 实现构建 IKEv2 VPN。我成功地以旧版 ipsec.conf 格式构建了它,但新的 swanctl.conf 格式对我来说更加困难。
我认为问题在于我的 VPN 将联系 let's Encrypt 服务器来验证证书。VPN 成功验证了客户端,但客户端不会接受隧道,因为证书被视为无效。
iOS 客户端控制台日志错误https://i.stack.imgur.com/H57nO.png
守护进程启动时的系统日志
尝试连接的客户端上的系统日志:
请注意,服务器对客户端进行身份验证
swanctl.conf
connections {
ikev2-pubkey {
version = 2
proposals = aes256-sha1-modp1024,aes128-sha1-modp1024,aes256-
sha256-modp2048,default
rekey_time = 0s
pools = primary-pool-ipv4, primary-pool-ipv6
fragmentation = yes
dpd_delay = 30s
send_cert=always
local-1 {
auth = pubkey
certs = <path>fullchain.pem
id = <my_id>
}
remote-1 {
# defaults are fine
auth = pubkey
}
children {
ikev2-pubkey {
local_ts = 0.0.0.0/0,::/0
rekey_time = 0s
dpd_action = clear
esp_proposals = aes256-sha256,aes256-sha1,3des-sha1,default
}
}
}
你能帮助我吗?
编辑1
Linux 控制台过去显示“错误,未找到合适的捕获器”。因此,我随后将 curl 安装为插件并从源代码重新编译。该错误已消失,但此错误仍然存在。
编辑2 添加服务器配置、守护进程启动的系统日志并尝试建立隧道