经过多日的 Google、Serverfault 甚至 StrongSwan 网站搜索后,我尝试让 StrongSwan IPSec/IKEv2 VPN 在 OS X 10.11.5 和 iOS 10 上运行,但均未成功。我成功让它在 Windows 10 Pro Insider Preview 和 Android 上运行,但这两者都与我的旅行安排无关,因为我只有一台 Mac 笔记本和 iOS 10 设备。
我设置了两个 StrongSwan VPN 服务器 - 一个在伦敦,一个在旧金山,两者的配置几乎相同。
已关注https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html我能够快速设置两台服务器,并为 Windows 10 Pro Insider Preview 和 Android 颁发单个客户端证书。但是,当我将两台服务器的 p12 复制到 OS X 和 iOS 以创建 VPN 时,我遇到了一些问题,而其他两个操作系统则没有这些问题。
我似乎可以找到一个明确的答案,关于什么是“ Remote ID
”和“ Local ID
”,以及这与我建立基于证书的认证连接到 SwanStrong VPN 服务器?
从我所能找到的少量资料中我了解到以下信息:
Local ID
必须与证书中指定的相匹配CN
(SAN
即[email protected]
)Remote ID
OS X 和 iOS 都需要,但我不知道在这个输入字段中输入什么- 与无缝加密连接的 Windows 和 Android 不同,OS X 和 iOS 都卡在“连接”状态或很快循环到“断开连接”状态
这是 StrongSwan 服务器配置之一(我一直在测试的配置):
# ipsec.conf - strongSwan IPsec configuration file
config setup
charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
conn %default
keyexchange=ikev2
ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
dpdaction=clear
dpddelay=300s
authby=pubkey
left=%any
leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.der
leftsendcert=always
right=%any
rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
rightdns=8.8.8.8,2001:4860:4860::8888
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
如何使用 Windows 和 Android 使用的相同证书在 OS X 10.11.5 和 iOS 10 上正确配置 VPN 隧道?
答案1
事实证明,我需要使用来Apple Configurator
创建 VPN 配置文件,这样我就可以设置要使用的加密DH Group 2
和3DES
。
我还必须将 更改Remote ID
为FQDN
VPN 服务器的 ,因为它在证书的 中列出Common Name
。OS X 忽略了Subject Alternative Name (SAN)
。
然而,虽然我现在可以建立与 VPN 的连接,但我无法通过它传输流量。
由于该问题与此无关,因此我发布了另一个问题:https://apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os-x-10-11-5