OS X 10.11 和 iOS 10 客户端上的 Strongswan IKEv2 VPN

OS X 10.11 和 iOS 10 客户端上的 Strongswan IKEv2 VPN

经过多日的 Google、Serverfault 甚至 StrongSwan 网站搜索后,我尝试让 StrongSwan IPSec/IKEv2 VPN 在 OS X 10.11.5 和 iOS 10 上运行,但均未成功。我成功让它在 Windows 10 Pro Insider Preview 和 Android 上运行,但这两者都与我的旅行安排无关,因为我只有一台 Mac 笔记本和 iOS 10 设备。

我设置了两个 StrongSwan VPN 服务器 - 一个在伦敦,一个在旧金山,两者的配置几乎相同。

已关注https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html我能够快速设置两台服务器,并为 Windows 10 Pro Insider Preview 和 Android 颁发单个客户端证书。但是,当我将两台服务器的 p12 复制到 OS X 和 iOS 以创建 VPN 时,我遇到了一些问题,而其他两个操作系统则没有这些问题。

我似乎可以找到一个明确的答案,关于什么是“ Remote ID”和“ Local ID”,以及这与我建立基于证书的认证连接到 SwanStrong VPN 服务器?

从我所能找到的少量资料中我了解到以下信息:

  • Local ID必须与证书中指定的相匹配CNSAN[email protected]
  • Remote IDOS X 和 iOS 都需要,但我不知道在这个输入字段中输入什么
  • 与无缝加密连接的 Windows 和 Android 不同,OS X 和 iOS 都卡在“连接”状态或很快循环到“断开连接”状态

这是 StrongSwan 服务器配置之一(我一直在测试的配置):

# ipsec.conf - strongSwan IPsec configuration file

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
    dpdaction=clear
    dpddelay=300s
    authby=pubkey
    left=%any
    leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.der
    leftsendcert=always
    right=%any
    rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
    rightdns=8.8.8.8,2001:4860:4860::8888

conn IPSec-IKEv2
    keyexchange=ikev2
    auto=add

如何使用 Windows 和 Android 使用的相同证书在 OS X 10.11.5 和 iOS 10 上正确配置 VPN 隧道?

答案1

事实证明,我需要使用来Apple Configurator创建 VPN 配置文件,这样我就可以设置要使用的加密DH Group 23DES

我还必须将 更改Remote IDFQDNVPN 服务器的 ,因为它在证书的 中列出Common Name。OS X 忽略了Subject Alternative Name (SAN)

然而,虽然我现在可以建立与 VPN 的连接,但我无法通过它传输流量。

由于该问题与此无关,因此我发布了另一个问题:https://apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os-x-10-11-5

相关内容