我正在寻找使用 IKEv2 VPN 的配置说明pre-shared keys(certs我认为这些是隧道加密的不同方法?)。
我已经关注这个精彩的教程使 IKEv2 VPN 工作(使用certificate)并且它可以工作。
我的问题是需要改变什么才能使用PSK?我假设在/etc/ipsec.secrets和中/etc/ipsec.conf需要进行更改。
我现在的ipsec.conf样子是这样的:
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_name_or_ip
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
rightsendcert=never
eap_identity=%identity
更新:根据我的修改和@ChandanK 的回答,我制作了两个脚本,用于在全新安装的 Ubuntu 16.04 上部署 StrongSwan VPN 服务器:https://github.com/truemetal/ikev2_vpn
答案1
假设您想用 psk 设置右侧。这相当容易。
1. remove eap_identity and rightsendcert fields. 2. set rightauth=secret
现在编辑 /etc/ipsec.secrets 文件:
1. remove "your_username %any% : EAP "your_password"" line. 2. add ": PSK <your_password>"
然后重新读取秘密并重新启动服务。
$sudo ipsec rereadsecrets $sudo ipsec reload $sudo ipsec restart
全部设置完毕。按照“从 iOS 连接”操作,创建一个新的 ikev2 vpn 连接。在身份验证设置中选择无并输入共享密钥。希望您能连接。
编辑:
根据评论,切换到预共享密钥认证需要进行配置更改:
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_name_or_ip
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
authby=secret
从 ipsec.secrets 中删除以下行:
server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem
然后重新读取秘密并重新启动服务。
答案2
根据我的修改和@ChandanK 的回答,我制作了两个脚本,用于在全新安装的 Ubuntu 16.04 上部署 StrongSwan VPN 服务器:https://github.com/truemetal/ikev2_vpn