LINUX.ORG.RU
решено ФорумGeneral

🤯 Переход c L2TP/IPsec на IKEv2 / Каша в голове

 , , , ,


1

2

Добрый день!

Сейчас использую L2TP/IPsec с Debian & Strongswan на сервере и RouterOS & iOS на клиентах - все работает замечательно. Но ужасно раздражает включать туннель каждый раз в настройках при подключении на iOS. Узнал про возможность создать профиль для поддержки On Demand на iOS или профилировать Always-on VPN через Apple Configurator. Но нет возможности сложить все мысли в кучу, чтобы приступить к задуманному.

1. На чем проще поднимать IKEv2 сервер? Strongswan или Cloud Hosted Router? Cloud Hosted Router поддерживает AES, но по факту пишут и обратное.

2. Не могу понять, какая авторизация нужна для On Demand или Always-on VPN на iOS. Логин-пароль или по сертификату?

3. Если нужен сертификат, то нужна регистрация домена VPS? Let's Encrypt работает просто по IP?

Дайте толчок к реализации задуманного, чувствую переход с L2TP на IKE будет очень болезненным Спасибо за помощь заранее 🤗

fdisk не показывает число секторов на дорожке
Посмотреть процессы на узле

Насчёт сертификата, по идее ты можешь создать самоподписанный корневой сертификат и им подписать сертификат сервера, в этом случае домен не нужен. Let's Encrypt по IP не работает.

А что, Always On через L2TP не работает?

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Я так понимаю, что в IKEv2 реализован бесшовный переход с сотовой сети на Wi-Fi и обратно, а также бесшовный реконнект в случае обрыва связи. А что делать-то с первым вопросом?

linuxorguru
() автор топика

1) Дык у тебя уже есть strongswan, создай ему еще одно подключение с ikev2 и пробуй...

2) ...смотреть в логах, о чем именно пытается с ним договориться яблоустройство при подключении.

3) Вменяемые клиенты умеют принимать самодельные сертификаты, только в стронгсвановской вике глянь, какие OIDы стоит в них добавить.

thesis ★★★★★
()
Ответ на: комментарий от linuxorguru

Не знаю, я пользую IKEv2 через strongswan по машинным сертификатам на Windows и macOS, но оно у меня каждые 3 часа отваливается по непонятной причине (вроде как должно переустанавливать соединение раз в 3 часа, но что-то там не срастается), настройка соединения - тот ещё квест, который к тому же потенциально ослабляет безопасность системы (надо добавлять CA сервера в доверенные сертификаты, которым потом доверяют все приложения, а не только VPN, то бишь владелец VPN-а с самоподписанным сертификатом сможет сделать HTTPS MITM). Как руки дойдут, перееду назад на OpenVPN, для меня это по всем параметрам удобней. Ту ерунду, которую ты хочешь через конфигуратор, через OpenVPN теоретически тоже можно сделать, кстати, хотя я сам не пробовал. Мне кажется, на сотке батарейка будет быстрей садиться с этими VPN-ами, по-мне проще кнопочкой обходиться и включать, когда надо.

Legioner ★★★★★
()

1. Strongswan работает нормально, другие не пробовал.
3. Не нужна. Сертификат делаешь самоподписанный, потом копируешь на клиент. Это даже секьюрнее, т.к. не нужно доверять третьей стороне.

Я настраивал по этой статье:
https://habrahabr.ru/post/250859/
Там всё понятно описано.

Nao ★★★★★
()
Ответ на: комментарий от Legioner

то бишь владелец VPN-а с самоподписанным сертификатом сможет сделать HTTPS MITM

Никто не заставляет вас генерить ключи на VPN-сервере. Сгенерьте их у себя на компьютере и скопируйте нужные на клиент и сервер.

Закрытый ключ CA останется на вашем компе, он ни клиенту, ни серверу не нужен. А без него никто не сможет сгенерить левый сертификат с вашим CA.

Nao ★★★★★
()
Ответ на: комментарий от Nao

Ну это простой вариант с одним клиентом. Я вот другу дал ключ, чтобы он пользовался моим VPN-ом. Я же не буду для него второй сервер пускать с его ключом. Нет, он установил себе мой сертификат как доверенный и я теперь теоретически могу ломать его HTTPS. Поэтому, как раз, letsencrypt тут секьюрней, т.к. теоретически не надо устанавливать дополнительных корневых сертификатов. Но на практике в венду пришлось устанавливать, иначе не работало, на макоси получилось без этого обойтись.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

Нет, он установил себе мой сертификат как доверенный

За все клиентские устройства не скажу, но у меня настраивается так через штатный клиент в Android 4.2:

1. Импортирую бандл p12 с приватным ключом клиента, сертификатом клиента и сертификатом CA
2. Удаляю импортированный сертификат CA из доверенных (вообще не логично что он туда сам добавился).
3. Создаю новое VPN подключение с типом IPsec Xauth RSA
4. Выбираю в полях «Сертификат пользователя» и «Сертификат ЦС» (CA?) то что импортировал ранее.
5. Сертификат сервера не выбираю (сертификат получается с сервера).

Получается что в доверенных у ОС нашего сертификата CA нету, а в соединении он указан и используется для проверки сертификата, который присылает сервер.


В клиенте strongswan просто так настроить не получилось (не даёт выбрать сертификат CA если он не стоит как доверенный в ОС), но вроде можно импортировать сертификаты, ключи и конфиг в само приложение через файлы *.sswan:
https://wiki.strongswan.org/projects/strongswan/wiki/AndroidVPNClientProfiles
Пишут что системное хранилище сертификатов не будет использоваться, я сам этот метод не проверял.

Nao ★★★★★
()
Последнее исправление: Nao (всего исправлений: 1)

Переход с L2TP на IKE это что-то мифическое, т.к. L2TP — это протокол туннелирования, а IKE — протокол обмена ключами.

Если у вас IPsec уже работает, значит с большой вероятностью какой-либо прокотол обмена ключами уже задействован. Так что разберитесь для начала остаётся ли L2TP в целевой конфигурации и чего нового вы ожидаете от перехода на IKEv2 c, предположительно, IKEv1.

unterwulf
()
Ответ на: комментарий от unterwulf

чего нового вы ожидаете от перехода на IKEv2 c, предположительно, IKEv1.

MOBIKE вестимо

Nao ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
fdisk не показывает число секторов на дорожке
General
Посмотреть процессы на узле