LINUX.ORG.RU

Strongswan ikev2 авторизация по паролю и/или по сертификату

 


0

2

Доброе утро. Я нуб, но хочу иметь свою vpn на vps:) Собственно, она есть strongswan на ubuntu 18.04. Для полного счастья не хватает только одного. Сервер настроен так, что авторизация происходит по сертификату. Порой меня просят поделиться vpn. Можно ли добавить опцию авторизации по связке логин-пароль, без сертификатов? Конфиг выглядит так: include /var/lib/strongswan/ipsec.conf.inc

config setup

    uniqueids=never
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default

    keyexchange=ikev2
    ike=aes128gcm16-sha2_256-prfsha256-ecp256!
    esp=aes128gcm16-sha2_256-ecp256!
    fragmentation=yes
    rekey=no
    compress=yes
    dpdaction=clear
    left=%any
    leftauth=pubkey
    leftsourceip=my_IP
    leftid=my_IP
    leftcert=debian.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightauth=pubkey
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4

conn ikev2-pubkey auto=add

Не нашёл спойлер, прошу прощения:(



Последнее исправление: user2479 (всего исправлений: 4)
Ответ на: комментарий от anonymous

это куда дольше, чем вбить логин-пароль в секреты) или так в принципе нельзя?

user2479
() автор топика
Ответ на: комментарий от user2479

Предполагаю, что вы не перезапустили демон. Еще лучше так сделать:

conn ikev2-mschapv2
    rightauth=eap-mschapv2
    eap_identity=%identity
    auto=add
ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

я пробую в андроиде тип - ikev2 eap (логин-пароль) ipsec restart делал на сервере не работает, те же сообщения в логе. что я не так делать могу?(

user2479
() автор топика
Ответ на: комментарий от ValdikSS

Конфиг вот такой: include /var/lib/strongswan/ipsec.conf.inc config setup

    uniqueids=never
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" 

conn %default

    keyexchange=ikev2
    ike=aes128gcm16-sha2_256-prfsha256-ecp256!
    esp=aes128gcm16-sha2_256-ecp256!
    fragmentation=yes
    rekey=no
    compress=yes
    dpdaction=clear
    left=%any
    leftauth=pubkey
    leftsourceip=92.38.184.145
    leftid=92.38.184.145
    leftcert=debian.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightauth=pubkey
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4

conn ikev2-mschapv2

	rightauth=eap-mschapv2
	eap_identity=%identity
	auto=add

conn ikev2-pubkey auto=add

user2479
() автор топика
Ответ на: комментарий от anonymous

к слову, не получается. генерирую с помощью ipsec pki на сервере, для клиента андроид - там же через openssl pkcs. поменял названия сертификатов, но полученный .p12 работает только на одном устройстве - том же, где был установлен первый сертификат. второй работает там и после удаления первого. но только там… пробую на другом смарте - отлуп. как правильно генерировать дополнительные?

user2479
() автор топика
Ответ на: комментарий от user2479

У Вас клиенты пытаются проверить сервер с помощью корневого сертификата, которого у них нет. Что бы сертификаты не использовались вообще подключение должно выглядеть так:

conn ikev2-mschapv2
    leftauth=eap-mschapv2
    rightauth=eap-mschapv2
    auto=route
korsar182
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.