sudo apt-get install strongswan strongswan-pki strongswan strongswan-plugin-eap-mschapv2 strongswan-plugin-xauth-generic
跟据不同系统版本要安装的软件包有差异,但是第一个肯定是要装的
eap-mschapv2认证也是需要服务器证书的,不需要客户端证书,但也需要服务器证书所用的CA证书在客户端信任列表中,如果是自签名证书一定要信任CA,网上说的免证书有误导人之嫌,我配置的时候绕了很大圈。只有用信任CA签发服务器证书才可以真正在客户端免证书。
首先生成所需证书
ipsec pki --gen > caKey.der
ipsec pki --self --in caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --ca > caCert.der
ipsec pki --gen > serverKey.der
ipsec pki --pub --in serverKey.der | ipsec pki --issue --cacert caCert.der --cakey caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --san 192.168.5.105 --flag serverAuth --flag ikeIntermediate > serverCert.der
CN和san后面也可以是域名或计算机名
安装证书
CA证书,CA证书同时也要安装到客户端的信任根证书列表中,不然连接VPN时出现13801错误:IKE身份验证凭证不可接受
sudo cp caCert.der /etc/ipsec.d/cacerts/
服务器证书
sudo cp serverCert.der /etc/ipsec.d/certs/
私钥
sudo cp serverKey.der /etc/ipsec.d/private/
配置ipsec.conf
conn ikev2_mschapv2
type=tunnel
keyexchange=ikev2
left=192.168.5.105
leftid=192.168.5.105
leftauth=pubkey
leftcert=serverCert.der
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=eap-mschapv2
eap_identity=%any
rightsourceip=192.168.7.0/24
rightsendcert=never
rightdns=8.8.4.4,114.114.114.114
mobike=yes
auto=add
/etc/ipsec.secrets
: RSA serverKey.der
test %any : EAP "12345678"
ipsec restart
客户端安装CA证书,把caCert.der安装到windows的信任根证书里面,iphone需要用邮件附件发送或放到http服务器上打开安装
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/956.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~