Frage Wie richte ich strongswan oder openswan für reines IPSEC mit iPhone Client ein?


Ich habe Probleme, konkrete, aktuelle Informationen darüber zu finden, wie ich Strongswan oder Openswan für den VPN-Client des iPhones einrichten kann. Mein Server ist hinter einem kostengünstigen Linksys-NAT-Router.

ich fand diese, aber es gibt eine ganze Reihe von .pem-Dateien, die keinen Hinweis darauf enthalten, wie sie erstellt werden. Leider waren die "guten" Handbücher für beide Pakete ziemlich unergründlich und unfreundlich gegenüber einem Anfänger. Ich habe OpenVPN schon einmal eingerichtet und es gelang mir sehr schnell brauchbare Ergebnisse zu bekommen, aber nach anderthalb Tagen, in denen ich nicht mehr in der Lage bin, Dokumente zu lesen, weiß ich kaum, wo ich anfangen soll.

Jede Hilfe würde sehr geschätzt werden!


21
2017-12-14 11:37


Ursprung




Antworten:


Hilft das?
Grüße, Willem M. Poort

StrongSwan mini Howto Debian 5

install strongswan + openssl
apt-get install strongswan openssl

Erstellen Sie Ihre CA-Datei:

cd /etc/ipsec.d
openssl req -x509 -days 3650 -newkey rsa:2048 -keyout \
private/strongswanKey.pem -out cacerts/strongswanCert.pem
cp cacerts/strongswanCert.pem certs/

Wenn Sie bevorzugen, dass die CA-Zertifikate im binären DER-Format vorliegen, wird diese Transformation mit folgendem Befehl ausgeführt:

openssl x509 -in cacerts/strongswanCert.pem -outform DER -out \ 
cacerts/strongswanCert.der

Bearbeiten /etc/ssl/openssl.conf(/usr/lib/ssl/openssl.cnf ist ein Symlink):

nano -w /usr/lib/ssl/openssl.cnf

Ändern Sie die Parameter so, dass sie in Ihre Strongswan-Umgebung passen.

[ CA_default ] 

dir     = /etc/ipsec.d              # Where everything is kept 
certificate = $dir/cacerts/strongswanCert.pem       # The CA certificate 

private_key = $dir/private/strongswanKey.pem        # The private key 

Erstelle fehlende DIR und Dateien:

mkdir newcerts
touch index.txt
echo “00” > serial

Generieren Sie ein Benutzerzertifikat:

openssl req -newkey rsa:1024 -keyout private/hostKey.pem \
    -out reqs/hostReq.pem

Unterschreiben Sie es für zwei Jahre:

openssl ca -in reqs/hostReq.pem -days 730 -out \
    certs/hostCert.pem -notext

Normalerweise benötigt ein Windows-basierter VPN-Client seinen privaten Schlüssel, sein Host- oder Benutzerzertifikat und das CA-Zertifikat. Die einfachste Möglichkeit, diese Informationen zu laden, besteht darin, alles in eine PKCS # 12-Datei zu schreiben:

openssl pkcs12 -export -inkey private/hostKey.pem \
    -in certs/hostCert.pem  \
    -name "host" \ 
    -certfile cacerts/strongswanCert.pem \
    -caname "strongSwan Root CA" \
    -out host.p12

Bearbeiten /etc/ipsec.secrets:

:RSA strongswanKey.pem “pempassword”
:XAUTH user "secret"

Bearbeiten /etc/ipsec.conf:

config setup
    plutodebug=none
    uniqueids=yes
    nat_traversal=yes
    interfaces="%defaultroute"

conn %default
    authby=rsasig
    leftrsasigkey=%cert
    rightrsasigkey=%cert
    keyingtries=1
    keylife=20m
    ikelifetime=240m

conn iphone
    auto=add
    dpdaction=clear
    authby=xauthrsasig
    xauth=server
    pfs=no
    leftcert=strongswanCert.pem
    left=<serverip>
    leftsubnet=0.0.0.0/0
    right=%any
    rightsourceip=<virtual client ip>   #local VPN virtual subnet
    rightcert=hostCert.pem

Auf dem iPhone

  1. Importieren Sie das iPhone-Client-Zertifikat im p12-Format
  2. Importieren Sie das CA-Zertifikat im PEM-Format
  3. Konfigurieren Sie ein IPSEC-VPN mit dem iphone-client-Zertifikat und verwenden Sie als Server den DNS-Namen (DynDNS-Name). Es muss identisch sein mit dem im Server-Zertifikat

Um die Zertifikate auf Ihrem iPhone zu importieren, mailen Sie sie einfach an sich selbst! Beim Erstellen der IPSec-VPN auf Ihrem iPhone können Sie das Zertifikat auswählen.

Beachten Sie, dass Sie Iptables einrichten müssen, wenn Sie NAT möchten. (Schauen Sie in fwbuilder)


23
2017-12-22 12:25



+1 Brillant. Ich schaue mir das an, wenn ich etwas Zeit für den Urlaub habe und zu dir zurückkomme. Vielen Dank für die Hilfe. - Shabbyrobe
Hi, tnx Willem M. Poort, ich habe mit deinem Mini-Howto versucht, mein iPhone und meinen VPN-Server mit ubuntu 10.10 zu verbinden, aber etwas ist schief gelaufen ... hast du einen spezifischeren Leitfaden oder einen Link, den du vorschlagen solltest? tnx wieder! Fabio
sehr gut danke! - mo01