web-dev-qa-db-fra.com

Comment configurer StrongSwan IKEv2 VPN avec PSK (clé pré-partagée)?

Je recherche des instructions de configuration pour le VPN IKEv2 qui utilise pre-shared keys au lieu de certs (ce sont des méthodes différentes de chiffrement de tunnel, je suppose?).

J'ai suivi ce merveilleux tutoriel pour faire fonctionner le VPN IKEv2 (avec certificate) et ça marche.

Ma question est ce qui doit être changé pour qu'il utilise à la place PSK? Je suppose que les changements dans /etc/ipsec.secrets et /etc/ipsec.conf doivent être faites.

Mon actuel ipsec.conf ressemble à ça:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    rightsendcert=never
    eap_identity=%identity

UPD: Sur la base de ma réponse de bricolage et @ChandanK, j'ai fait deux scripts pour déployer un serveur VPN StrongSwan sur une nouvelle installation d'Ubuntu 16.04 ici: - https://github.com/truemetal/ikev2_vpn

6
Dannie P

En supposant que vous souhaitez configurer votre côté droit avec psk. C'est assez simple.

1. remove eap_identity and rightsendcert fields. 2. set rightauth=secret

Maintenant éditez le fichier /etc/ipsec.secrets:

1. remove "your_username %any% : EAP "your_password"" line. 2. add ": PSK <your_password>"

Relisez ensuite les secrets et redémarrez le service.

$Sudo ipsec rereadsecrets $Sudo ipsec reload $Sudo ipsec restart

Tout est prêt. Suivez "Connexion à partir d'iOS" et créez une nouvelle connexion vpn ikev2. Dans les paramètres d'authentification, sélectionnez Aucun et mettez la clé secrète partagée. J'espère que vous vous connectez.

Modifier:

Sur la base des commentaires, les modifications de configuration requises pour passer à l'authentification par clé pré-partagée:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_name_or_ip
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.10.10.0/24
    authby=secret

Supprimez la ligne suivante de ipsec.secrets:

server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem

Relisez ensuite les secrets et redémarrez le service.

7
ChandanK

Sur la base de ma bricolage et de ma réponse @ChandanK, j'ai créé deux scripts pour déployer un serveur VPN StrongSwan sur une nouvelle installation d'Ubuntu 16.04 ici: https://github.com/truemetal/ikev2_vpn

2
Dannie P