Je recherche des instructions de configuration pour le VPN IKEv2 qui utilise pre-shared keys
au lieu de certs
(ce sont des méthodes différentes de chiffrement de tunnel, je suppose?).
J'ai suivi ce merveilleux tutoriel pour faire fonctionner le VPN IKEv2 (avec certificate
) et ça marche.
Ma question est ce qui doit être changé pour qu'il utilise à la place PSK
? Je suppose que les changements dans /etc/ipsec.secrets
et /etc/ipsec.conf
doivent être faites.
Mon actuel ipsec.conf
ressemble à ça:
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_name_or_ip
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
rightsendcert=never
eap_identity=%identity
UPD: Sur la base de ma réponse de bricolage et @ChandanK, j'ai fait deux scripts pour déployer un serveur VPN StrongSwan sur une nouvelle installation d'Ubuntu 16.04 ici: - https://github.com/truemetal/ikev2_vpn
En supposant que vous souhaitez configurer votre côté droit avec psk. C'est assez simple.
1. remove eap_identity and rightsendcert fields. 2. set rightauth=secret
Maintenant éditez le fichier /etc/ipsec.secrets:
1. remove "your_username %any% : EAP "your_password"" line. 2. add ": PSK <your_password>"
Relisez ensuite les secrets et redémarrez le service.
$Sudo ipsec rereadsecrets $Sudo ipsec reload $Sudo ipsec restart
Tout est prêt. Suivez "Connexion à partir d'iOS" et créez une nouvelle connexion vpn ikev2. Dans les paramètres d'authentification, sélectionnez Aucun et mettez la clé secrète partagée. J'espère que vous vous connectez.
Modifier:
Sur la base des commentaires, les modifications de configuration requises pour passer à l'authentification par clé pré-partagée:
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_name_or_ip
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
authby=secret
Supprimez la ligne suivante de ipsec.secrets:
server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem
Relisez ensuite les secrets et redémarrez le service.
Sur la base de ma bricolage et de ma réponse @ChandanK, j'ai créé deux scripts pour déployer un serveur VPN StrongSwan sur une nouvelle installation d'Ubuntu 16.04 ici: https://github.com/truemetal/ikev2_vpn