iPhoneクライアントで純粋なIPSEC用にstrongswanまたはopenswanを設定する方法は?

21

iPhoneのVPNクライアントで使用されるstrongswanまたはopenswanを設定する方法に関する最新の具体的な情報を見つけることができません。私のサーバーはバジェットlinksys NATルーターの背後にあります。

私はこれを見つけましたが、それらの作成方法の参照なしで、たくさんの.pemファイルに言及しています。残念ながら、両方のパッケージの「細かい」マニュアルは、初心者にとっては非常にわかりにくく、使いにくいものでした。OpenVPNを以前に設定し、非常に迅速にサービス可能な結果を​​得ることができましたが、1日半の古くなったドキュメントを読んだ後、どこから始めればよいのかほとんどわかりません。

どんな助けも大歓迎です!

vpn  ipsec 
みすぼらしい
ソース

回答:

23

これは役立ちますか?
よろしく、ウィレム・M・プオート

StrongSwan mini Howto Debian 5

install strongswan + openssl
apt-get install strongswan openssl

CAファイルを作成します。

cd /etc/ipsec.d
openssl req -x509 -days 3650 -newkey rsa:2048 -keyout \
private/strongswanKey.pem -out cacerts/strongswanCert.pem
cp cacerts/strongswanCert.pem certs/

CA証明書をバイナリDER形式にする場合は、次のコマンドでこの変換を実現します。

openssl x509 -in cacerts/strongswanCert.pem -outform DER -out \ 
cacerts/strongswanCert.der

編集/etc/ssl/openssl.conf (/usr/lib/ssl/openssl.cnfシンボリックリンクです):

nano -w /usr/lib/ssl/openssl.cnf

ストロングスワン環境に合わせてパラメーターを変更します。

[ CA_default ] 

dir     = /etc/ipsec.d              # Where everything is kept 
certificate = $dir/cacerts/strongswanCert.pem       # The CA certificate 

private_key = $dir/private/strongswanKey.pem        # The private key

欠落しているDIRおよびファイルを作成します。

mkdir newcerts
touch index.txt
echo “00” > serial

ユーザー証明書を生成します。

openssl req -newkey rsa:1024 -keyout private/hostKey.pem \
    -out reqs/hostReq.pem

2年間署名します。

openssl ca -in reqs/hostReq.pem -days 730 -out \
    certs/hostCert.pem -notext

通常、WindowsベースのVPNクライアントには、秘密キー、ホストまたはユーザー証明書、およびCA証明書が必要です。この情報をロードする最も便利な方法は、すべてをPKCS#12ファイルに入れることです。

openssl pkcs12 -export -inkey private/hostKey.pem \
    -in certs/hostCert.pem  \
    -name "host" \ 
    -certfile cacerts/strongswanCert.pem \
    -caname "strongSwan Root CA" \
    -out host.p12

編集/etc/ipsec.secrets

:RSA strongswanKey.pem “pempassword”
:XAUTH user "secret"

編集/etc/ipsec.conf

config setup
    plutodebug=none
    uniqueids=yes
    nat_traversal=yes
    interfaces="%defaultroute"

conn %default
    authby=rsasig
    leftrsasigkey=%cert
    rightrsasigkey=%cert
    keyingtries=1
    keylife=20m
    ikelifetime=240m

conn iphone
    auto=add
    dpdaction=clear
    authby=xauthrsasig
    xauth=server
    pfs=no
    leftcert=strongswanCert.pem
    left=<serverip>
    leftsubnet=0.0.0.0/0
    right=%any
    rightsourceip=<virtual client ip>   #local VPN virtual subnet
    rightcert=hostCert.pem

iPhoneで

  1. iphone-client証明書をp12形式でインポートします
  2. CA証明書をpem形式でインポートします
  3. iphone-client証明書を使用してIPSEC-VPNを構成し、サーバーとしてDNS名(DynDNS-Name)を使用します。Server-Certificateのものと同じでなければなりません

iPhoneに証明書をインポートするには、自分にメールで送信してください!iPhoneでipsec vpnを作成するときに、証明書を選択できます。

NATを使用する場合は、iptablesをセットアップする必要があることに注意してください。(fwbuilderをご覧ください)

ウィレム・M・ポールト
ソース
1
+1ブリリアント。休暇中に時間を取り、あなたに戻ってきたら、これを調べます。助けてくれてありがとう。
シャビーローブ
こんにちは、tnx Willem M. Poort、ミニHOWTOを使用して、iPhoneとvpnサーバーをubuntu 10.10に接続しようとしましたが、何か問題がありました...より具体的なガイドやリンクがありますか?再びtnx!ファビオ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.