สิ่งนี้ช่วยได้ไหม?
ขอแสดงความนับถือ Willem M. Poort
StrongSwan mini Howto Debian 5
install strongswan + openssl
apt-get install strongswan openssl
สร้างไฟล์ CA ของคุณ:
cd /etc/ipsec.d
openssl req -x509 -days 3650 -newkey rsa:2048 -keyout \
private/strongswanKey.pem -out cacerts/strongswanCert.pem
cp cacerts/strongswanCert.pem certs/
หากคุณต้องการให้ใบรับรอง CA อยู่ในรูปแบบไบนารี DER คำสั่งต่อไปนี้จะทำให้เกิดการเปลี่ยนแปลงนี้:
openssl x509 -in cacerts/strongswanCert.pem -outform DER -out \
cacerts/strongswanCert.der
แก้ไข/etc/ssl/openssl.conf
( /usr/lib/ssl/openssl.cnf
เป็น symlink):
nano -w /usr/lib/ssl/openssl.cnf
เปลี่ยนพารามิเตอร์เพื่อให้เหมาะกับสภาพแวดล้อมที่แข็งแกร่งของคุณ
[ CA_default ]
dir = /etc/ipsec.d # Where everything is kept
certificate = $dir/cacerts/strongswanCert.pem # The CA certificate
private_key = $dir/private/strongswanKey.pem # The private key
สร้าง DIR และไฟล์ที่หายไป:
mkdir newcerts
touch index.txt
echo “00” > serial
สร้างใบรับรองผู้ใช้:
openssl req -newkey rsa:1024 -keyout private/hostKey.pem \
-out reqs/hostReq.pem
เซ็นชื่อเป็นเวลาสองปี:
openssl ca -in reqs/hostReq.pem -days 730 -out \
certs/hostCert.pem -notext
โดยปกติแล้วไคลเอนต์ VPN ที่ใช้ Windows จะต้องใช้คีย์ส่วนตัวโฮสต์หรือใบรับรองผู้ใช้และใบรับรอง CA วิธีที่สะดวกที่สุดในการโหลดข้อมูลนี้คือการใส่ทุกอย่างลงในไฟล์ PKCS # 12:
openssl pkcs12 -export -inkey private/hostKey.pem \
-in certs/hostCert.pem \
-name "host" \
-certfile cacerts/strongswanCert.pem \
-caname "strongSwan Root CA" \
-out host.p12
แก้ไข/etc/ipsec.secrets
:
:RSA strongswanKey.pem “pempassword”
:XAUTH user "secret"
แก้ไข/etc/ipsec.conf
:
config setup
plutodebug=none
uniqueids=yes
nat_traversal=yes
interfaces="%defaultroute"
conn %default
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
keyingtries=1
keylife=20m
ikelifetime=240m
conn iphone
auto=add
dpdaction=clear
authby=xauthrsasig
xauth=server
pfs=no
leftcert=strongswanCert.pem
left=<serverip>
leftsubnet=0.0.0.0/0
right=%any
rightsourceip=<virtual client ip> #local VPN virtual subnet
rightcert=hostCert.pem
บนไอโฟน
- อิมพอร์ตใบรับรอง iphone-client ในรูปแบบ p12
- นำเข้าใบรับรอง CA ในรูปแบบ pem
- กำหนดค่า IPSEC-VPN ด้วยใบรับรองของไคลเอ็นต์ iphone และใช้เป็นเซิร์ฟเวอร์ชื่อ DNS (DynDNS-Name) มันจะต้องเหมือนกันใน Server-Certificate
ในการนำเข้าใบรับรองบน iphone ของคุณเพียงแค่ส่งอีเมลให้พวกเขาด้วยตัวคุณเอง! เมื่อสร้าง ipsec VPN บน iPhone ของคุณคุณสามารถเลือกใบรับรอง
โปรดทราบว่าคุณต้องตั้งค่า iptables หากคุณต้องการ NAT (มองหา fwbuilder)