StrongSwan และ Windows 10 & IOS

1

ฉันพยายามสร้างเซิร์ฟเวอร์ VPN ขนาดเล็กมาแล้ว

มันใช้งานได้ดีสำหรับ iOS แต่ฉันไม่สามารถทำให้ Windows 10 ทำงานได้อย่างถูกต้อง

ฉันพยายามทำสิ่งนี้โดยใช้ PSK แทนใบรับรองเนื่องจากจำนวนอุปกรณ์ที่จะใช้

เป้าหมายคือการใช้งาน Windows VPN ในตัว ฉันเข้าใจว่า Windows ไม่สามารถใช้ PSK สำหรับ IPSec และจำเป็นต้องใช้eap-mschapv2ในการตรวจสอบสิทธิ์

ผมทำอะไรผิดหรือเปล่า? ฉันเห็นพีซีที่ใช้ Windows 10 พยายามเชื่อมต่อและปรากฏในบันทึก แต่ไม่เคยได้รับ IP ใน LAN ท้องถิ่น ฉันได้ลองใช้ configs ต่าง ๆ แล้วมันไม่ทำงานกับ Windows

charon: 10[IKE] 99.40.248.72 is initiating an IKE_SA 
charon: 12[IKE] 99.40.248.72 is initiating a Main Mode IKE_SA  
charon: 11[IKE] 99.40.248.72 is initiating a Main Mode IKE_SA

เซิร์ฟเวอร์คือ Raspberry Pi; พอร์ต 50, 500 และ 4500 จะถูกส่งต่อไปยัง PI

/etc/ipsec.conf

    config setup
    cachecrls=yes
    uniqueids=yes

conn ios
    keyexchange=ikev1
    authby=xauthpsk
    xauth=server
    left=%any
    leftsubnet=0.0.0.0/0
    leftfirewall=yes
    right=%any
    #rightsourceip=192.168.1.0/24
    rightsourceip=%dhcp
    rightdns=8.8.8.8,8.8.4.4
    auto=add

conn IPSec-IKEv2-EAP
    keyexchange=ikev2
    leftfirewall=yes
    leftauth=pubkey
    leftsendcert=always
    rightauth=eap-mschapv2
    rightsendcert=never
    eap_identity=%any

/etc/ipsec.secrets

192.168.1.248 : PSK "MyStrongSharedPSK"

user1  : XAUTH  "MyOtherPassword"
user1  : EAP    "MyOtherPassword"
user2  : XAUTH  "AnotherPasswordHere"
linux  networking  vpn 
เดฟแซนเดอร์
แหล่งที่มา
คุณได้อ่านเอกสารเกี่ยวกับ strongSwan wiki แล้วหรือยัง?
ecdsa
สวัสดีใช่ .. มันเน้นการใช้ใบรับรอง ฉันลาดเทดูเหมือนจะหาการตั้งค่าพื้นฐานที่เรียบง่าย ping suing
เดฟแซนเดอ
นั่นคือสิ่งที่คุณควรใช้ อย่าใช้ PSK โดยเฉพาะถ้ามีลูกค้าจำนวนมาก
ecdsa
ฉันดูการใช้:conn win7 keyexchange=ikev2 ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=clear dpddelay=300s rekey=no left=%any leftsubnet=0.0.0.0/0 leftauth=pubkey leftcert=vpnCert.pem leftid=@vpn.strongswan.org right=%any rightsourceip=%DHCP rightauth=eap-mschapv2 eap_identity=%any auto=add
เดฟแซนเดอร์
แต่ไม่แน่ใจว่าจะทำอย่างไรกับ "เกตเวย์ VPN รับรองความถูกต้องของตัวเองเสมอด้วยใบรับรอง X.509 โดยใช้ลายเซ็น RSA / ECDSA ที่รัดกุม" และ "o ปลั๊กอิน md4 หรือหนึ่งในไลบรารีของ crypto (OpenSSL, Gcrypt) "
Dave Saunders
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.