使用strongswan建立基于ikev2 eap-mschapv2的ipsec服务器

最新推荐文章于 2024-11-21 14:09:50 发布
最新推荐文章于 2024-11-21 14:09:50 发布
阅读量4.9k 收藏 4
点赞数 1
分类专栏: 操作系统 Linux网络开发 文章标签: 操作系统
本文详细介绍如何使用StrongSwan设置IKEv2隧道,并通过MSCHAPv2进行认证。从生成和安装所需的CA证书、服务器证书及私钥开始,逐步指导完成服务端ipsec.conf文件配置,并解决客户端证书信任问题。适用于希望实现安全远程接入的企业和个人。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sudo apt-get install strongswan strongswan-pki strongswan strongswan-plugin-eap-mschapv2 strongswan-plugin-xauth-generic
跟据不同系统版本要安装的软件包有差异,但是第一个肯定是要装的
eap-mschapv2认证也是需要服务器证书的,不需要客户端证书,但也需要服务器证书所用的CA证书在客户端信任列表中,如果是自签名证书一定要信任CA,网上说的免证书有误导人之嫌,我配置的时候绕了很大圈。只有用信任CA签发服务器证书才可以真正在客户端免证书。
首先生成所需证书
ipsec pki --gen > caKey.der
ipsec pki --self --in caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --ca > caCert.der
ipsec pki --gen > serverKey.der
ipsec pki --pub --in serverKey.der | ipsec pki --issue --cacert caCert.der --cakey caKey.der --dn "C=CN, O=youtuosoft, CN=192.168.5.105" --san 192.168.5.105 --flag serverAuth --flag ikeIntermediate > serverCert.der
CN和san后面也可以是域名或计算机名
安装证书
CA证书,CA证书同时也要安装到客户端的信任根证书列表中,不然连接VPN时出现 13801错误:IKE身份验证凭证不可接受
sudo cp caCert.der /etc/ipsec.d/cacerts/
服务器证书
sudo cp serverCert.der /etc/ipsec.d/certs/
私钥
sudo cp serverKey.der /etc/ipsec.d/private/
配置ipsec.conf
conn ikev2_mschapv2
type=tunnel
keyexchange=ikev2
left=192.168.5.105
leftid=192.168.5.105
leftauth=pubkey
leftcert=serverCert.der
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=eap-mschapv2
eap_identity=%any
rightsourceip=192.168.7.0/24
rightsendcert=never
rightdns=8.8.4.4,114.114.114.114
mobike=yes
auto=add
/etc/ipsec.secrets
: RSA serverKey.der
test %any : EAP "12345678"
ipsec restart
客户端安装CA证书,把caCert.der安装到windows的信任根证书里面,iphone需要用邮件附件发送或放到http服务器上打开安装
ikev2配置主要还是证书问题比较多,另外就是低版本的系统上默认不支持Eap-mschapv2,需要另外安装软件包
 ikev2用rightsourceip可以给客户端分配虚拟ip,与pptp,l2tp不同的是只客户端有虚拟ip,服务端是没有的
参考
Strongswan app 使用IKEv2 EAP 通过 Freeradius EAP认证 连接 Strongswan
taylorgogo
06-11 5360
索引环境安装链接Ubuntu 安装 Strongswan配置 Strongswang配置 Freeradius配置Strongswan VPN APPDebug应用 环境 @Linux uname -a Linux szqsm 4.15.0-73-generic #82-Ubuntu SMP Tue Dec 3 00:04:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux @Strongswan ipsec --version Linux strongSwan U5
strongswan 配置ikev2 for iOS
sonflower123的博客
08-11 5083
最新版本的strongswan 目前已支持ikev2 ,对于手机客户端,ios9.0 以上自带的vpn 支持 ikev2(服务器认证方式为:证书,客户端认证方式eap-mschapv2),安卓部分自带的客户端支持ikev2,如下为支持ios9.0以上的ikev2 配置 (手机客户端个人打包) 修改 ipsec.conf配置文件 vi /etc/ipsec.conf conn eap_ios
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
初学者的专栏
10-31 1万+
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。编辑StrongSwanIPsec预共享密钥配置文件。OpenWrt上StrongSwan VPN服务器的安装和配置。编辑StrongSwanIPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器。
openwrt strongswan IPSec IKEV2
季春贰柒的博客
02-24 2万+
前言:文章是作者基于一段时间的学习成果而写的,主要是为了记录下搭建VPN的过程以及遇到的一些麻烦错误,方便之后继续学习或者使用。当然如果能帮到一些读者自然是更好的。鉴于本人水平有限,文章之中难免会出现错漏不足之处,恳请批评指教、留言讨论。 学习过程中在网友文章中发现此图,诚不我欺(手动狗头)。 0.准备 俩台openwrt系统路由器、一部手机(安卓、苹果都行略有差别后续会说到)、阿里云服务器、 1.安装strongswan 这一步网上随意搜索就可以看到许多保姆级别教程,写得很详细。如果你实在懒得搜,轻移贵
ubuntu安装strongswan
最新发布
changgongzhao的专栏
11-21 547
ubuntu strongswan
教程篇(7.4) 10. IPsec-IKEv2 & 网络安全支持工程师 ❀ FORTINET认证解决方案专家
防火墙技术专栏
09-03 794
通过展示对IPsec IKEv2的充分理解,你将能够解释IKEv2及其协商过程的差异和优势。
strongswan Ubuntu 服务端修改 IKEv2 协议握手端口号
天苍野茫
08-07 1925
在 Ubuntu 22.04 搭建 strongSwan 服务端,并且修改 IKEv2 协议的握手端口 4500
strongswan整合radius(待续)
cikenerd的博客
01-25 3310
测试系统:centos7.0 下载strongswan源码包编译安装,yum install strongswan出来的默认没有启用eap-radius yum install openssl-develtar -xf strongswsan-5.5.1.tar.gz ./configure --enable-eap-identity --enable-eap-md5 \ --enable-
配置StrongSwan支持ios9 ikev2免证书登录
hgfygfc的博客
11-13 868
配置StrongSwan支持ios9 ikev2免证书登录
Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务六
weixin_34220623的博客
04-16 722
Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务第五部分 安装配置 xl2tp 集成 strongswan 支持 l2tp over ipsec实验时间:2018年8月15日-2018年8月15日拓扑图:环境:防火墙1:FW1USG2200 IP地址外...
pfSense book之IKEv2服务器配置示例
weixin_33747129的博客
11-20 4953
移动客户端的服务器配置有几个组件:为×××创建一个证书结构配置IPsec移动客户端设置为客户端连接创建阶段1和阶段2添加IPsec防火墙规则创建×××的用户凭据ipsec连接测试ipsec故障排除ipsec日志说明为×××创建IKEv2证书结构创建一个证书颁发机构如果证书管理器中没有合适的证书颁发机构(CA),那么我们首先创建一个:导航到系统>证书管理,CAS选项卡单击...
安卓手机的IPSec /PPTP/L2TP连接
热门推荐
Lin_ylcsxh_045的博客
02-17 4万+
安卓手机选择IKEv2/IPsec MSCHAPv2IKEv2/IPsec PSK; IKEv2/IPsec RSA;PPTP;L2TP/IPsec PSK; L2TP/IPsec RSA; IPsec Xauth PSK; IPsec Xauth RSA; IPsec Hybrid RSA途径
IKEv2协商建立IPsec SA
weixin_56909238的博客
12-27 2478
IPsec 只对特定的数据流进行保护,至于什么样的数据是需要 IPsec 保护的,可以通过以下两种方式定义。ACL 方式只要接口发送的报文与该接口上应用的 IPsec 安全策略中的 ACL 的 permit规则匹配,就会受到出方向 IPsec SA 的保护并进行封装处理。接口接收到目的地址是本机的 IPsec 报文时,首先根据报文头里携带的 SPI 查找本地的入方向 IPsec SA,由对应的入方向 IPsec SA 进行解封装处理。缺省情况下,解封装后的 IP 报文。
IPSecIKEv2协议详解
hhd1988的专栏
05-17 1万+
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
思科cisoc 路由器IKEv2配置ipsec tunnel口隧道
沉默的鹏先生
08-03 5326
环境拓扑图 R1配置 接口配置 R1#configure terminal R1(config)#interface ethernet 1/0 R1(config-if)#no shutdown R1(config-if)#ip address 30.1.1.2 255.255.255.0 R1(config-if)#exit R1(config)#interface ethernet 1/1 R1(config-if)#no shutdown R1(config-if)#ip address
网络安全之IPSEC
qq_57289939的博客
05-04 2492
SA --- -security association 是通信对等体之间对。身份认证技术 --- 是在网络中。阶段1 --- 密钥的产生算法、密钥分发者身份认证。--- 密钥产生算法、密钥有效期、密钥分发者身份认证、密钥长度、认证算法。access vpn --- 远程接入VPN ---第一阶段 --- IKE SA --- 对等体之间的。ipsec vpn --- 基于ipsec构建在。阶段2 --- 对数据加密。机密性 完整性 可用性。第二阶段 --- IPSEC SA。
strongswan介绍
wq897387的专栏
03-12 2万+
strongswan介绍文档翻译
防火墙——IKE(IPSec2
m0_49864110的博客
05-17 1万+
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
strongswan 5.3.5 ikev2 windows配置
05-10
以下是在Windows上配置IKEv2协议的Strongswan 5.3.5的步骤: 1. 安装Strongswan 5.3.5: 下载并安装Strongswan 5.3.5。Strongswan 5.3.5支持IKEv2协议,可以从Strongswan官网或者其他可靠的下载网站下载。 2. 生成证书和密钥: 在Strongswan服务器上生成CA根证书和服务器证书和密钥。这可以使用openssl工具完成。将根证书和服务器证书和密钥导出到PFX格式,以便在Windows上使用。 3. 在Windows上导入证书和密钥: 双击PFX文件,按照向导完成导入过程。确保将证书和私钥都导入到计算机的“个人”证书存储中。 4. 配置Strongswan服务器: 在Strongswan服务器上,编辑/etc/ipsec.conf文件,添加以下内容: ``` conn ikev2 left=%any leftid=@your_server_ip_or_domain_name leftcert=server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity auto=add ``` 其中,your_server_ip_or_domain_name应该替换为Strongswan服务器的IP地址或域名。 5. 配置Strongswan服务器EAP: 在Strongswan服务器上,编辑/etc/ipsec.secrets文件,添加以下内容: ``` : RSA server-key.pem your_username : EAP "your_password" ``` 其中,your_username和your_password应该替换为你要使用的用户名和密码。 6. 在Windows上配置网络连接: 在Windows上,打开“网络和共享中心”,然后点击“设置新的连接或网络”。选择“连接到工作区”并按照向导继续。选择“使用我的Internet连接(VPN)”,输入Strongswan服务器的IP地址或域名,然后点击“创建”。 7. 配置强制加密: 在Windows上,打开“网络和共享中心”,然后点击“更改适配器设置”。右键单击Strongswan VPN连接并选择“属性”。在“安全”选项卡上,选择IKEv2协议并启用“加密”。点击“高级设置”,选择“使用预共享密钥”,并输入Strongswan服务器上的预共享密钥。 8. 连接: 在Windows上,点击Strongswan VPN连接并输入你的用户名和密码。点击“连接”以连接到Strongswan服务器。 以上是在Windows上配置IKEv2协议的Strongswan 5.3.5的步骤。如果你遇到任何问题,请查看Strongswan文档或在Strongswan社区寻求帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值