LINUX.ORG.RU

Strongswan ikev2 авторизация по паролю и/или по сертификату

 


0

2

Доброе утро. Я нуб, но хочу иметь свою vpn на vps:) Собственно, она есть strongswan на ubuntu 18.04. Для полного счастья не хватает только одного. Сервер настроен так, что авторизация происходит по сертификату. Порой меня просят поделиться vpn. Можно ли добавить опцию авторизации по связке логин-пароль, без сертификатов? Конфиг выглядит так: include /var/lib/strongswan/ipsec.conf.inc

config setup

    uniqueids=never
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default

    keyexchange=ikev2
    ike=aes128gcm16-sha2_256-prfsha256-ecp256!
    esp=aes128gcm16-sha2_256-ecp256!
    fragmentation=yes
    rekey=no
    compress=yes
    dpdaction=clear
    left=%any
    leftauth=pubkey
    leftsourceip=my_IP
    leftid=my_IP
    leftcert=debian.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightauth=pubkey
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4

conn ikev2-pubkey auto=add

Не нашёл спойлер, прошу прощения:(

Ответ на: комментарий от ValdikSS

Конфиг вот такой: include /var/lib/strongswan/ipsec.conf.inc config setup

    uniqueids=never
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" 

conn %default

    keyexchange=ikev2
    ike=aes128gcm16-sha2_256-prfsha256-ecp256!
    esp=aes128gcm16-sha2_256-ecp256!
    fragmentation=yes
    rekey=no
    compress=yes
    dpdaction=clear
    left=%any
    leftauth=pubkey
    leftsourceip=92.38.184.145
    leftid=92.38.184.145
    leftcert=debian.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightauth=pubkey
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4

conn ikev2-mschapv2

	rightauth=eap-mschapv2
	eap_identity=%identity
	auto=add

conn ikev2-pubkey auto=add

user2479 ()
Ответ на: комментарий от anonymous

к слову, не получается. генерирую с помощью ipsec pki на сервере, для клиента андроид - там же через openssl pkcs. поменял названия сертификатов, но полученный .p12 работает только на одном устройстве - том же, где был установлен первый сертификат. второй работает там и после удаления первого. но только там… пробую на другом смарте - отлуп. как правильно генерировать дополнительные?

user2479 ()
Ответ на: комментарий от user2479

У Вас клиенты пытаются проверить сервер с помощью корневого сертификата, которого у них нет. Что бы сертификаты не использовались вообще подключение должно выглядеть так:

conn ikev2-mschapv2
    leftauth=eap-mschapv2
    rightauth=eap-mschapv2
    auto=route
korsar182 ()