LINUX.ORG.RU

Сообщения linuxorguru

 

VPS с AES-NI

Приветствую!

У кого DO, Vultr, time4vps - можете выложить выхлоп?

# lscpu | grep '^CPU(s):'
# grep -o aes /proc/cpuinfo | wc -l

 , , , ,

linuxorguru ()

🤯 IKEv2 mikrotik

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Groups

На сервере сделано:

/certificate 
add common-name=ca name=ca 
sign ca ca-crl-host=192.168.0.89 
add common-name=192.168.0.89 subject-alt-name=IP:192.168.0.89 key-usage=tls-server name=server1 
sign server1 ca=ca

/ip pool add name=rw-pool ranges=192.168.77.2-192.168.77.254 
/ip ipsec proposal 
add name=rw-proposal pfs-group=none 
/ip ipsec mode-conf 
add name=rw-conf system-dns=yes address-pool=rw-pool address-prefix=32 
/ip ipsec policy 
group add name=rw-policies 
add template=yes dst-address=192.168.77.0/24 group=rw-policies proposal=rw-proposal 

/ip ipsec peer 
add auth-method=rsa-signature certificate=server1 generate-policy=port-strict \ 
mode-config=rw-conf passive=yes remote-certificate=none exchange-mode=ike2 \ 
policy-template-group=rw-policies 

/certificate 
add common-name=RouterOS_client name=RouterOS_client key-usage=tls-client 
sign RouterOS_client ca=ca 
export-certificate RouterOS_client export-passphrase=1234567890 type=pkcs12

На клиенте сделано:

/certificate import file-name=cert_export_RouterOS_client.p12 passphrase=1234567890 

/put [/certificate get [find common-name=RouterOS_client] name] 

/ip ipsec peer 
add address=192.168.0.89 auth-method=rsa-signature certificate=cert_export_RouterOS_client.p12_0 \ 
mode-config=request-only exchange-mode=ike2 generate-policy=port-strict 

/ip ipsec 
remote-peers print 
installed-sa print 

/certificate 
add common-name=Windows_client name=Windows_client key-usage=tls-client 
sign Windows_client ca=ca 
export-certificate Windows_client export-passphrase=1234567890 type=pkcs12

Соединение устанавливается,

/ip ipsec> remote-peers print 
Flags: R - responder, N - natt-peer 
# ID STATE 
0 192.168.0.89 established 

Но как пустить весь трафик на клиенте через сервер? В политиках не разбираюсь совсем..

 , , , ,

linuxorguru ()

🤯 IKEv2 Проблема на клиентах

Добрый день!

Попытался настроить сервер Strongswan на работу c IKEv2 вместо L2TP/IPsec. Но есть две проблемы, помогите с решением, плиз 😞

1. Как сейчас весь трафик с клиентских портов заворачивать в туннель IKEv2? Раньше делал маскарад на выходной интерфейс l2tp-out, но теперь его там нет 🙁

2. Интернета нет на клиентах iOS и macOS (даже без MikroTik)

( читать дальше... )

/etc/ipsec.conf

( читать дальше... )

/etc/sysctl.conf

( читать дальше... )

iptables

( читать дальше... )

 , , , ,

linuxorguru ()

🤯 Переход c L2TP/IPsec на IKEv2 / Каша в голове

Добрый день!

Сейчас использую L2TP/IPsec с Debian & Strongswan на сервере и RouterOS & iOS на клиентах - все работает замечательно. Но ужасно раздражает включать туннель каждый раз в настройках при подключении на iOS. Узнал про возможность создать профиль для поддержки On Demand на iOS или профилировать Always-on VPN через Apple Configurator. Но нет возможности сложить все мысли в кучу, чтобы приступить к задуманному.

1. На чем проще поднимать IKEv2 сервер? Strongswan или Cloud Hosted Router? Cloud Hosted Router поддерживает AES, но по факту пишут и обратное.

2. Не могу понять, какая авторизация нужна для On Demand или Always-on VPN на iOS. Логин-пароль или по сертификату?

3. Если нужен сертификат, то нужна регистрация домена VPS? Let's Encrypt работает просто по IP?

Дайте толчок к реализации задуманного, чувствую переход с L2TP на IKE будет очень болезненным Спасибо за помощь заранее 🤗

 , , , ,

linuxorguru ()

RSS подписка на новые темы