OS X 10.11和iOS 10客户端上的Strongswan IKEv2 VPN

2019年12月16日作者：佚名

经过多天在Google上搜索,通过Serverfault,甚至在StrongSwan网站上搜索,我都试图让StrongSwan IPSec / IKEv2 VPN在OS X 10.11.5和iOS 10上运行失败.我一直非常成功地获得它在 Windows 10 Pro Insider Preview和 Android上工作 – 这两者都与我的旅行安排无关,我只有Mac笔记本和iOS 10设备.

我有两个StrongSwan VPN服务器设置 – 一个在伦敦,一个在旧金山,两个配置几乎相同.

在遵循https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html之后,我能够快速设置两台服务器并为Windows 10 Pro Insider Preview和Android颁发单个客户端证书.但是,当我将两台服务器的p12s复制到OS X和iOS来创建VPN时,我遇到的问题是我没有得到其他两个操作系统.

我似乎找到了什么是“远程ID”和“本地ID”的明确答案,这与我如何建立基于证书的SwanStrong VPN服务器的认证连接有关？

从我能找到的一点点来看,我学到了以下内容：

>本地ID必须与证书中指定的CN或SAN匹配(即example@example.com)
> OS X和iOS都需要远程ID,但我不知道在此输入字段中放入什么
>与通过加密无缝连接的Windows和Android不同,OS X和iOS都会陷入“连接”状态,或者会永久地循环到“断开连接”

这是StrongSwan服务器配置之一(我一直在测试的配置)：

# ipsec.conf - strongSwan IPsec configuration file

config setup
    charondebug="ike 2,knl 2,cfg 2,net 2,esp 2,dmn 2,mgr 2"

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
    dpdaction=clear
    dpddelay=300s
    authby=pubkey
    left=%any
    leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.der
    leftsendcert=always
    right=%any
    rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
    rightdns=8.8.8.8,2001:4860:4860::8888

conn IPSec-IKEv2
    keyexchange=ikev2
    auto=add

如何在OS X 10.11.5和iOS 10上使用Windows和Android使用的相同证书正确配置VPN隧道？

解决方法

事实证明,我需要使用Apple Configurator来创建VPN配置文件,以便我可以设置加密以使用DH Group 2和3DES.

我还必须将远程ID更改为VPN服务器的FQDN,因为它在证书的公共名称中列出. OS X忽略了主题备用名称(SAN).

但是,虽然我现在可以建立到VPN的连接,但我无法遍历它.

由于这个问题与此无关,我在https://apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os-x-10-11-5发布了另一个问题

以上是来客网为你收集整理的OS X 10.11和iOS 10客户端上的Strongswan IKEv2 VPN全部内容，希望文章能够帮你解决OS X 10.11和iOS 10客户端上的Strongswan IKEv2 VPN所遇到的程序开发问题。

如果觉得来客网网站内容还不错，欢迎将来客网网站推荐给程序员好友。