Ahoj.
Už nějaký ten pátek se snažím rozject VPN pomocí IPsec. Zkusil jem to přes strongSwan, OpenSwan i Racoon, ale nějak bez úspěchu. Jako duhou stranu jsem měl Windows, Linux, MikroTik, ... Nebyl by nějaký návod prosím? Díky

Pospa

ps.: Zkusil jsem to i pes IPv6 ke by to mělo ject nativně, ale asi není podpora IPv6 ještě tak daleko.

Přidávám se k dotazu - rozjel někdo strongswan?

Ahoj,

podařilo se to někomu? Zjistil jsem, že opkg install strongswan-full vytvoří i potřebné konfiguráky, které sháněl jakub.rybar. Bohužel nevím, jak dále s konfigurací v prostředí Turrise

Díky

Poslušně hlásím, že jsem si konečně našel čas a na svém Turrisu rozjel IPsec přes Strongswan. Měl jsem s tím trochu trable, ale nakonec mi to zabralo jen dvě odpoledne, což beru jako obrovský úspěch

Nainstaloval jsem balík strongswan-full, opkg mi sice vrátilo hromadu chyb, stejně jako píše ZdVtt, které jsem se ale nakonec rozhodl hrdinně ignorovat a pokračovat (rozuměj, nevěděl jsem co s tím dělat)..

Postupoval jsem podle tohoto návodu, který mi přišel nejpřehlednější, i když jsem si musel význam některých nastavení, hlavně v /etc/ipsec.conf, vyhledat. Jiné návody byly na můj vkus moc ukecané a/nebo překombinované.

Použitím uvedené konfigurace dostaneme VPN server používající protokol IKEv1 pro výměnu klíčů, který dovoluje připojení komukoliv s platným klientským certifikátem a jménem a heslem uvedeným v /etc/ipsec.secrets. Přičemž IP adresu bude přidělovat DHCP na routeru.

K návodu bych ještě dodal (neboť to v něm není moc zvýrazněno a lze to snadno přehlédnout), že je nutné po vytvoření init scriptu zadat příkaz /etc/init.d/ipsec enable, jinak se vám VPN server nenastartuje po rebootu, a při generování certifikátů se řídít raději odkazovanou wiki stránkou Strongswanu.

Zde je důležité při generování serverového certifikátu do položek CN a --san="" uvést vaši vnější IP adresu, případně doménu, pokud nějakou máte. Pokud to neuděláte, VPN připojení nebude fungovat. Pro ty méně šťastné, co nemají "statickou" IP, tak přichází chvíle, kdy se budou muset zaregistrovat na duckdns.org, nebo podobné službě :P (ok, zde bych měl zaklepat na dřevo, ať mi UPC najednou nezmění IP, protože spoléhám pouze na to, co spousta jejich uživatelů v posledních letech vypozorovala - tedy že moc IP adresy svým klientům nemění..)

Poslední krok je už jen stažení vytvořeného klientského certifikátu clientCert.p12, na *nixu např. pomocí scp root@192.168.1.1:/cesta/k/certifikatu ~/clientCert.p12 a jeho importování do systému a označení jako důvěryhodného (njn, holt je to certifikát podepsaný vaším Turrisem, takže vám počítač bude tvrdit, že není úplně košer).

Zde jsem na OSX narazil na problém - certifikát jsem sice importoval do Keychain.app do správné sekce (System), označil certifikační autoritu jako důvěryhodnou, ale VPN spojení se mi nedařilo vytvořit. Musel jsem v Keychainu poklikat na svůj klientský certifikát a na záložce Řízení přístupu změnit nastavení na Přístup k této položce povolit všem aplikacím. Poté se mi již VPN úspěšně vytvořilo.

A nebojte se, že je v obou návodech psáno, že jsou pro iPhone nebo Apple obecně. Připojení by mělo fungovat i na Win7/8 a Androidu, stačí při nastavování zvolit jako typ IPsec, nebo někdy označené jako Cisco IPsec ;) Bohužel to nemůžu potvrdit, ale na internetu píšou, že by to fakt mělo fungovat, takže to bude pravda