在谷歌,通过Serverfault,甚至在StrongSwan网站search了很多天后,我一直没有成功尝试在OS X 10.11.5和iOS 10上运行StrongSwan IPSec / IKEv2 VPN。我一直非常成功地获得它在Windows 10 Pro Insider Preview和Android上工作 – 这两者都与我的旅行安排无关,我只有一台Mac笔记本和iOS 10设备。
我有两个StrongSwan VPN服务器设置 – 一个在伦敦,一个在旧金山,两者的configuration几乎完全相同。
遵循https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html,我能够快速设置两台服务器,并为Windows 10 Pro Insider Preview和Android颁发一个客户端证书。 但是,当我将两台服务器的p12复制到OS X和iOS来创buildVPN时,出现了问题,我没有得到其他两个操作系统。
我似乎可以find关于什么是“ Remote ID ”和“ Local ID ”的明确答案,这与我如何build立一个基于证书的SwanStrong VPN服务器authentication连接有关?
从我所能find的东西中,我学到了以下几点:
Local ID必须与证书中指定的CN或SAN相匹配(例如[email protected] ) Remote ID是OS X和iOS都需要的,但是我不知道在这个input字段中应该放什么东西 这是StrongSwan服务器configuration之一(我一直在testing):
# ipsec.conf - strongSwan IPsec configuration file config setup charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" conn %default keyexchange=ikev2 ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$ esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$ dpdaction=clear dpddelay=300s authby=pubkey left=%any leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net leftsubnet=0.0.0.0/0 leftcert=vpnHostCert.der leftsendcert=always right=%any rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112 rightdns=8.8.8.8,2001:4860:4860::8888 conn IPSec-IKEv2 keyexchange=ikev2 auto=add
如何正确configurationOS X 10.11.5和iOS 10上的VPN隧道,并使用Windows和Android使用的相同证书?
事实certificate,我需要使用Apple Configurator创buildVPNconfiguration文件,以便我可以将密码设置为使用DH Group 2和3DES 。
我还必须将Remote ID更改为VPN服务器的FQDN ,因为它在证书的Common Name列出。 OS X忽略了Subject Alternative Name (SAN) 。
但是,虽然我现在可以build立到VPN的连接,但是我无法通过它来访问stream量。
由于这个问题是不相关的,我已经发布了另一个问题: https : //apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os-x-10 -11-5