我正在寻找IKEv2 VPN的configuration说明,使用pre-shared keys而不是certs (这些是我假设的隧道encryption的不同方法)。
我已经遵循这个奇妙的教程来让IKEv2 VPN工作( certificate ),它的工作原理。
我的问题是什么需要改变,所以它会使用PSK呢? 我会假设/etc/ipsec.secrets和/etc/ipsec.conf中的更改。
我目前的ipsec.conf如下所示:
config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=no conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024,3des-sha1-modp1024! esp=aes256-sha1,3des-sha1! dpdaction=clear dpddelay=300s rekey=no left=%any leftid=@server_name_or_ip leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightdns=8.8.8.8,8.8.4.4 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity
假设你想用psk设置你的右边。 这相当简单。
1. remove eap_identity and rightsendcert fields. 2. set rightauth=secret
现在编辑/etc/ipsec.secrets文件:
1. remove "your_username %any% : EAP "your_password"" line. 2. add ": PSK <your_password>"
然后重新读取秘密并重新启动服务。
$sudo ipsec rereadsecrets $sudo ipsec reload $sudo ipsec restart
可以了,好了。 按照“从iOS连接”,创build一个新的ikev2 VPN连接。 在身份validation设置中,selectnone并放置共享密钥。 希望你连接。
编辑:
基于注释,切换到预共享密钥validation所需的configuration更改:
config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=no conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024,3des-sha1-modp1024! esp=aes256-sha1,3des-sha1! dpdaction=clear dpddelay=300s rekey=no left=%any leftid=@server_name_or_ip leftsubnet=0.0.0.0/0 right=%any rightid=%any rightdns=8.8.8.8,8.8.4.4 rightsourceip=10.10.10.0/24 authby=secret
从ipsec.secrets中删除以下行:
server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem
然后重新读取秘密并重新启动服务。