Sajnos a Windows 7 beépített VPN kliens funkcióival nem sikerült csatlakozni a nemrég üzembehelyezett OpenWrt routeren működő IKEv2 IPsec StrongSwan VPN szerveremhez, bármilyen konfigot állítottam is be, de sikerült találnom egy VPN kliens programot, amivel IKEv2 Certificate módban sikerült csatlakozni a szerverhez, Ennek a VPN kliens programnak a beüzemeléséről fogok most írni.

Jelenlegi szerver konfig
Legutóbbi konfigomat (amiről szintén írtam) kénytelen voltam megváltoztatni, mivel úgy tűnik, az IKEv2 Certificate + EAP (Username/Password) kombó VPN type bejelentkezési módszert az Androidon kívül semmi más nem akarja támogatni. Ezért jelenleg olyan konfigot hoztam létre, amivel az előbb említett kombómód mellett lehetőség van sima IKEv2 EAP (Username/Password) (kombó nélküli) és sima IKEv2 Certificate (Eap nélküli) belépési módra.
Így néz ki a konfig:

config setup
#charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
#uniqueids=never
charondebug="cfg 2, dmn 2, ike 2, net 2"

conn %default
# Dead Peer Discovery
dpdaction=clear
dpddelay=300s

# Do not renegotiate a connection
#if it is about to expire
rekey=no

conn BASE

#server side
left=%any
leftfirewall=yes

leftcert=eapSERVER_CERT.pem
leftsubnet=0.0.0.0/0,::/0

#client side
#rightsendcert=never


right=%any
rightdns=8.8.8.8,8.8.4.4
rightsourceip=%dhcp,2001: (privát adat kikommentelve) :3700::/56


keyexchange=ikev2
auto=add

conn EAP0
also="BASE"
leftsendcert=always
#leftid=@btzdomainje.com
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any

conn EAP1
also="BASE"
leftauth=pubkey
leftsendcert=always
rightauth=pubkey
rightauth2=eap-md5
eap_identity=%any

A többi szerver beállítás megegyezik az első témával kapcsolatos blogbejegyzésemben leírtakkal.

A tanúsítványok telepítése Windowsban
- A tanúsítványokat a szerveren hozzuk létre, erről ebben a fórumkommentemben írtam. Azóta is ezeket használom.
- A szerverünkről, letöltjük a tanúsítványokat. Ezen az oldalon egy jó leírás található, hogyan telepítsük fel a tanúsítványokat az MMC-t használva.
- A kliens certet a személyes, a Root Certet a Megbízható felsőszintű hitelesítésszolgáltatók közé importáltam be:

A kliens
A kliens neve: The GreenBow Universal VPN Client software, Letölteni erről az oldalról lehet. Sajnos csak 30 napos FREE trial verzió letöltése lehetséges, utána fizetős, de eddig ez az egyetlen, amivel sikerült csatlakozást elérni Windows platform alatt. Lássuk a lépéseket, hogyan lehet beállítani, hogy a fenti szerverkonfig szerint beállított szerverre IKEv2 Certificate módban kapcsolódni tudjon.
- Először is letöltjük, telepítjük, elfogadjuk a virtuális hálózati adapter drivereinek telepítését, elindítjuk.
- Ha triálos még, akkor az indítás után az "I want to Evaluate the software" rádiógombra kattintunk. Majd a "következő >" feliratú gombra. Ekkor a program a tálcán ikon formájában jelenik meg. Ha rákattintunk, előjön ez az ablak:

- Kattintsunk oda, ahova a nyíl mutat, majd megjelenik ez az ablak:

- Konfiguráljuk be az IKEv2-t

- Futtatjuk a varázslót. Beírjuk a szerver címét. Importáljuk a tanúsítványt.

P12-es fájlal szoktam (Amit korábban a fenti kommentlink szerint létrehoztam)
- Ha sikeres, akkor ezt kell látnunk:

- Majd megjelenik a baloldali fa struktúrában ez:

- Jobb egérgombbal az "Ikev2Tunnel"-re kattintunk, majd a megjelenő menüben a "Kapcsolat nyílik..."-re.
VPN kliens címnél megjelenik a szerver által DHCP-n kapott címünk. Igaz csak IPv4, IPv6-ot nem kapunk valamiért.

- A Windows-os adapterbeállításoknál is ellenőrizhetjük az adapter állapotát.

- Az átjáróm az 192.168.1.4-lenne, de itt 192.168.1.1, ezzel kell kezdenem valamit, ha sikerül leírom kommentben. De internet elérés van így is, amit furcsállok.

Jelenleg ez a max, amit sikerült elérnem IKEv2 IPsec alapokon egy Windows VPN klienssel. Nem tökéletes, de legalább ez már valami.
Próbáld ki te is. Írd meg a tapasztalatod kommentben!