Hirdetés

  2. Fórumok
  3. LOGOUT reakciók
  4. btz: Virtuális Magán Hálózat (VPN) szerver IPSec IKEv2 Strongswan alapokon
Keresés

Új hozzászólás Aktív témák

  • #15 btz addikt btz #13
    Új Válasz #15
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    btz

    addikt

    válasz btz #13 üzenetére

    Legújabb ipsec.conf beállításom.
    Ebben a beállításban csak IKEv2 Certificate+EAP (Username/Password) módban lehet belépni, sima IKEv2 Certificate módban nem.

    config setup
    #charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
    #uniqueids=never
    charondebug="cfg 2, dmn 2, ike 2, net 2"

    conn %default
    # Dead Peer Discovery
    dpdaction=clear
    dpddelay=300s

    # Do not renegotiate a connection
    #if it is about to expire
    rekey=no

    conn BASE
    #server side
    leftauth=pubkey
    leftfirewall=yes
    #leftid=btzdomainje.com
    leftcert=eapSERVER_CERT.pem
    leftsubnet=0.0.0.0/0

    #client side
    right=%any
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=%dhcp

    keyexchange=ikev2
    auto=add

    #rightsendcert=never
    rightauth=pubkey
    rightauth2=eap-md5
    #rightauth2=eap-tls
    eap_identity=%any
    leftsendcert=always

    Fontos, hogy a rightsendcert=never ki legyen kommentelve (vagy törölve). Nekem okozott némi fejtörést, hogy mi miatt nem működik. Ez az érték volt az.
    A későbbiekben ezt a konfigot fogom kiegészíteni ipv6-al.

  • #14 btz addikt btz #13
    Új Válasz #14
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    btz

    addikt

    válasz btz #13 üzenetére

    Csak egy kis jegyzet, a linkelt oldal tartalmából.

    The important bit is rightauth2 which configures a second authentication
    round using EAP after doing a first round with certificate authentication.

    You can simplify the whole config by putting the shared options in a
    single section and using the also keyword:

    conn rw-base
    left=172.16.254.200
    leftsubnet=0.0.0.0/0
    leftcert=pi-peer.der
    leftid=my-fqdn.example.com
    rightsourceip=172.16.254.0/24
    right=%any

    conn rw-cert
    also=rw-base
    auto=add

    conn rw-eap
    also=rw-base
    rightauth=eap-md5
    rightsendcert=never
    auto=add

    conn rw-cert-eap
    also=rw-base
    rightauth2=eap-md5
    auto=add

    'pubkey' is the default so rightauth does not have to be specified
    explicitly.

Új hozzászólás Aktív témák