Настройка и запуск сервера
Установим нужное. В Debian Stretch libcharon-extra-plugins
содержит eap-mschapv2
. Если профтыкать пакет, то можно получить charon: 09[IKE] loading EAP_MSCHAPV2 method failed
.
apt-get install strongswan libcharon-extra-plugins
Содержимое /etc/ipsec.conf
:
config setup
strictcrlpolicy=no
uniqueids=never
conn %default
keyexchange=ikev2
conn rem
rekey=no
leftsubnet=0.0.0.0/0
leftauth=psk
leftid=64.137.163.194
right=%any
rightsourceip=10.10.100.1/24
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add
Содержимое /etc/strongswan.conf
:
charon {
threads = 16
dns1 = 8.8.8.8
dns2 = 8.8.4.4
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
}
pluto {
}
libstrongswan {
}
В /etc/ipsec.secrets
:
: PSK "INSERTYOURKEYHERE"
username : EAP "strongpassword"
В sysctl.conf
записать:
net.ipv4.ip_forward = 1
net.ipv4.conf.default.proxy_arp = 1
net.ipv4.conf.default.arp_accept = 1
net.ipv4.conf.default.proxy_arp_pvlan = 1
Применим настройки:
sysctl --system
Настраиваем файрвол:
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Перезапускаем strongswan:
service strongswan restart
Настраиваем VPN-подключение для Blackberry 10
Имя профиля | <любое> |
Адрес сервера | 11.22.33.44 | example.com |
Тип шлюза | Generic IKEv2 VPN Server |
Тип проверки подлинности | EAP-MSCHAPv2 |
Тип кода проверки подлинности | Адрес эл. почты |
Код проверки подлинности | <любое значение> |
Идентичность MSCHAPv2 EAP | <любое значение> |
Имя пользователя MSCHAPv2 | <username из /etc/ipsec.secrets> |
Пароль MSCHAPv2 | <пароль из /etc/ipsec.secrets> |
Тип проверки подлинности шлюза | PSK |
Тип кода проверки подлинности шлюза | IPv4 |
Предварительный ключ шлюза | <INSERTYOURKEYHERE> |
Всё остальное не трогать. Пара скринов для наглядности.