Костылим выпыэны.

Настройка и запуск сервера

Установим нужное. В Debian Stretch libcharon-extra-plugins содержит eap-mschapv2. Если профтыкать пакет, то можно получить charon: 09[IKE] loading EAP_MSCHAPV2 method failed.

apt-get install strongswan libcharon-extra-plugins

Содержимое /etc/ipsec.conf:

config setup
  strictcrlpolicy=no
  uniqueids=never

conn %default
  keyexchange=ikev2

conn rem
  rekey=no
  leftsubnet=0.0.0.0/0
  leftauth=psk
  leftid=64.137.163.194
  right=%any
  rightsourceip=10.10.100.1/24
  rightauth=eap-mschapv2
  rightsendcert=never
  eap_identity=%any
  auto=add

Содержимое /etc/strongswan.conf:

charon {
    threads = 16
    dns1 = 8.8.8.8
    dns2 = 8.8.4.4
    load_modular = yes
    plugins {
      include strongswan.d/charon/*.conf
    }
}
pluto {
} 
libstrongswan {
}

В /etc/ipsec.secrets:

: PSK "INSERTYOURKEYHERE"
username : EAP "strongpassword"

В sysctl.conf записать:

net.ipv4.ip_forward = 1
net.ipv4.conf.default.proxy_arp = 1
net.ipv4.conf.default.arp_accept = 1
net.ipv4.conf.default.proxy_arp_pvlan = 1

Применим настройки:

sysctl --system

Настраиваем файрвол:

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Перезапускаем strongswan:

service strongswan restart

Настраиваем VPN-подключение для Blackberry 10

Имя профиля <любое>
Адрес сервера 11.22.33.44 | example.com
Тип шлюза Generic IKEv2 VPN Server
Тип проверки подлинности EAP-MSCHAPv2
Тип кода проверки подлинности Адрес эл. почты
Код проверки подлинности <любое значение>
Идентичность MSCHAPv2 EAP <любое значение>
Имя пользователя MSCHAPv2 <username из /etc/ipsec.secrets>
Пароль MSCHAPv2 <пароль из /etc/ipsec.secrets>
Тип проверки подлинности шлюза PSK
Тип кода проверки подлинности шлюза IPv4
Предварительный ключ шлюза <INSERTYOURKEYHERE>

Всё остальное не трогать. Пара скринов для наглядности.

night-crawler
Просмотров: 402
blog comments powered by Disqus