首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
wuruxu
V2EX  ›  OpenWrt

Openwrt 路由器,使用 strongswan 配置 ikev2 服务

  •   
  •   wuruxu · 44 天前 · 449 次点击
    这是一个创建于 44 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景:方便在外面连接家中网络
    软件环境 OpenWrt SNAPSHOT, r27700 / Linux OpenWrt 6.6.54 / Strongswan 5.9.14
    配置 /etc/config/ipsec 

    config 'ipsec'
	list listen 'wan'
	option 'zone' 'ssvpn'

config 'remote' 'acme'
	option 'enabled' '1'
	option 'gateway' 'any'
	option 'authentication_method' 'pubkey'
	option 'local_gateway' 'xyz.mydomain.cn'
	option 'local_cert' 'xyz.mydomain.cn.cer'
	option 'local_key' 'xyz.mydomain.cn.key'
	option 'rekeytime' '6h'
	option 'keyingretries' '3'
	option 'mobike' '1'
	option 'fragmentation' 'yes'
	option 'keyexchange' 'ikev2'
	option 'local_identifier' 'xyz.mydomain.cn'
	#option 'dpdaction' 'clear'
	list 'local_sourceip' '0.0.0.0'
	list 'local_sourceip' '::'
	list 'crypto_proposal' 'ike_proposal1'
	list 'crypto_proposal' 'ike_proposal2'
	list 'tunnel' 'sstun'
	list 'pools' 'ipv4addr'

config 'crypto_proposal' 'ike_proposal1'
	option 'encryption_algorithm' 'chacha20poly1305'
	option 'dh_group' 'curve25519'
	option 'prf_algorithm' 'prfsha512'

config 'crypto_proposal' 'ike_proposal2'
	option 'encryption_algorithm' 'aes256gcm16'
	option 'dh_group' 'curve25519'
	option 'prf_algorithm' 'prfsha512'

# we don't specify subnets because we're going to use XFRM-interfaced based routes instead
config 'tunnel' 'sstun'
	list 'local_subnet' '0.0.0.0/0'
	#list 'remote_subnet' '0.0.0.0/0'
	list 'remote_subnet' 'dynamic'
	list 'remote_subnet' '224.0.0.0/4'
	option 'if_id' '666'
	option 'rekeytime' '1h'
	option 'dpdaction' 'clear'
	option 'startaction' 'none'
	option 'closeaction' 'none'
	list   'crypto_proposal' 'esp_proposal1'
	list   'crypto_proposal' 'esp_proposal2'

config 'crypto_proposal' 'esp_proposal1'
	option 'encryption_algorithm' 'chacha20poly1305'
	option 'dh_group' 'x25519'

config 'crypto_proposal' 'esp_proposal2'
	option 'encryption_algorithm' 'aes256gcm'
	option 'dh_group' 'modp2048'

config 'pools' 'ipv4addr'
	option 'addrs' '192.168.166.0/24'
	list 'dns' '192.168.163.1'

    配置 VPN 用户/etc/swanctl/conf.d/10.EAP_MSCHAPv2.users.conf 

    secrets {
    eap-user1 {
        id = user1
        secret = "user11980#"
    }
}
    第 1 条附言  ·  43 天前
    Gnome Network Manager 中配置 IPsec, 需要把 Identity/Server/Certificate 设置为 /etc/ssl/certs/ISRG_Root_X1.pem
    第 2 条附言  ·  41 天前
    配置 iOS 内置的 IKEv2 的服务,openwrt 中 strongswan 使用的证书格式务必是 RSA4096 ,兼容性比较好
    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3223 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 12:15 · PVG 20:15 · LAX 04:15 · JFK 07:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.