V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
wuruxu
V2EX  ›  OpenWrt

Openwrt 路由器,使用 strongswan 配置 ikev2 服务

  •  
  •   wuruxu · 52 天前 · 459 次点击
    这是一个创建于 52 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景:方便在外面连接家中网络
    软件环境 OpenWrt SNAPSHOT, r27700 / Linux OpenWrt 6.6.54 / Strongswan 5.9.14
    配置 /etc/config/ipsec

    config 'ipsec'
    	list listen 'wan'
    	option 'zone' 'ssvpn'
    
    config 'remote' 'acme'
    	option 'enabled' '1'
    	option 'gateway' 'any'
    	option 'authentication_method' 'pubkey'
    	option 'local_gateway' 'xyz.mydomain.cn'
    	option 'local_cert' 'xyz.mydomain.cn.cer'
    	option 'local_key' 'xyz.mydomain.cn.key'
    	option 'rekeytime' '6h'
    	option 'keyingretries' '3'
    	option 'mobike' '1'
    	option 'fragmentation' 'yes'
    	option 'keyexchange' 'ikev2'
    	option 'local_identifier' 'xyz.mydomain.cn'
    	#option 'dpdaction' 'clear'
    	list 'local_sourceip' '0.0.0.0'
    	list 'local_sourceip' '::'
    	list 'crypto_proposal' 'ike_proposal1'
    	list 'crypto_proposal' 'ike_proposal2'
    	list 'tunnel' 'sstun'
    	list 'pools' 'ipv4addr'
    
    config 'crypto_proposal' 'ike_proposal1'
    	option 'encryption_algorithm' 'chacha20poly1305'
    	option 'dh_group' 'curve25519'
    	option 'prf_algorithm' 'prfsha512'
    
    config 'crypto_proposal' 'ike_proposal2'
    	option 'encryption_algorithm' 'aes256gcm16'
    	option 'dh_group' 'curve25519'
    	option 'prf_algorithm' 'prfsha512'
    
    # we don't specify subnets because we're going to use XFRM-interfaced based routes instead
    config 'tunnel' 'sstun'
    	list 'local_subnet' '0.0.0.0/0'
    	#list 'remote_subnet' '0.0.0.0/0'
    	list 'remote_subnet' 'dynamic'
    	list 'remote_subnet' '224.0.0.0/4'
    	option 'if_id' '666'
    	option 'rekeytime' '1h'
    	option 'dpdaction' 'clear'
    	option 'startaction' 'none'
    	option 'closeaction' 'none'
    	list   'crypto_proposal' 'esp_proposal1'
    	list   'crypto_proposal' 'esp_proposal2'
    
    config 'crypto_proposal' 'esp_proposal1'
    	option 'encryption_algorithm' 'chacha20poly1305'
    	option 'dh_group' 'x25519'
    
    config 'crypto_proposal' 'esp_proposal2'
    	option 'encryption_algorithm' 'aes256gcm'
    	option 'dh_group' 'modp2048'
    
    config 'pools' 'ipv4addr'
    	option 'addrs' '192.168.166.0/24'
    	list 'dns' '192.168.163.1'
    

    配置 VPN 用户/etc/swanctl/conf.d/10.EAP_MSCHAPv2.users.conf

    secrets {
        eap-user1 {
            id = user1
            secret = "user11980#"
        }
    }
    
    
    第 1 条附言  ·  52 天前
    Gnome Network Manager 中配置 IPsec, 需要把 Identity/Server/Certificate 设置为 /etc/ssl/certs/ISRG_Root_X1.pem
    第 2 条附言  ·  49 天前
    配置 iOS 内置的 IKEv2 的服务,openwrt 中 strongswan 使用的证书格式务必是 RSA4096 ,兼容性比较好
    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2777 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:50 · PVG 22:50 · LAX 06:50 · JFK 09:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.