OpenWRT 15.05ベースのルーターにstrongswan 5.3.3-1をセットアップしました。これに従いましたチュートリアル
サーバー側認証用の証明書は Let's Encrypt によって発行されます。私はこれを Synology ボックスに使用していますが、問題なく動作しています。
クライアントはユーザー名/パスワード (EAP-MSCHAPv2) を使用して認証されます
ipsec.conf の内容:
config setup
uniqueids=no
charondebug ="all"
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=2000s
keyexchange=ikev2
auto=add
rekey=no
reauth=no
fragmentation=yes
eap_identity=%identity
# left - local (server) side
left=%any
leftsubnet=0.0.0.0/0
leftauth=pubkey
leftcert=le.cert.pem
leftsendcert=always
leftfirewall=yes
# right - remote (client) side
right=%any
rightsourceip=10.7.0.0/24
rightdns=192.168.1.1,192.168.1.254
rightsendcert=never
conn ikev2-mschapv2
rightauth=eap-mschapv2
conn ikev2-mschapv2-apple
rightauth=eap-mschapv2
[email protected]
/etc/strongswan.conf:
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
MacBook クライアントから VPN に接続すると、次のことに気付きます。
トラフィックはトンネルを通過します(予想どおり) - 外部 IP は VPN サーバーのパブリック IP です
DNS は期待どおりに動作し、左側 (VPN サーバー) サイトのすべての内部マシンを名前でクエリできます。
google.com への ping も同様に機能します。
しかし、ブラウザでは https ウェブサイトに接続できません。
Chrome で表示されるエラー:
Firefox はこれを返します:
これは openvpn サーバーでは一度も発生しませんでした。証明書でこの問題が発生する原因について何か考えはありますか?