Por alguna razón, OpenVPN funciona muy bien en mi máquina local, pero IPSec IKEV2 VPN no y solo funciona cuando OpenVPN está conectado.
Tengo un dominio para IPSec IKEV2 VPN y en la máquina local la VPN está usando el puerto 443.
Indique qué debo hacer para forzar que la VPN funcione en mi máquina local sin OpenVPN.
¿Debo cambiar el puerto 443 en el servidor o cambiar los puertos 500 y 4500?
Seguí el enlace a continuación para configurar IKEv2 VPN usando Strongswan y cifremos en CentOS 7 con algunos cambios.
Cómo configurar IKEv2 VPN usando Strongswan y Let's encrypt en CentOS 7
Mis comandos Let's encrypt son así:
curl https://get.acme.sh | sh
~/.acme.sh/acme.sh --set-default-ca --server letsencrypt
~/.acme.sh/acme.sh --register-account -m [email protected]
~/.acme.sh/acme.sh --issue -d my_domain.com --keylength 4096 --standalone --force
service httpd stop
~/.acme.sh/acme.sh --issue -d my_domain.com --keylength 4096 --standalone --force
Your cert is in: /root/.acme.sh/my_domain.com/my_domain.com.cer
Your cert key is in: /root/.acme.sh/my_domain.com/my_domain.com.key
The intermediate CA cert is in: /root/.acme.sh/my_domain.com/ca.cer
And the full chain certs is there: /root/.acme.sh/my_domain.com/fullchain.cer
~/.acme.sh/acme.sh --installcert -d my_domain.com --keylength 4096 --key-file /root/private.key --fullchain-file /root/cert.crt
service httpd start
service httpd status
Copia del certificado:
sudo cp /root/private.key /etc/strongswan/ipsec.d/private/
sudo cp /root/cert.crt /etc/strongswan/ipsec.d/certs/
sudo cp /root/.acme.sh/p02.artemis-art.buzz/ca.cer /etc/strongswan/ipsec.d/cacerts/
Configuración de StrongSwan:
#global configuration IPsec
#chron logger
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
#define new ipsec connection
conn hakase-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1!
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@my_domain.com
leftcert=cert.crt
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.15.1.0/24
rightdns=1.1.1.1,8.8.8.8
rightsendcert=never
eap_identity=%identity
Y aquí está el archivo de secretos:
nano -K /etc/strongswan/ipsec.secrets
: RSA "private.key"
test : EAP "123"
Expliquemos el problema nuevamente.
Algunas reglas de firewall de mi proveedor de Internet Wi-Fi bloquean VPN (ikev2 - l2tp - pptp)
Pero openvps funciona de maravilla.
Cuando openvpn está funcionando, puedo conectarme a ikev2 vpn mediante la configuración superior.
Dígame qué debo cambiar acerca de ikev2 para que funcione sin openvpn. Primer paso, creo que debería cambiar los puertos 500 y 4500 en el servidor.
¿Yo tengo razón?
¿Pero cómo?
/etc/strongswan/ipsec.d/¡¡¡Este archivo no tiene lugar para definir puertos personalizados!!!