У меня есть экземпляр AWS, который я хочу использовать в качестве VPN-сервера. Он будет подключать клиентов Windows 7 к частной сети в облаке Amazon.
- Я установил Ubuntu 12.04 и
strongswan-ikev2пакет. ipsec versionотчетыLinux strongSwan U4.5.2/K3.2.0-52-virtual- Обратите внимание, что и клиент, и сервер находятся за NAT (клиент — потому что он находится в локальной офисной сети, а сервер — потому что он находится в облаке Amazon). Я разблокировал порты UDP 500 и 4500 как на панели управления Amazon, так и на брандмауэре клиента.
Это /etc/ipsec.conf:
config setup plutostart=no conn %default keyexchange=ikev2 ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=clear dpddelay=300s rekey=no conn win7vpn left=%any leftsubnet=<amazon VPC CIDR block> leftauth=pubkey leftcert=openssl-cert.pem leftid=<vpn server public dns name> right=%any rightsourceip=<amazon private IP address, which elastic ip is forwarded to> rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=addЭто /etc/ipsec.secrets:
: RSA openssl-key.rsa TESTDOMAIN\testuser : EAP "testpassword"Я добавил сертификат CA, подписавший сертификат хоста сервера, в хранилище сертификатов локального компьютера (не пользователя), чтобы Windows могла аутентифицировать сервер.
Затем я пытаюсь подключиться к серверу с помощью клиента Windows 7, как предписано.здесь, за одним исключением - я использую DNS-имя вместо IP-адреса. Я ввожу имя пользователя, домен и пароль в файл ipsec.secrets, и он пытается подключиться.
Когда это происходит, я получаю логи strongSwan, которые выглядят так. Я немного их подправил как для цензуры, так и для ясности; CLIENTPUB/CLIENTPRIV — это публичный и частный IP-адреса клиента, а AMAZONPRIV — это частный IP-адрес сервера (на который перенаправляется публичный IP сервера — Amazon называет это «Elastic IP»).
Sep 4 00:16:17 localhost charon: 14[IKE] CLIENTPUB is initiating an IKE_SA
Sep 4 00:16:17 localhost charon: 14[NET] received packet: from CLIENTPUB[500] to AMAZONPRIV[500]
Sep 4 00:16:17 localhost charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Sep 4 00:16:17 localhost charon: 14[IKE] CLIENTPUB is initiating an IKE_SA
Sep 4 00:16:17 localhost charon: 14[IKE] local host is behind NAT, sending keep alives
Sep 4 00:16:17 localhost charon: 14[IKE] remote host is behind NAT
Sep 4 00:16:17 localhost charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]
Sep 4 00:16:17 localhost charon: 14[NET] sending packet: from AMAZONPRIV[500] to CLIENTPUB[500]
Sep 4 00:16:17 localhost charon: 15[NET] received packet: from CLIENTPUB[4500] to AMAZONPRIV[4500]
Sep 4 00:16:17 localhost charon: 15[ENC] unknown attribute type INTERNAL_IP4_SERVER
Sep 4 00:16:17 localhost charon: 15[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CP(ADDR DNS NBNS SRV) SA TSi TSr ]
Sep 4 00:16:17 localhost charon: 15[IKE] received cert request for "C=US, ST=TX, O=Test CA, CN=Test CA"
Sep 4 00:16:17 localhost charon: 15[IKE] received 316 cert requests for an unknown ca
Sep 4 00:16:17 localhost charon: 15[CFG] looking for peer configs matching AMAZONPRIV[%any]...CLIENTPUB[CLIENTPRIV]
Sep 4 00:16:17 localhost charon: 15[CFG] selected peer config 'dlpvpn'
Sep 4 00:16:17 localhost charon: 15[IKE] initiating EAP-Identity request
Sep 4 00:16:17 localhost charon: 15[IKE] peer supports MOBIKE
Sep 4 00:16:17 localhost charon: 15[IKE] authentication of 'C=US, ST=TX, O=DLP Test CA, CN=vpn.example.com' (myself) with RSA signature successful
Sep 4 00:16:17 localhost charon: 15[IKE] sending end entity cert "C=US, ST=TX, O=DLP Test CA, CN=vpn.example.com"
Sep 4 00:16:17 localhost charon: 15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Sep 4 00:16:17 localhost charon: 15[NET] sending packet: from AMAZONPRIV[4500] to CLIENTPUB[4500]
В этот момент Windows немедленно выдает сообщение об ошибке:
Verifying user name and password...
Error 13801: IKE authentication credentials are unacceptable
Через несколько секунд Харон повторяет попытку, а затем закрывает соединение.
Sep 4 00:16:37 localhost charon: 16[IKE] sending keep alive
Sep 4 00:16:37 localhost charon: 16[NET] sending packet: from AMAZONPRIV[4500] to CLIENTPUB[4500]
Sep 4 00:16:47 localhost charon: 03[JOB] deleting half open IKE_SA after timeout
Вот и все.
Насколько я могу судить, я слежу за всемиинструкциина strongSwan wiki.
Что я здесь делаю не так?
Редактировать: это определенно проблема с сертификатами. Я отключил расширенные проверки, отредактировав реестр и перезагрузив, как описано в MSKB926182 (лол, если вы хотели ссылку на это), и теперь я могу подключаться к своему VPN-серверу без ошибок. Я разберусь, как сгенерировать сертификаты, которые удовлетворяют требованиям, и добавлю ответ. Спасибо @ecdsa за ссылку на страницу сертификатов на strongSwan wiki, которая указала мне правильное направление.
решение1
Разобрался с этим. @ecdsa указал мне правильное направление, и я наконец смог решить проблему, следуяэто руководство.
ipsec pki --gen --type rsa --size 4096 --outform pem > vpnca.key.pem
ipsec pki --self --flag serverAuth --in vpnca.key.pem --type rsa --digest sha1 \
--dn "C=US, O=Example Company, CN=Example VPN CA" --ca > vpnca.crt.der
ipsec pki --gen --type rsa --size 4096 --outform pem > vpn.example.com.key.pem
ipsec pki --pub --in vpn.example.com.key.pem --type rsa > vpn.example.com.csr
ipsec pki --issue --cacert vpnca.crt.der --cakey vpnca.key.pem --digest sha1 \
--dn "C=US, O=Example Company, CN=vpn.example.com" \
--san "vpn.example.com" --flag serverAuth --outform pem \
< vpn.example.com.csr > vpn.example.com.crt.pem
openssl rsa -in vpn.example.com.key.pem -out vpn.example.com.key.der -outform DER
cp vpnca.crt.der /etc/ipsec.d/cacerts
cp vpn.example.com.crt.pem /etc/ipsec.d/certs
cp vpn.example.com.key.der /etc/ipsec.d/private
Об ошибке
Сообщение об ошибке было «Ошибка 13801: учетные данные аутентификации IKE неприемлемы», чтозвучалокак будто мои учетные данные пользователя не работали. Однако, это сообщение об аутентификациисервер, что делается (согласно моей конфигурации) SSL-сертификатом сервера. Microsoft опубликовала документацию поУстранение неполадок VPN-подключений IKEv2в котором перечислены возможные причины этой ошибки:
- Срок действия сертификата истек.
- Доверенный корень для сертификата отсутствует на клиенте.
- Имя субъекта сертификата не соответствует удаленному компьютеру.
- Сертификату не назначены требуемые значения расширенного использования ключа (EKU).
В моем случае проблема была связана со значениями EKU. Следуя руководству, ссылку на которое я дал в верхней части, я смог сгенерировать сертификат с правильными значениями EKU, и это сработало отлично.
Чтобы устранить эту неполадку, вы можете отключить проверку EKU на вашем клиенте Windows (конечно, это следует делать только в целях тестирования):
- Запуск
regedit - Перейдите к
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters - Добавьте DWORD с именем
DisableIKENameEkuCheckи задайте его значение1 - В документации Microsoft указано, что после этого необходимо перезагрузить компьютер, но мне это не потребовалось, чтобы изменения вступили в силу.
решение2
У меня была идентичная проблема, и я решил ее, убедившись, что в файле сертификата есть цепочка сертификатов (сертификат конечного объекта, промежуточный CA, корневой CA — в таком порядке). TLS — это весело.
После перезапуска strongSwan это перестало работать, но заработало снова, когда я перенес промежуточный и корневой CA в /etc/ipsec.d/cacerts.
решение3
После долгих поисков эта ветка заставила мою конфигурацию Windows Phone 10 (WP10) работать с IKEv2! Стоит упомянуть, что вам нужно ./configure вашего Strongswan с --enable-eap-identity --enable-eap-mschapv2 --enable-openssl (и, возможно, --enable-dhcp), чтобы иметь необходимые плагины. И да, вам нужно правильно получить сертификаты (на стороне сервера — клиенту нужно знать только корневой CA сервера).