По какой-то причине OpenVPN работает на моей локальной машине очень хорошо, но IPSec IKEV2 VPN нет, и он работает только при подключении OpenVPN.
У меня есть домен для IPSec IKEV2 VPN, а на локальной машине vpn использует порт 443.
Подскажите, что мне сделать, чтобы заставить vpn работать на моей локальной машине без OpenVPN.
Мне следует изменить порт 443 на сервере или изменить порты 500 и 4500?
Я перешел по ссылке ниже, чтобы настроить IKEv2 VPN с помощью Strongswan и Let's Encrypt на CentOS 7 с некоторыми изменениями.
Как настроить IKEv2 VPN с помощью Strongswan и Let's Encrypt на CentOS 7
Мои команды Let's encrypt выглядят так:
curl https://get.acme.sh | sh
~/.acme.sh/acme.sh --set-default-ca --server letsencrypt
~/.acme.sh/acme.sh --register-account -m [email protected]
~/.acme.sh/acme.sh --issue -d my_domain.com --keylength 4096 --standalone --force
service httpd stop
~/.acme.sh/acme.sh --issue -d my_domain.com --keylength 4096 --standalone --force
Your cert is in: /root/.acme.sh/my_domain.com/my_domain.com.cer
Your cert key is in: /root/.acme.sh/my_domain.com/my_domain.com.key
The intermediate CA cert is in: /root/.acme.sh/my_domain.com/ca.cer
And the full chain certs is there: /root/.acme.sh/my_domain.com/fullchain.cer
~/.acme.sh/acme.sh --installcert -d my_domain.com --keylength 4096 --key-file /root/private.key --fullchain-file /root/cert.crt
service httpd start
service httpd status
Копия сертификата:
sudo cp /root/private.key /etc/strongswan/ipsec.d/private/
sudo cp /root/cert.crt /etc/strongswan/ipsec.d/certs/
sudo cp /root/.acme.sh/p02.artemis-art.buzz/ca.cer /etc/strongswan/ipsec.d/cacerts/
Конфигурация StrongSwan:
#global configuration IPsec
#chron logger
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
#define new ipsec connection
conn hakase-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1!
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@my_domain.com
leftcert=cert.crt
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.15.1.0/24
rightdns=1.1.1.1,8.8.8.8
rightsendcert=never
eap_identity=%identity
А вот и файл секретов:
nano -K /etc/strongswan/ipsec.secrets
: RSA "private.key"
test : EAP "123"
Давайте объясним проблему еще раз.
Некоторые правила брандмауэра моего интернет-провайдера Wi-Fi блокируют vpn (ikev2 - l2tp - pptp).
Но openvps работает как часы.
Когда openvpn работает, я могу подключиться к ikev2 vpn с помощью верхней конфигурации.
Подскажите, что мне нужно изменить в ikev2, чтобы он работал без openvpn. Первым делом я думаю, что мне нужно изменить порты 500 и 4500 на сервере.
Я прав?
Но как?
/etc/strongswan/ipsec.d/В этом файле нет места для определения пользовательских портов!!!