Полноценная поддержка IPsec в клиенте IKEv2.

fumufu · 15 мая, 2022

Хотелось бы поддержки следующих вариантов подключение в клиенте через веб.

IKEv2 EAP(Логин/Пароль) (уже есть на данный момент)
IKEv2 Cертификат
IKEv2 Cертификат + EAP(Логин/Пароль)
IKEv2 eap-tls (Cертификат)
IKEv2 eap-tnc (Логин/Пароль).

Так же хотелсь бы иметь возможность подключение используя только адрес сервера и p12 сертификат.

Le ecureuil · 16 мая, 2022

Массовые сервисы позволяют такое? Где в живую можно попробовать это все, не поднимая сервер руками на шиндошсе?

gaaronk · 16 мая, 2022

Массовые врядли. Но strongswan + freeradius вполне. У меня дома все это так и поднято.

fumufu · 16 мая, 2022

1 час назад, Le ecureuil сказал:

Массовые сервисы позволяют такое? Где в живую можно попробовать это все, не поднимая сервер руками на шиндошсе?

Насчет "всего" не знаю, но настройка "IKEv2 Cертификат" мне встречалась.

DeniZmo · 10 июня, 2022

В 15.05.2022 в 14:00, fumufu сказал:

Хотелось бы поддержки следующих вариантов подключение в клиенте через веб.

IKEv2 EAP(Логин/Пароль) (уже есть на данный момент)
IKEv2 Cертификат
IKEv2 Cертификат + EAP(Логин/Пароль)
IKEv2 eap-tls (Cертификат)
IKEv2 eap-tnc (Логин/Пароль).

Так же хотелсь бы иметь возможность подключение используя только адрес сервера и p12 сертификат.

Поддерживаю!

Дмитрий Лебедев · 8 сентября, 2022

Поддерживаю

Goga777 · 10 сентября, 2022

а уже сейчас в клиенте можно загрузить CA сертификат

означает ли это что вариант

IKEv2 Cертификат
IKEv2 Cертификат + EAP(Логин/Пароль)

уже реализован?

fumufu · 27 октября, 2022

Просто по сертификату, без логина пароля подключиться нельзя.

atlant_is · 8 мая

Присоединюсь к вопросу. Интересует вариант IKEv2 Cертификат

Планируется ли поддержка в будущем?

Le ecureuil · 8 мая

Покажете сервис который можно за деньги купить и с ним потестировать - будет разговор.

atlant_is · 14 мая

В 08.05.2024 в 17:17, Le ecureuil сказал:

Покажете сервис который можно за деньги купить и с ним потестировать - будет разговор.

Ну, к примеру, сервер IKEv2 с сертификатом можно поднять на любом MikroTik, к примеру.

sokolBigDick · 14 мая

В 08.05.2024 в 13:17, Le ecureuil сказал:

Покажете сервис который можно за деньги купить и с ним потестировать - будет разговор.

например арендовать vps сервер, настроить впн чтобы забугорные сайты открывать можно было

Le ecureuil · 23 мая

Это все самодельные костыли, которые вы сами можете как угодно крутить.

Меня же интересует максимально стандартное решение, которое предлагают провайдеры для широкого круга устройств, включая Windows и iOS.

На совместимость с этими вариантами мы и нацеливаемся в первую очередь.

sokolBigDick · 23 мая

4 часа назад, Le ecureuil сказал:

Это все самодельные костыли, которые вы сами можете как угодно крутить.

Меня же интересует максимально стандартное решение, которое предлагают провайдеры для широкого круга устройств, включая Windows и iOS.

На совместимость с этими вариантами мы и нацеливаемся в первую очередь.

а другие операционки для вас это 2ой сорт? я понять не могу вас, объяснитесь, товарисч
И как по вашему самодельные костыли можно прикрутить в системе, где нихрена прикрутить невозможно? Дайте так же ответ, о величайший и могущественнейший кинетиковладелец всех цветов и мастей

Shmel · 26 октября

поддерживаю. нужна реализация авторизации подключения по сертификату

Le ecureuil · 27 октября

В 23.05.2024 в 15:33, sokolBigDick сказал:

а другие операционки для вас это 2ой сорт? я понять не могу вас, объяснитесь, товарисч
И как по вашему самодельные костыли можно прикрутить в системе, где нихрена прикрутить невозможно? Дайте так же ответ, о величайший и могущественнейший кинетиковладелец всех цветов и мастей

Самодельные костыли прикручиваются уже много лет через opkg, и тут наша помощь не нужна.

sokolBigDick · 27 октября

5 часов назад, Le ecureuil сказал:

Самодельные костыли прикручиваются уже много лет через opkg, и тут наша помощь не нужна.

мой хороший))) зачем нам костыли, если лучше и красивее и элегантнее было бы сделать ноги))) это сложно реализовать?) это же как аналог опен впн сервера, где на серверной части генерируются сертификаты и так далее, если не изменяет память, на роутерах кинетик так можно сделать, в чем проблема условно скопипастить и для IKEv2?))) То, что вы написали - это не решение. Хочется из веб морды управлять всем этим. Я CLI люблю конечно, но я не хочу openwrt на флешке держать)) мне проще будет купить роутер, прошить его в open wrt и из веб морды использовать IKEv2 с сертификатами и прочей прелестью)

bigpu · 27 октября

32 минуты назад, sokolBigDick сказал:

мой хороший))) зачем нам костыли, если лучше и красивее и элегантнее было бы сделать ноги))) это сложно реализовать?) это же как аналог опен впн сервера, где на серверной части генерируются сертификаты и так далее, если не изменяет память, на роутерах кинетик так можно сделать, в чем проблема условно скопипастить и для IKEv2?))) То, что вы написали - это не решение. Хочется из веб морды управлять всем этим. Я CLI люблю конечно, но я не хочу openwrt на флешке держать)) мне проще будет купить роутер, прошить его в open wrt и из веб морды использовать IKEv2 с сертификатами и прочей прелестью)

С такого рода общением с разрабами, родной, как бы вам и дальше не пришлось сидеть на OpenWrt со всеми его прелестями))

sokolBigDick · 27 октября

4 минуты назад, bigpu сказал:

С такого рода общением с разрабами, родной, как бы вам и дальше не пришлось сидеть на OpenWrt со всеми его прелестями))

я же не грублю и не оскабляю) исключительно дружелюбно веду беседу) если мой стиль общения не нравится этому человеку, я извинюсь и буду исключительно вести деловую переписку

Виталий Шадрин · 29 октября

В 15.05.2022 в 14:00, fumufu сказал:

IKEv2 Cертификат
IKEv2 Cертификат + EAP(Логин/Пароль)

Доброе утро всем!

Собственно реализовать фичи, описанные в первом посте можно без проблем. В моем случае сделал это на Keenetic Peak ОС v4.2.

Вкратце:

1. Встроенный в ОС StrongSwan управляется через vici-интерфейс по сокету, расположенному /temp/ipsec/vici.socket. Управлять можно утилитой /usr/bin/swanctl.

2. Командами swanctl --reload-settings, --load-creds, --load-pools, --load-conns можно заменить штатную конфигурацию IPSec VPN на свою, включая замену используемых сертификатов LetsEncrypt, на свои, в том числе самоподписанные.

3. Свою конфигурацию демона charon формируем в файле /opt/etc/swanctl/strongswan.conf, подменяем копированием штатный файл /tmp/ipsec/strongswan.conf

4. Свою конфигурацию VPN описываем в файле /opt/etc/swanctl/swanctl.conf

5. В папки /opt/etc/swanctl/x509, /opt/etc/swanctl/x509ca, /opt/etc/swanctl/private кладем сертификаты и закрытые ключи.

6. Чтобы своя конфигурация применялась при перезагрузке маршрутизатора, кладем скрипт в /opt/etc/init.d

Виталий Шадрин · 31 октября

Единственное, что пока не получилось, так это получить доступ с удаленного мобильного клиента, подключенного к VPN-сервер IKEv2/IPsec, к другим сегментам сети, подключенным к этому же кинетику через IPSec сеть-сеть подключения. Добавлял маршруты и в основную таблицу маршрутизации и в table 248. Не получилось пока.

Изменено 31 октября пользователем Виталий Шадрин

Войти

Полноценная поддержка IPsec в клиенте IKEv2.

Вопрос

fumufu

20 ответов на этот вопрос

Рекомендуемые сообщения

Le ecureuil

gaaronk

fumufu

DeniZmo

Дмитрий Лебедев

Goga777

fumufu

atlant_is

Le ecureuil

atlant_is

sokolBigDick

Le ecureuil

sokolBigDick

Shmel

Le ecureuil

sokolBigDick

bigpu

sokolBigDick

Виталий Шадрин

Виталий Шадрин

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация