Jump to content

Question

Posted

Хотелось бы поддержки следующих вариантов подключение в клиенте через веб.

IKEv2 EAP(Логин/Пароль) (уже есть на данный момент)
IKEv2 Cертификат 
IKEv2 Cертификат + EAP(Логин/Пароль)
IKEv2 eap-tls (Cертификат)
IKEv2 eap-tnc (Логин/Пароль).

Так же хотелсь бы иметь возможность подключение используя только адрес сервера и p12 сертификат.

  • Thanks 1
  • Upvote 2

20 answers to this question

Recommended Posts

  • 0
Posted

Массовые сервисы позволяют такое? Где в живую можно попробовать это все, не поднимая сервер руками на шиндошсе?

  • 0
Posted

Массовые врядли. Но strongswan + freeradius вполне. У меня дома все это так и поднято.

  • 0
Posted
1 час назад, Le ecureuil сказал:

Массовые сервисы позволяют такое? Где в живую можно попробовать это все, не поднимая сервер руками на шиндошсе?

Насчет "всего" не знаю, но настройка "IKEv2 Cертификат" мне встречалась.

 

  • 0
Posted
В 15.05.2022 в 14:00, fumufu сказал:

Хотелось бы поддержки следующих вариантов подключение в клиенте через веб.

IKEv2 EAP(Логин/Пароль) (уже есть на данный момент)
IKEv2 Cертификат 
IKEv2 Cертификат + EAP(Логин/Пароль)
IKEv2 eap-tls (Cертификат)
IKEv2 eap-tnc (Логин/Пароль).

Так же хотелсь бы иметь возможность подключение используя только адрес сервера и p12 сертификат.

Поддерживаю!

  • 0
Posted

а уже сейчас в клиенте можно загрузить CA сертификат

означает ли это что вариант

IKEv2 Cертификат 
IKEv2 Cертификат + EAP(Логин/Пароль)

уже реализован? 

  • 0
Posted

Просто по сертификату, без логина пароля подключиться нельзя.

  • 0
Posted

Присоединюсь к вопросу. Интересует вариант IKEv2 Cертификат

Планируется ли поддержка в будущем?

  • Upvote 1
  • 0
Posted
В 08.05.2024 в 17:17, Le ecureuil сказал:

Покажете сервис который можно за деньги купить и с ним потестировать - будет разговор.

Ну, к примеру, сервер IKEv2 с сертификатом можно поднять на любом MikroTik, к примеру. 

  • 0
Posted
В 08.05.2024 в 13:17, Le ecureuil сказал:

Покажете сервис который можно за деньги купить и с ним потестировать - будет разговор.

например арендовать vps сервер, настроить впн чтобы забугорные сайты открывать можно было

  • 0
Posted

Это все  самодельные костыли, которые вы сами можете как угодно крутить.

Меня же интересует максимально стандартное решение, которое предлагают провайдеры для широкого круга устройств, включая Windows и iOS.

На совместимость с этими вариантами мы и нацеливаемся в первую очередь.

  • Upvote 1
  • 0
Posted
4 часа назад, Le ecureuil сказал:

Это все  самодельные костыли, которые вы сами можете как угодно крутить.

Меня же интересует максимально стандартное решение, которое предлагают провайдеры для широкого круга устройств, включая Windows и iOS.

На совместимость с этими вариантами мы и нацеливаемся в первую очередь.

а другие операционки для вас это 2ой сорт? я понять не могу вас, объяснитесь, товарисч
И как по вашему самодельные костыли можно прикрутить в системе, где нихрена прикрутить невозможно? Дайте так же ответ, о величайший и могущественнейший кинетиковладелец всех цветов и мастей

  • 0
Posted

поддерживаю. нужна реализация авторизации подключения по сертификату

  • 0
Posted
В 23.05.2024 в 15:33, sokolBigDick сказал:

а другие операционки для вас это 2ой сорт? я понять не могу вас, объяснитесь, товарисч
И как по вашему самодельные костыли можно прикрутить в системе, где нихрена прикрутить невозможно? Дайте так же ответ, о величайший и могущественнейший кинетиковладелец всех цветов и мастей

Самодельные костыли прикручиваются уже много лет через opkg, и тут наша помощь не нужна.

  • Upvote 1
  • 0
Posted
5 часов назад, Le ecureuil сказал:

Самодельные костыли прикручиваются уже много лет через opkg, и тут наша помощь не нужна.

мой хороший))) зачем нам костыли, если лучше и красивее и элегантнее было бы сделать ноги))) это сложно реализовать?) это же как аналог опен впн сервера, где на серверной части генерируются сертификаты и так далее, если не изменяет память, на роутерах кинетик так можно сделать, в чем проблема условно скопипастить и для IKEv2?))) То, что вы написали - это не решение. Хочется из веб морды управлять всем этим. Я CLI люблю конечно, но я не хочу openwrt на флешке держать)) мне проще будет купить роутер, прошить его в open wrt и из веб морды использовать IKEv2 с сертификатами и прочей прелестью)

  • 0
Posted
32 минуты назад, sokolBigDick сказал:

мой хороший))) зачем нам костыли, если лучше и красивее и элегантнее было бы сделать ноги))) это сложно реализовать?) это же как аналог опен впн сервера, где на серверной части генерируются сертификаты и так далее, если не изменяет память, на роутерах кинетик так можно сделать, в чем проблема условно скопипастить и для IKEv2?))) То, что вы написали - это не решение. Хочется из веб морды управлять всем этим. Я CLI люблю конечно, но я не хочу openwrt на флешке держать)) мне проще будет купить роутер, прошить его в open wrt и из веб морды использовать IKEv2 с сертификатами и прочей прелестью)

С такого рода общением с разрабами, родной, как бы вам и дальше не пришлось сидеть на OpenWrt со всеми его прелестями))

  • 0
Posted
4 минуты назад, bigpu сказал:

С такого рода общением с разрабами, родной, как бы вам и дальше не пришлось сидеть на OpenWrt со всеми его прелестями))

я же не грублю и не оскабляю) исключительно дружелюбно веду беседу) если мой стиль общения не нравится этому человеку, я извинюсь и буду исключительно вести деловую переписку

  • 0
Posted
В 15.05.2022 в 14:00, fumufu сказал:

IKEv2 Cертификат 
IKEv2 Cертификат + EAP(Логин/Пароль)

Доброе утро всем!

Собственно реализовать фичи, описанные в первом посте можно без проблем. В моем случае сделал это на Keenetic Peak ОС v4.2.

Вкратце:

1. Встроенный в ОС StrongSwan управляется через vici-интерфейс по сокету, расположенному /temp/ipsec/vici.socket. Управлять можно утилитой /usr/bin/swanctl.

2. Командами swanctl --reload-settings, --load-creds, --load-pools, --load-conns можно заменить штатную конфигурацию IPSec VPN на свою, включая замену используемых сертификатов LetsEncrypt, на свои, в том числе самоподписанные.

3. Свою конфигурацию демона charon формируем в файле /opt/etc/swanctl/strongswan.conf, подменяем копированием штатный файл /tmp/ipsec/strongswan.conf

4. Свою конфигурацию VPN описываем в файле /opt/etc/swanctl/swanctl.conf

5. В папки /opt/etc/swanctl/x509, /opt/etc/swanctl/x509ca, /opt/etc/swanctl/private кладем сертификаты и закрытые ключи.

6. Чтобы своя конфигурация применялась при перезагрузке маршрутизатора, кладем скрипт в /opt/etc/init.d

  • 0
Posted (edited)

Единственное, что пока не получилось, так это получить доступ с удаленного мобильного клиента, подключенного к VPN-сервер IKEv2/IPsec, к другим сегментам сети, подключенным к этому же кинетику через IPSec сеть-сеть подключения. Добавлял маршруты и в основную таблицу маршрутизации и в table 248. Не получилось пока.

Edited by Виталий Шадрин

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.