Настройка VPN сервера IKEv2 на Ubuntu 16.04 LTS + iPhone
Сегодня покажу как на VPS сервере с Ubuntu 16.04 настроить VPN сервер с протоколом IKEv2 и подключим к нему IPhone через заранее созданный конфигурационный файл. Подготовка
|
1 2 3 4 5 |
sudo echo "deb http://ftp.debian.org/debian wheezy-backports main" > /etc/apt/sources.list.d/wheezy-backports.list sudo gpg --keyserver pgpkeys.mit.edu --recv-key 8B48AD6246925553 sudo gpg -a --export 8B48AD6246925553 | sudo apt-key add - sudo gpg --keyserver pgpkeys.mit.edu --recv-key 7638D0442B90D010 sudo gpg -a --export 7638D0442B90D010 | sudo apt-key add - |
|
1 |
sudo apt-get -y update && sudo apt-get upgrade -y |
Шаг 1: Установка Strongswan Package
|
1 |
sudo apt-get -y install strongswan strongswan-plugin-openssl strongswan-plugin-eap-mschapv2 |
Шаг 2: Редактируем strongswan.conf
Для быстрой очистки файла делаем
|
1 |
echo "" > /etc/strongswan.conf |
И вставляем следующий текст
|
1 2 3 4 5 6 7 8 9 10 |
charon { load_modular = yes dns1 = 8.8.8.8 dns2 = 8.8.4.4 plugins { include strongswan.d/charon/*.conf } } include strongswan.d/*.conf |
Вы можете заменить Google DNS на любые другие.
Шаг 3: Редактируем ipsec.conf
Чистим файл аналогичным способом
|
1 |
echo "" > /etc/ipsec.conf |
Копируем следующие настройки.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
config setup strictcrlpolicy=no uniqueids = no conn %default mobike=yes dpdaction=clear dpddelay=35s dpdtimeout=200s fragmentation=yes conn iOS-IKEV2 auto=add keyexchange=ikev2 eap_identity=%any left=%any leftsubnet=0.0.0.0/0 rightsubnet=10.99.1.0/24 leftauth=psk leftid=%any right=%any rightsourceip=10.99.1.0/24 rightauth=eap-mschapv2 rightid=%any |
Шаг 4: Редактируем ipsec.secrets (логины и пароли пользователей)
Чистим файл
|
1 |
sudo echo "" > /etc/ipsec.secrets |
Вставляем
|
1 2 3 4 5 |
include /var/lib/strongswan/ipsec.secrets.inc # logins : PSK "SEXapPAm5x5OXktAzes9nxE3NvilpmIH1orpE2cIzgfWRZgQDYZ1Wm3thlfXXwn" myusername : EAP "hSyeI1H8Wsybb5qDk5abBrJ7LCu3bPbJrax9aFG77FiiJZu3eUepLwvg9pjjEL3" |
PSK — вводите любую последовательность символов. Можно сгенерировать тут:
http://darkvoice.dyndns.org/wlankeygen/
myusername — логин и дальше в кавычках идет пароль.
Шаг 5: Правила iptables
Нужно узнать основной сетевой интерефейс. Обычно это eth0, но лучше проверить
|
1 |
ifconfig |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
ens3 Link encap:Ethernet HWaddr 52:54:00:c2:c2:ad inet addr:194.67.209.155 Bcast:194.67.223.255 Mask:255.255.240.0 inet6 addr: fe80::5054:ff:fec2:c2ad/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:5483341 errors:0 dropped:0 overruns:0 frame:0 TX packets:5128498 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1830663175 (1.8 GB) TX bytes:2754986719 (2.7 GB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:94940 errors:0 dropped:0 overruns:0 frame:0 TX packets:94940 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:12680067 (12.6 MB) TX bytes:12680067 (12.6 MB) |
Как видим интерфейс у нас ens3.
Теперь подставляя нужный интерфейс вводим следующее
|
1 2 3 4 |
sudo iptables -t nat -A POSTROUTING -s 10.99.1.0/24 -o ens3 -j MASQUERADE sudo iptables -A FORWARD -s 10.99.1.0/24 -j ACCEPT sudo iptables -A INPUT -p udp --dport 500 -j ACCEPT sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPT |
Теперь нужно включить IP forwarding
|
1 |
echo 1 > /proc/sys/net/ipv4/ip_forward |
И чтобы не делать это после каждой перезагрузки, добавьте следующую строку в файл /etc/sysctl.conf
|
1 |
net.ipv4.ip_forward=1 |
Затем перезагрузить его введя
|
1 |
sudo sysctl -p |
И перезагружаем ipsec
|
1 |
ipsec restart |
Шаг 6: Создать файл конфигурации для телефона
Создаем файл с именем myusername.mobileconfig и загружаем его на сервер в публичный доступ. Затем заходим с телефона по адресу и скачиваем файл — iPhone предложит установить конфигурацию.
Где написано @@Заменить …@@ заменяем целиком с @@.
uuidgen — запускаем в консоли в linux
|
1 2 |
# uuidgen 346c8e7e-68d3-4518-a28d-96cc9084f4ad |
Вывод команды пишем в файл. В каждую строку — разное значение.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 |
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadContent</key> <array> <dict> <key>IKEv2</key> <dict> <key>AuthName</key> <string>@@Заменить именем пользователя из /etc/ipsec.secrets@@</string> <key>AuthPassword</key> <string>@@Заменить паролем из /etc/ipsec.secrets@@</string> <key>AuthenticationMethod</key> <string>SharedSecret</string> <key>ChildSecurityAssociationParameters</key> <dict> <key>DiffieHellmanGroup</key> <integer>2</integer> <key>EncryptionAlgorithm</key> <string>AES-128</string> <key>IntegrityAlgorithm</key> <string>SHA1-96</string> <key>LifeTimeInMinutes</key> <integer>1440</integer> </dict> <key>DeadPeerDetectionRate</key> <string>Medium</string> <key>DisableMOBIKE</key> <integer>0</integer> <key>DisableRedirect</key> <integer>0</integer> <key>EnableCertificateRevocationCheck</key> <integer>0</integer> <key>EnablePFS</key> <integer>0</integer> <key>ExtendedAuthEnabled</key> <true/> <key>IKESecurityAssociationParameters</key> <dict> <key>DiffieHellmanGroup</key> <integer>2</integer> <key>EncryptionAlgorithm</key> <string>AES-128</string> <key>IntegrityAlgorithm</key> <string>SHA1-96</string> <key>LifeTimeInMinutes</key> <integer>1440</integer> </dict> <key>LocalIdentifier</key> <string>myserver.com.client</string> <key>RemoteAddress</key> <string>@@Заменить IP адресом сервера или доменом@@</string> <key>RemoteIdentifier</key> <string>myserver.com.server</string> <key>SharedSecret</key> <string>@@Заменить своим PSK из /etc/ipsec.secrets@@</string> <key>UseConfigurationAttributeInternalIPSubnet</key> <integer>0</integer> </dict> <key>IPv4</key> <dict> <key>OverridePrimary</key> <integer>1</integer> </dict> <key>PayloadDescription</key> <string>Configures VPN settings for iphone</string> <key>PayloadDisplayName</key> <string>TutorialVPN</string> <key>PayloadIdentifier</key> <string>com.apple.vpn.managed.@@Заменить выводом uuidgen@@</string> <key>PayloadType</key> <string>com.apple.vpn.managed</string> <key>PayloadUUID</key> <string>@@Заменить выводом uuidgen@@</string> <key>PayloadVersion</key> <real>1</real> <key>Proxies</key> <dict> <key>HTTPEnable</key> <integer>0</integer> <key>HTTPSEnable</key> <integer>0</integer> <key>ProxyAutoConfigEnable</key> <integer>0</integer> <key>ProxyAutoDiscoveryEnable</key> <integer>0</integer> </dict> <key>UserDefinedName</key> <string>@@My VPN Connection Name@@</string> <key>VPNType</key> <string>IKEv2</string> <key>VendorConfig</key> <dict/> </dict> </array> <key>PayloadDisplayName</key> <string>IKEv2</string> <key>PayloadIdentifier</key> <string>@@Заменить выводом uuidgen@@</string> <key>PayloadRemovalDisallowed</key> <false/> <key>PayloadType</key> <string>Configuration</string> <key>PayloadUUID</key> <string>@@Заменить выводом uuidgen@@</string> <key>PayloadVersion</key> <integer>1</integer> </dict> </plist> |
Шаг 7: Настраиваем IPhone
После того как в браузере ввели адрес файла с конфигом — устанавливаем конфигурацию. Ничего сложного нет, ниже скриншоты.
После установки заходим в Настройки и включаем VPN. Если что-то пошло не так, смотрите логи и разбираетесь, либо пишите в комментариях — я помогу.
Логи подключений пишутся в /var/log/syslog
Загруженные плагины можно посмотреть командой
|
1 |
ipsec listplugins |
Юрок
05.06.2017Я начинающий линуксойд, но уже могу с нуля многое поднять. Не так давно заинтересовался VPN и никак не могу понять. VPN можно поставить на чистую (к примеру) Ubuntu или нужно чтоб на ней был шлюз и внешний IP у меня динамический, он должен обязательно быть статичесиким…?
nlinberg
21.08.2017Для VPN важно, чтобы к нему могли подключится Ваши клиенты. Если клиенты это телефоны с подключением по 3G\LTE, то нужен белый IP (статический или динамический — тут зависит от реализации, можно dyndns задействовать к примеру). А если клиенты это устройства, подключаемые по локальной сети через wi-fi, то тут уже не важен IP белый или NAT.
Все зависит от ваших целей, а дальше смотрите какие варианты достижения ваших целей существуют.
Дмитрий
29.01.2018Не подскажете, а такое подключение подойдет для iphone 4 с iOS 7.1.2 ?
Или это только на более поздних айфонах возможно?
nlinberg
29.01.2018Скорее всего возможно. Нужно пробовать
Павел
20.04.2018Подскажите, в чем может быть причина, пожалуйста:
сервер успешно создался, подключение к нему проходит, все хорошо. Но в созданной vpn интернета нет. С утройства, подключенного к нему, ничего не открывается, а пингуется только сам vpn сервер, по внешнему ip.
Виктор
20.04.2018Подскажите, как настроить данное соединение в windows?
xakup_elliot
20.04.2018Спасибо за мануал! Всё работает.
Vladimir
29.04.2018С уcтройства, подключенного к VPN нет выхода в интернет.
Бобёр
05.06.2018Спасибо, все работает, только поправь плз в конфиге что надо указывать не сам пароль, а его хеш. Так будет понятнее.
Удачи!
Os_gs
18.06.2018Добрый день! Вы можете настроить авторизацию по сертификатам и по ipsec в чистом ввиде. Нужно чтоб работало на iPhone. Готов оплатить ваш труд.
Maks
01.10.2018Подскажите по следующему вопросу:
Собрал все строго по инструкции, все работает.
Добавил учетные данные для второго устройства, как только подключаюсь с планшета — телефон теряет связь с инетом, но VPN поднят.
В логах ошибка :
12[IKE] no virtual IP found for %any6 requested by
Как правильно настроить по данной инструкции для двух устройств?
nlinberg
02.10.2018Если быть честным, у меня тоже были проблемы с добавлением второго устройства. Я разбираться не стал, а просто открыл тот же файл и на втором телефоне.