如何build立与iPhone客户端的纯IPSEC strongswan或openswan?

我很难find具体的,最新的信息,如何设置strongswan或openswan被iPhone的VPN客户端使用。 我的服务器是在预算linksys NAT路由器后面。

我发现这个 ,但它提到了一堆.pem文件,没有提及如何创build它们。 不幸的是,这两个软件包的“精细”手册对新手来说是相当难以理解和不友好的。 我之前设置了OpenVPN,并且设法很快得到了可用的结果,但是在阅读了过时的文档一天半之后,我几乎不知道从哪里开始。

任何帮助将不胜感激!

    这有帮助吗?
    问候,Willem M. Poort

    StrongSwan mini Howto Debian 5

    install strongswan + openssl apt-get install strongswan openssl 

    创build您的CA文件:

     cd /etc/ipsec.d openssl req -x509 -days 3650 -newkey rsa:2048 -keyout \ private/strongswanKey.pem -out cacerts/strongswanCert.pem cp cacerts/strongswanCert.pem certs/ 

    如果您希望CA证书采用二进制DER格式,则以下命令可实现此转换:

     openssl x509 -in cacerts/strongswanCert.pem -outform DER -out \ cacerts/strongswanCert.der 

    编辑/etc/ssl/openssl.conf是一个符号链接):

     nano -w /usr/lib/ssl/openssl.cnf 

    更改参数以适应您的strongswan环境。

     [ CA_default ] dir = /etc/ipsec.d # Where everything is kept certificate = $dir/cacerts/strongswanCert.pem # The CA certificate private_key = $dir/private/strongswanKey.pem # The private key 

    创build缺less的DIR和文件:

     mkdir newcerts touch index.txt echo “00” > serial 

    生成用户证书:

     openssl req -newkey rsa:1024 -keyout private/hostKey.pem \ -out reqs/hostReq.pem 

    签署两年:

     openssl ca -in reqs/hostReq.pem -days 730 -out \ certs/hostCert.pem -notext 

    通常,基于Windows的VPN客户端需要其私钥,主机或用户证书以及CA证书。 加载这些信息最方便的方法是将所有内容放入PKCS#12文件中:

     openssl pkcs12 -export -inkey private/hostKey.pem \ -in certs/hostCert.pem \ -name "host" \ -certfile cacerts/strongswanCert.pem \ -caname "strongSwan Root CA" \ -out host.p12 

    编辑/etc/ipsec.secrets

     :RSA strongswanKey.pem “pempassword” :XAUTH user "secret" 

    编辑/etc/ipsec.conf

     config setup plutodebug=none uniqueids=yes nat_traversal=yes interfaces="%defaultroute" conn %default authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert keyingtries=1 keylife=20m ikelifetime=240m conn iphone auto=add dpdaction=clear authby=xauthrsasig xauth=server pfs=no leftcert=strongswanCert.pem left=<serverip> leftsubnet=0.0.0.0/0 right=%any rightsourceip=<virtual client ip> #local VPN virtual subnet rightcert=hostCert.pem 

    在iPhone上

    1. 以p12格式导入iphone-client证书
    2. 以pem格式导入CA证书
    3. 使用iphone-client证书configurationIPSEC-VPN,并使用DNS名称(DynDNS-Name)作为服务器。 它必须与服务器证书中的相同

    要在iPhone上导入证书,只需将它们发送给您的自己! 在iphone上创buildipsec vpn时,您可以select证书。

    请注意,如果您想要NAT,则需要设置iptables。 (看看fwbuilder)