Конфигуриране на IPSec VPN сървър чрез strongSwan и On-Demand в iOS, SavePearlHarbor

Още едно копие на хабора

Главно меню

След навигация

сървър

Всичко започна с необходимостта от защита на потребителските данни, предавани на сървъра. И трябваше да се направи така, че да не притеснява потребителите на корпоративни iPad-и. Не можах да измисля нещо по-умно за това как да използвам IPSexc и VPN On-Demand в iOS. И реших да го вдигна чрез strongSwan.

Началото на пътя

Нека решим какво трябва да получим на изхода:

  • конфигуриран VPN сървър
  • клиентски сертификати, които ще инсталираме на iOS

Как трябва да работи:
VPN трябва да се включи на самия iPad веднага щом се обърнем към определен хост, например "ya.ru". В същото време, без да питате потребителя за парола.
Какво ще използваме:

И какво ще правим:

  • Sneger Keys
  • Изтеглете го от хранилището на git и изградете на ръка strongSwan
  • Настройте конфигурации

Първа кръв

Но не е чак толкова лошо! Тобиас Брунър и неговият ангажимент ще ни спасят! Без този ангажимент нищо нямаше да се случи. Благодаря ти много. Този код е приставка за xauth, която не изисква допълнително удостоверяване на потребителско име и парола. Тези. се извършва само удостоверяване на RSA ключ. Какво ни трябваше!

Сертификати

Няма да говоря за това как да генерирам ключове. Това е описано много подробно в урока от strongSwan. Искам само да насоча вниманието ви към няколко важни точки от урока:

  1. Стойността на полето с общо име (CN) на сертификата трябва да съвпада точно с ip или името на домейн на VPN сървъра. В случая на Amazon EC2 това би било нещо като "ecX-XX-XXX-XX-XX.eu-west-1.compute.amazonaws.com".
  2. Когато инсталирате сертификати на iPad, не трябва да забравяте да инсталирате и основния в допълнение към клиентския PKCS # 12 (* .p12). В урока той се нарича caCert.pem.