Задать вопрос
Tqb
@Tqb

Как настроить Strongswan (или другой встроенный в Винду VPN) на OpenWRT без сертификатов по паролю с Винды?

Всем доброго времени суток.

Не получается настроить Strongswan, перепробовал массу конфигураций, вечно требует сертификаты, либо винда не хочет без сертификата коннектиться, но может я и вовсе зря иду этим путём. Если кто-то может помочь скину конфиги и логи.

Задача: подключаться к VPN (на роутере с OpenWrt) с Винды не используя сторонних клиентов штатными стредствами по связке логин/пароль.
  • Вопрос задан
  • 953 просмотра
Подписаться 2 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 4
@Drno
Pptp
L2tp
Ответ написан
Комментировать
ValdikSS
@ValdikSS
Windows полноценно, без дополнительных настроек, поддерживает только аутентификацию сервера по сертификату из списка публичных центров сертификации. Сертификат может быть бесплатным, например, вполне подойдёт Let's Encrypt или вовсе ZeroSSL, который можно выписать на IP-адрес, а не домен.

Аутентификация клиента может быть по логину и паролю (EAP-MSCHAPv2), как вы и хотите.

Настройка производилась на Ubuntu 20.04
Установка: apt install strongswan libcharon-extra-plugins

Получить сертификат на IP-адрес в ZeroSSL, поместить certificate.crt в /etc/ipsec.d/certs/server.crt, private.key в /etc/ipsec.d/private/server.key, ca_bundle.crt в /etc/ipsec.d/cacerts/ca_bundle.crt

Содержимое /etc/ipsec.conf
conn %default
	dpdaction=clear
	dpddelay=35s
	dpdtimeout=300s

	fragmentation=yes
	rekey=no

	ike=aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024,3des-aes128-aes192-aes256-sha1-sha256-sha384-modp1024,aes256-sha1-sha256-sha384-modp2048

	# left - local (server) side
	left=%any
	leftauth=pubkey
	leftcert=server.crt
	leftsendcert=always
	leftsubnet=0.0.0.0/0

	# right - remote (client) side
	right=%any
	rightauth=pubkey
	rightsourceip=192.168.155.0/24
	rightdns=8.8.8.8

conn ikev2-eap-mschapv2
	keyexchange=ikev2
	rightauth=eap-mschapv2
	eap_identity=%any
	auto=add


Содержимое /etc/ipsec.secrets:
: RSA server.key
user1 : EAP "password1"


Остаётся только настроить маршрутизацию и NAT.
В Windows нужно настроить подключение IPsec IKEv2 на этот IP-адрес, с именем user1 и паролем password1.
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
Без сертификатов штатными средствами? Ну, может быть через EAP-TLS получится или что там у винды есть, кроме сертификатов. Если конечно знаний IPSec и IKE хватит :)
Ответ написан
Комментировать
@pfg21
ex-турист
поставить на винду wireguard. встроенные в винду лучше оставить микрософтерам.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы