Настройка StrongSwan VPN под Windows, Android и BlackBerry 10 без использования паролей April 21, 2018Разместил gamerka в : bb10, centos, freebsd, Guide, ubuntu, Windows , 1 comment so farХотим настроить свой VPN чтобы использовать дефолтные клиенты на Windows 7+ и BlackBerry 10, и клиент StrongSwan на Android.
CA ключ/серт ipsec pki --gen --outform pem > private/ca.key ipsec pki --self --in private/ca.key --dn "CN=my CA" --ca --outform pem > cacerts/ca.crt Сертификат сервера #!/bin/sh ip=1.2.3.4 host=my.host.name ipsec pki --gen --outform pem > private/$host.key ipsec pki --pub --in private/$host.key | ipsec pki --issue --cacert cacerts/ca.crt --cakey private/ca.key --dn "CN=$host" --san $host --san dns:$ip --san $ip --lifetime 3650 --flag serverAuth --flag clientAuth --flag ikeIntermediate --outform pem > certs/$host.crt Сертификаты клиентов #!/bin/sh name=bob ipsec pki --gen --outform pem > $name.key ipsec pki --pub --in $name.key | ipsec pki --issue --cacert /etc/ipsec.d/cacerts/ca.crt --cakey /etc/ipsec.d/private/ca.key --dn "CN=$name" --san $name --lifetime 3650 --flag serverAuth --flag clientAuth --outform pem > $name.crt openssl pkcs12 -in $name.crt -inkey $name.key -export -out $name.p12 Советую на запрос пароля для экспорта задать какой-нибудь непростой пароль, тогда при установке сертификата на клиентское устройство будет запрошен этот пароль. В этому случае файл сертификата и пароль есть смысл передавать пользователю через разные каналы. config setup uniqueids=never # allow multiple connections per user charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" conn %default fragmentation=yes rekey=no dpdaction=clear keyexchange=ikev2 compress=yes dpddelay=35s ike=aes128gcm16-prfsha512-ecp256,aes128-sha2_512-prfsha512-ecp256,aes128-sha2_384-prfsha384-ecp256! esp=aes128gcm16-ecp256,aes128-sha2_512-prfsha512-ecp256,aes128-sha256! # aes128-sha256 нужен для bb10 left=%any leftauth=pubkey # аутентификация сервера только по сертификату leftid=my.host.name # имя по которому сервер аутентифицируется leftcert=my.host.name.crt # сертификат сервера, путь относительно /etc/ipsec.d/certs leftsendcert=always leftsubnet=0.0.0.0/0,::/0 right=%any rightauth=pubkey # аутентификация клиентов только по сертификату rightsourceip=10.19.48.0/24 # из этой подсети будут получать адреса клиенты rightdns=8.8.8.8,8.8.4.4 conn ikev2-pubkey auto=add ipsec.secrets : RSA my.host.name.key 3. Настройка клиентов $VpnName = "StrongSwan on 1.2.3.4" $VpnServerAddress = "1.2.3.4" $addVpnParams = @{ Name = $VpnName ServerAddress = $VpnServerAddress TunnelType = "IKEv2" AuthenticationMethod = "MachineCertificate" EncryptionLevel = "Required" } Add-VpnConnection @addVpnParams $setVpnParams = @{ ConnectionName = $VpnName AuthenticationTransformConstants = "GCMAES128" CipherTransformConstants = "GCMAES128" EncryptionMethod = "AES128" IntegrityCheckMethod = "SHA384" DHGroup = "ECP256" PfsGroup = "ECP256" Force = $true } Set-VpnConnectionIPsecConfiguration @setVpnParams Android
BlackBerry 10
Источники: Собственный VPN под BlackBerry OS 10 June 13, 2017Разместил gamerka в : bb10, centos, Guide , add a commentВариант для подключения с любого устройства без сертификата: config setup strictcrlpolicy=no conn %default keyexchange=ikev2 conn rem rekey=no leftsubnet=0.0.0.0/0 leftauth=psk leftid=CHANGE_TO_YOUR_IP_ADDRESS right=%any rightsourceip=10.9.9.0/24 rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=add rightdns=8.8.8.8,8.8.4.4 ipsec.secrets : PSK "server_pass" user1 : EAP "user1_pass" Настройки BB10 Server Address: адрес сервера Gateway Type: Generic IKEv2 VPN Server Authentication Type: EAP-MSCHAPv2 Authentication ID Type: IPv4 MSCHAPv2 EAP Identity: что угодно Authentication ID: user1 (логин из ipsec.secrets) MSCHAPv2 Password: user1_pass (пароль из ipsec.secrets) Gateway Auth Type: PSK Gateway Auth ID Type: IPv4 Gateway Preshared Key: server_pass (из ipsec.secrets) Perfect Forward Secrecy: нет
config setup conn %default auto=add left=%any leftsubnet=0.0.0.0/0 right=%any rightsourceip=10.9.9.0/24 rightdns=8.8.8.8,8.8.4.4 forceencaps=yes compress=yes conn rw-eap dpdaction=clear dpddelay=300s leftauth=pubkey leftcert=domain_name.crt rightauth=eap-mschapv2 rightsendcert=never ipsec.secrets : RSA domain_name.key user1 : EAP "user1_pass" Настройки BB10 Server Address: адрес сервера Gateway Type: Microsoft IKEv2 VPN Server Authentication Type: EAP-MSCHAPv2 Authentication ID Type: Fully Qualified Domain Name Authentication ID: user1 (логин из ipsec.secrets) MSCHAPv2 Password: user1_pass (пароль из ipsec.secrets) Gateway Auth Type: PKI Gateway Auth ID Type: Identity Certificate Destinguished Name Allow Untrusted Certificate: Prompt Gateway CA Certificate: скачанный с сервера и установленный корневой сертификат
Windows XP + Office 2010 + Internet Explorer 8. Долго открываются файлы из сети February 16, 2015Разместил gamerka в : Netware, Windows , add a commentСимптомы:
Начинаю выяснять, ставлю с нуля Windows XP SP3 и Office 2010:
Ни один совет в сети не помог ни капли, так что я начал поэтапно накатывать обновления. Обновление часовых поясов на Windows XP в 2014 году October 14, 2014Разместил gamerka в : Windows , add a commentТак как наконец закончилась поддержка Windows XP, Microsoft больше не выпускает под неё обновления. Обновить пояса можно вручную через реестр или с помощью любительских скриптов, например: Терминальный сервер на Windows 7 SP1 February 27, 2014Разместил gamerka в : Windows , add a commentПо умолчанию Windows 7 (и предыдущие вплоть до XP) поддерживает одновременное подключение лишь одного пользователя, либо удаленного, либо локального. Данный хак нужен для того чтобы разрешить подключение нескольких пользователей к удаленным рабочим столам одной машины так же, как на линейке Windows Server. Symantec Endpoint Protection. Драйверу брандмауэра не удалось открыть сетевой адаптер November 27, 2013Разместил gamerka в : Windows , add a commentСимптомы: Восклицательный знак на значке SEP, Ошибка “Драйверу брандмауэра не удалось открыть сетевой адаптер” (Firewall driver failed to open network adapter)
Источники: Как сделать раздел активным в Windows 7 если через Управление дисками не получается September 26, 2013Разместил gamerka в : Guide, Windows , add a comment
Советы по установке freebsd на SSD July 27, 2013Разместил gamerka в : freebsd , add a commentUsing a Solid State Drive with FreeBSD Просмотр MIME заголовков в GroupWise 6.5 May 22, 2013Разместил gamerka в : Netware , add a commentЧтобы во вложениях писем видеть файл mime.822 со всеми заголовками нужно в окне открытого письма щелкнуть правой кнопкой на пустом пространстве около полей Тема:, Кому: и т.п., и снять отметку с пункта “Скрыть системные прикрепления”. gmirror c GPT на FreeBSD February 25, 2013Разместил gamerka в : freebsd , add a commentПримем что FreeBSD у нас уже установлена на ada0, а ada1 – наш второй диск. Наши шаги:
Подробнее: |