Собственный VPN под BlackBerry OS 10 Июнь 13, 2017

Разместил gamerka в : bb10, centos, Guide , добавить комментарий

Вариант для подключения с любого устройства без сертификата:
ipsec.conf

config setup
    strictcrlpolicy=no

conn %default
    keyexchange=ikev2

conn rem
    rekey=no
    leftsubnet=0.0.0.0/0
    leftauth=psk
    leftid=CHANGE_TO_YOUR_IP_ADDRESS
    right=%any
    rightsourceip=10.9.9.0/24
    rightauth=eap-mschapv2
    rightsendcert=never
    eap_identity=%any
    auto=add
    rightdns=8.8.8.8,8.8.4.4

ipsec.secrets

: PSK "server_pass"
user1 : EAP "user1_pass"

Настройки BB10

Server Address: адрес сервера
Gateway Type: Generic IKEv2 VPN Server
Authentication Type: EAP-MSCHAPv2
Authentication ID Type: IPv4
MSCHAPv2 EAP Identity: что угодно
Authentication ID: user1 (логин из ipsec.secrets)
MSCHAPv2 Password: user1_pass (пароль из ipsec.secrets)
Gateway Auth Type: PSK
Gateway Auth ID Type: IPv4
Gateway Preshared Key: server_pass (из ipsec.secrets)
Perfect Forward Secrecy: нет



Вариант с установкой корневого сертификата на устройство:
ipsec.conf

config setup
conn %default
    auto=add
    left=%any
    leftsubnet=0.0.0.0/0
    right=%any
    rightsourceip=10.9.9.0/24
    rightdns=8.8.8.8,8.8.4.4
    forceencaps=yes
    compress=yes
conn rw-eap
    dpdaction=clear
    dpddelay=300s
    leftauth=pubkey
    leftcert=domain_name.crt
    rightauth=eap-mschapv2
    rightsendcert=never

ipsec.secrets

: RSA domain_name.key
user1 : EAP "user1_pass"

Настройки BB10

Server Address: адрес сервера
Gateway Type: Microsoft IKEv2 VPN Server
Authentication Type: EAP-MSCHAPv2
Authentication ID Type: Fully Qualified Domain Name
Authentication ID: user1 (логин из ipsec.secrets)
MSCHAPv2 Password: user1_pass (пароль из ipsec.secrets)
Gateway Auth Type: PKI
Gateway Auth ID Type: Identity Certificate Destinguished Name
Allow Untrusted Certificate: Prompt
Gateway CA Certificate: скачанный с сервера и установленный корневой сертификат



Дополнительно:
Настройки фаервола CentOS 7 (firewalld) и вариант генерации сертификатов с помощью strongswan
Настройка фаервола CentOS 6 (iptables)
Генерация сертификатов через Easy-RSA