Полноценная поддержка IPsec в клиенте IKEv2.

[fumufu]

Хотелось бы поддержки следующих вариантов подключение в клиенте через веб.

IKEv2 EAP(Логин/Пароль) (уже есть на данный момент)
IKEv2 Cертификат 
IKEv2 Cертификат + EAP(Логин/Пароль)
IKEv2 eap-tls (Cертификат)
IKEv2 eap-tnc (Логин/Пароль).

Так же хотелсь бы иметь возможность подключение используя только адрес сервера и p12 сертификат.

[Le ecureuil]

Массовые сервисы позволяют такое? Где в живую можно попробовать это все, не поднимая сервер руками на шиндошсе?

[gaaronk]

Массовые врядли. Но strongswan + freeradius вполне. У меня дома все это так и поднято.

[fumufu]

1 час назад, Le ecureuil сказал:

Массовые сервисы позволяют такое? Где в живую можно попробовать это все, не поднимая сервер руками на шиндошсе?

Насчет "всего" не знаю, но настройка "IKEv2 Cертификат" мне встречалась.

 

[DeniZmo]

В 15.05.2022 в 14:00, fumufu сказал:

Хотелось бы поддержки следующих вариантов подключение в клиенте через веб.

IKEv2 EAP(Логин/Пароль) (уже есть на данный момент)
IKEv2 Cертификат 
IKEv2 Cертификат + EAP(Логин/Пароль)
IKEv2 eap-tls (Cертификат)
IKEv2 eap-tnc (Логин/Пароль).

Так же хотелсь бы иметь возможность подключение используя только адрес сервера и p12 сертификат.

Поддерживаю!

[Дмитрий Лебедев]

Поддерживаю

[Goga777]

а уже сейчас в клиенте можно загрузить CA сертификат

означает ли это что вариант

IKEv2 Cертификат 
IKEv2 Cертификат + EAP(Логин/Пароль)

уже реализован? 

[fumufu]

Просто по сертификату, без логина пароля подключиться нельзя.

[atlant_is]

Присоединюсь к вопросу. Интересует вариант IKEv2 Cертификат

Планируется ли поддержка в будущем?

[Le ecureuil]

Покажете сервис который можно за деньги купить и с ним потестировать - будет разговор.

[atlant_is]

В 08.05.2024 в 17:17, Le ecureuil сказал:

Покажете сервис который можно за деньги купить и с ним потестировать - будет разговор.

Ну, к примеру, сервер IKEv2 с сертификатом можно поднять на любом MikroTik, к примеру. 

[sokolBigDick]

В 08.05.2024 в 13:17, Le ecureuil сказал:

Покажете сервис который можно за деньги купить и с ним потестировать - будет разговор.

например арендовать vps сервер, настроить впн чтобы забугорные сайты открывать можно было

[Le ecureuil]

Это все  самодельные костыли, которые вы сами можете как угодно крутить.

Меня же интересует максимально стандартное решение, которое предлагают провайдеры для широкого круга устройств, включая Windows и iOS.

На совместимость с этими вариантами мы и нацеливаемся в первую очередь.

[sokolBigDick]

4 часа назад, Le ecureuil сказал:

Это все  самодельные костыли, которые вы сами можете как угодно крутить.

Меня же интересует максимально стандартное решение, которое предлагают провайдеры для широкого круга устройств, включая Windows и iOS.

На совместимость с этими вариантами мы и нацеливаемся в первую очередь.

а другие операционки для вас это 2ой сорт? я понять не могу вас, объяснитесь, товарисч
И как по вашему самодельные костыли можно прикрутить в системе, где нихрена прикрутить невозможно? Дайте так же ответ, о величайший и могущественнейший кинетиковладелец всех цветов и мастей

[Shmel]

поддерживаю. нужна реализация авторизации подключения по сертификату

[Le ecureuil]

В 23.05.2024 в 15:33, sokolBigDick сказал:

а другие операционки для вас это 2ой сорт? я понять не могу вас, объяснитесь, товарисч
И как по вашему самодельные костыли можно прикрутить в системе, где нихрена прикрутить невозможно? Дайте так же ответ, о величайший и могущественнейший кинетиковладелец всех цветов и мастей

Самодельные костыли прикручиваются уже много лет через opkg, и тут наша помощь не нужна.

[sokolBigDick]

5 часов назад, Le ecureuil сказал:

Самодельные костыли прикручиваются уже много лет через opkg, и тут наша помощь не нужна.

мой хороший))) зачем нам костыли, если лучше и красивее и элегантнее было бы сделать ноги))) это сложно реализовать?) это же как аналог опен впн сервера, где на серверной части генерируются сертификаты и так далее, если не изменяет память, на роутерах кинетик так можно сделать, в чем проблема условно скопипастить и для IKEv2?))) То, что вы написали - это не решение. Хочется из веб морды управлять всем этим. Я CLI люблю конечно, но я не хочу openwrt на флешке держать)) мне проще будет купить роутер, прошить его в open wrt и из веб морды использовать IKEv2 с сертификатами и прочей прелестью)

[bigpu]

32 минуты назад, sokolBigDick сказал:

мой хороший))) зачем нам костыли, если лучше и красивее и элегантнее было бы сделать ноги))) это сложно реализовать?) это же как аналог опен впн сервера, где на серверной части генерируются сертификаты и так далее, если не изменяет память, на роутерах кинетик так можно сделать, в чем проблема условно скопипастить и для IKEv2?))) То, что вы написали - это не решение. Хочется из веб морды управлять всем этим. Я CLI люблю конечно, но я не хочу openwrt на флешке держать)) мне проще будет купить роутер, прошить его в open wrt и из веб морды использовать IKEv2 с сертификатами и прочей прелестью)

С такого рода общением с разрабами, родной, как бы вам и дальше не пришлось сидеть на OpenWrt со всеми его прелестями))

[sokolBigDick]

4 минуты назад, bigpu сказал:

С такого рода общением с разрабами, родной, как бы вам и дальше не пришлось сидеть на OpenWrt со всеми его прелестями))

я же не грублю и не оскабляю) исключительно дружелюбно веду беседу) если мой стиль общения не нравится этому человеку, я извинюсь и буду исключительно вести деловую переписку

[Виталий Шадрин]

В 15.05.2022 в 14:00, fumufu сказал:

IKEv2 Cертификат 
IKEv2 Cертификат + EAP(Логин/Пароль)

Доброе утро всем!

Собственно реализовать фичи, описанные в первом посте можно без проблем. В моем случае сделал это на Keenetic Peak ОС v4.2.

Вкратце:

1. Встроенный в ОС StrongSwan управляется через vici-интерфейс по сокету, расположенному /temp/ipsec/vici.socket. Управлять можно утилитой /usr/bin/swanctl.

2. Командами swanctl --reload-settings, --load-creds, --load-pools, --load-conns можно заменить штатную конфигурацию IPSec VPN на свою, включая замену используемых сертификатов LetsEncrypt, на свои, в том числе самоподписанные.

3. Свою конфигурацию демона charon формируем в файле /opt/etc/swanctl/strongswan.conf, подменяем копированием штатный файл /tmp/ipsec/strongswan.conf

4. Свою конфигурацию VPN описываем в файле /opt/etc/swanctl/swanctl.conf

5. В папки /opt/etc/swanctl/x509, /opt/etc/swanctl/x509ca, /opt/etc/swanctl/private кладем сертификаты и закрытые ключи.

6. Чтобы своя конфигурация применялась при перезагрузке маршрутизатора, кладем скрипт в /opt/etc/init.d

[Виталий Шадрин]

Единственное, что пока не получилось, так это получить доступ с удаленного мобильного клиента, подключенного к VPN-сервер IKEv2/IPsec, к другим сегментам сети, подключенным к этому же кинетику через IPSec сеть-сеть подключения. Добавлял маршруты и в основную таблицу маршрутизации и в table 248. Не получилось пока.

Edited October 31 by Виталий Шадрин