openwrt的strongswan配置-mfc42d-ChinaUnix博客

邢红瑞的bloghongrui.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

mfc42d

博客访问： 4229922
博文数量： 447
博客积分： 1241
博客等级：中尉
技术积分： 5786
用户组：普通用户
注册时间： 2011-01-27 06:48

个人简介

读好书，交益友

文章分类

全部博文（447）

前端技术（5）
docker&vm（11）
embedded（9）

RaspBerry P（1）

yocto（2）

buildroot（3）

openwrt（1）
openwrt（17）
ffmpeg（3）
极限健身（5）
外语学习（8）
big data（6）

elasticsearch（2）
移动平台（8）

android（5）
scala（3）
网络安全（20）

态势感知（1）
EDM（7）
编程语言（96）

rust（3）

golang（1）

javascript（1）

groovy（1）

javascript（1）

perl（4）

python（16）

java（32）

c++（34）
数据库（37）
编程感悟（21）
并发（1）
nginx（12）
工具使用（33）
生活杂事（21）
linux（92）

ebpf（1）
windows编程（14）
PKI（15）
IT职场（3）
未分配的博文（0）

文章存档

2024年（1）

2023年（5）

2022年（29）

2021年（49）

2020年（16）

2019年（15）

2018年（23）

2017年（67）

2016年（42）

2015年（51）

2014年（57）

2013年（52）

2012年（35）

2011年（5）

我的朋友

相关博文

openwrt的strongswan配置

分类：网络与安全

2017-03-03 16:32:09

ipsec pki --gen --type rsa --size 4096 --outform pem > private/openwrt.pem
chmod 600 private/openwrt.pem
ipsec pki --self --ca --lifetime 3650 --in private/openwrt.pem --type rsa --dn "C=CH, O=acron, CN=centos Root CA" --outform pem > cacerts/openwrtCert.pem
ipsec pki --print --in cacerts/openwrtCert.pem
ipsec pki --gen --type rsa --size 2048 --outform pem > private/vpnHostKey.pem
chmod 600 private/vpnHostKey.pem
ipsec pki --pub --in private/vpnHostKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert cacerts/openwrtCert.pem --cakey private/openwrt.pem --dn "C=CH, O=acorn, CN=172.18.10.77" --san 172.18.10.77 --flag serverAuth --flag ikeIntermediate --outform pem > certs/vpnHostCert.pem

ipsec pki --gen --type rsa --size 2048 --outform pem > private/androidKey.pem
chmod 600 private/androidKey.pem
ipsec pki --pub --in private/androidKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert cacerts/openwrtCert.pem --cakey private/openwrt.pem --dn "C=CH, O=acorn, CN=172.18.10.77" --san 172.18.10.77 --outform pem > certs/androidCert.pem

openssl pkcs12 -export -inkey private/androidKey.pem -in certs/androidCert.pem -name "hongrui's VPN Certificate" -certfile cacerts/openwrtCert.pem -caname "centos Root CA" -nodes -out hongrui.p12

chmod 0600 /etc/ipsec.d/private/*

编辑/etc/ipsec.conf
config setup
# strictcrlpolicy=yes
# uniqueids = no
uniqueids=never

conn roadwarrior-ikev2
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=openwrt
leftcert=openwrt.cer
leftauth=pubkey
leftsendcert=always
leftsubnet=0.0.0.0/0
leftfirewall=yes
right=%any
rightauth=eap-mschapv2
rightsourceip=
rightdns=
eap_identity=%any
auto=add

编辑/etc/config/firewall 后面添加
# allow incoming IPsec connections
config rule
option src lan
option proto esp
option target ACCEPT

config rule
option src lan
option proto udp
option dest_port 500
option target ACCEPT

config rule
option src lan
option proto udp
option dest_port 4500
option target ACCEPT

config rule
option src lan
option proto ah
option target ACCEPT

阅读(3723) | 评论(0) | 转发(0) |

上一篇：nf_conntrack: table full, dropping packet

下一篇：vmware中android x86版本如何和宿主机连接

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6