结果:

1)iOS 7.1设备能够拨IPSec VPN到StrongSwan电脑上面来 - Connect to VPN

2)iOS 设备浏览器能够訪问StrongSwan VPN所在的内网地址服务器 - Connect to intranet behind VPN

=========================================================

环境:

OpenSUSE 13.1 64位

iPad 2 with OS 7.1

=========================================================

OpenSUSE准备:

下载OpenSUSE 13.1 64位 DVD iso文件,Vmware Workstation 9安装,选择手动安装

OpenSUSE启用sshd服务
systemctl enable sshd
service sshd start
測试:Windows电脑用putty.exe能够ssh到OpenSUSE上

OpenSUSE安装locate/updatedb程序
zypper in findutils-locate (这一步假设是第一次执行zypper,可能须要挺长时间)
updatedb
locate

OpenSUSE关闭防火墙。在GUI界面里面搜索firewall,关闭防火墙就可以

或者是命令行启动yast 字符菜单界面。选择Security and Users -> Firewall

OpenSUSE安装ftp服务
zypper in vsftpd
systemctl enable vsftpd.service
systemctl start vsftpd.service
測试:ftp。用OpenSUSE操作系统里面的普通用户帐号登录

OpenSUSE安装apache web服务
zypper install apache2 
systemctl enable apache2.service 
systemctl start apache2.service 
測试:iPad上打开浏览器。訪问http://ip地址

=========================================================

開始安装SrongSwan

安装strongswan。当前最新版本号5.1.1
zypper install openssl strongswan iputils
systemctl enable strongswan.service
ipsec restart

vi /etc/ssl/openssl.cnf
#内容例如以下:
extendedKeyUsage = serverAuth
subjectAltName = DNS:swan.acmehq.springworks.info
#找到[ CA_default ]
dir = /etc/ipsec.d # Where everything is kept
certificate = $dir/cacerts/cacert.pem # The CA certificate

default_days = 3650 # This means the certificates will be valid 10 years. default 365 days

default_crl_days= 3000                  # how long before next CRL, default 30 days

default_bits = 2048 
countryName_default = CN
stateOrProvinceName_default = Shanghai
localityName_default = Shanghai
0.organizationName_default = ACMEHQ

cd /etc/ipsec.d/ 
touch index.txt 
touch serial
echo 00 > serial

mkdir private
mkdir reqs
mkdir cacerts
mkdir certs
mkdir newcerts

openssl req -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacerts/cacert.pem -days 3655  (注意,缺省CA 证书过期时间30天。?,所以要加參数 -days 3655)
Common Name: strongswan CA
openssl req -newkey rsa:2048 -keyout private/maikaKey.pem -out reqs/maikaReq.pem (注意,缺省颁发的证书过期时间是依据/etc/ssl/openssl.cnf里面的default_days)
Common Name: swan.acmehq.springworks.info

mkdir newcerts (原因是openssl.cnf缺省配置)

openssl ca -in reqs/maikaReq.pem -out certs/maikaCert.pem -notext

vi /etc/ipsec.secrets
: RSA maikaKey.pem "password"
test : AUTH "password"

openssl req -newkey rsa:2048 -keyout private/clientKey.pem -out reqs/clientReq.pem
Common Name: client
openssl ca -in reqs/clientReq.pem -out certs/clientCert.pem -notext
openssl pkcs12 -export -inkey private/clientKey.pem -in certs/clientCert.pem -name "client" -certfile cacerts/cacert.pem -caname "strongswan CA" -out clientCert.p12

配置iOS设备:将生成的caCert.pem和clientCert.p12通过邮件的方式或者通过web方式下载到iOS设备上,并进行证书安装。

cd /etc/ipsec.d/
cp cacerts/cacert.pem /srv/www/htdocs
cp clientCert.p12 /srv/www/htdocs/
vi /srv/www/htdocs/index.html
<html>
<body>
Hello World
<br/>
<a href="cacert.pem">cacert.pem</a>
<br/>
<a href="clientCert.p12">clientCert.p12</a>
</body>
</html>
iPad打开浏览器,訪问OpenSUSE的ip地址。点击下载安装两次证书。

vi  /etc/ipsec.conf
config setup
conn iOS
        keyexchange=ikev1
        authby=xauthrsasig
        xauth=server
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftfirewall=yes
        leftcert=maikaCert.pem
        right=%any
        rightsubnet=10.0.0.0/24
        rightsourceip=10.0.0.2
        rightcert=clientCert.pem
        fragmentation=yes
        auto=add

ipsec restart

=========================================================

内网測试:

=========================================================

排错:

參考 http://wiki.strongswan.org/projects/strongswan/wiki/LoggerConfiguration

ipsec stroke loglevel ike 2
tail -f /var/log/messages
=========================================================

外网測试:

注意:防火墙上面可能须要做地址映射 500 4500 两个UDP端口

=========================================================

外网訪问内网測试:

拨通VPN后。iPad仅仅能訪问StrongSwan的IP地址的apache。

參考配置

title=SDB:Setup_Ipsec_VPN_with_Strongswan&variant=zh-cn"> Iptables转发。注意我的SUSE网卡别名不是eth0,是ens33。(依照參考,编写了服务脚本   /etc/systemd/system/strongswan-iptables.service)

sudo iptables -A INPUT -p udp --dport 500 -j ACCEPT

sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPT

sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o ens33 -j MASQUERADE

sudo iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT

sudo echo 1 > /proc/sys/net/ipv4/ip_forward
# Author: Marguerite Su <i@marguerite.su>

# Use Case: You have a strongswan vpn. You don't want to input iptables commands

#           everytime upon server restart.

[Unit]

Description=Scripts to setup iptables rules for strongswan

Wants=network-online.target

# has to start before strongswan, or it doesn't know the routes.

# so you can connect, but no traffic.

Before=strongswan.service

After=network.target

[Service]

Type=oneshot

RemainAfterExit=yes

ExecStart=/usr/sbin/iptables -A INPUT -p udp --dport 500 -j ACCEPT ; \

          /usr/sbin/iptables -A INPUT -p udp --dport 4500 -j ACCEPT ; \

          /usr/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o ens33 -j MASQUERADE ; \

          /usr/sbin/iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT ; \

          /bin/sh -c 'echo -n 1 > /proc/sys/net/ipv4/ip_forward'

ExecStop=/bin/sh -c 'echo -n 0 > /proc/sys/net/ipv4/ip_forward' ; \

         /usr/sbin/iptables -D FORWARD -s 10.0.0.0/24 -j ACCEPT ; \

         /usr/sbin/iptables -t nat -D POSTROUTING -s 10.0.0.0/24 -o ens33 -j MASQUERADE ; \

         /usr/sbin/iptables -D INPUT -p udp --dport 4500 -j ACCEPT ; \

         /usr/sbin/iptables -D INPUT -p udp --dport 500 -j ACCEPT

[Install]

WantedBy=multi-user.target

systemctl enable strongswan-iptables.service
systemctl start strongswan-iptables.service

=========================================================

查看SSL证书过期时间
openssl x509 -text -in cacerts/cacert.pem

Validity
            Not Before: Aug  7 10:18:56 2014 GMT
            Not After : Sep  6 10:18:56 2014 GMT

=========================================================

參考:
安装过程參考英文文档 http://forums.opensuse.org/showthread.php/435097-Strongswan-on-openSuSe-11-2-quick-setup
配置文件參考中文文档 http://maclue.tumblr.com/post/11947923571/strongswan-ipsec-vpn-for-ios

iPhone VPN配置參考 http://wiki.strongswan.org/projects/strongswan/wiki/IOS_%28Apple%29

设置:default_crl_days= 300  /etc/ssl/openssl.cnf http://www.strongswan.org/docs/readme.htm

=========================================================

OpenSUSE 13.1上安装StrongSwan的更多相关文章

  1. 在openSUSE 13.1上用gem安装rails无反应: gem install rails

    解决方案: gem install rails -V ....其实他本身在后台运行,白白的给他中断好多次,用-V这个选项就可以直接回显信息了

  2. 在Ubuntu上安装Qt5.2.0

    分类: QT2013-12-16 14:44 3171人阅读 评论(0) 收藏 举报 QT官方站点的文档有点老.今天,我尝试着在我的Ubuntu 13.10上安装Qt 5.2.0.下面是我的步骤: 1 ...

  3. VMware上安装ubuntu 13.04

    作者:viczzx 出处:http://www.cnblogs.com/zixuan-zhang 欢迎转载,也请保留这段声明.谢谢! 这两天打算在Linux环境下学Python语言,想换个高点的ubu ...

  4. 如何在 Linux 上安装应用程序

    如何在 Linux 上安装应用程序 编译自:https://opensource.com/article/18/1/how-install-apps-linux作者: Seth Kenlon原创:LC ...

  5. 在CentOS7上安装ftp服务器用于保存服务端上传的图片。

    1.CentOS卸载vsftpd的方法 如果服务器上已经安装了vsftpd服务,配置出错需要卸载vsftpd服务. 1.1 查找vsftpd服务 [root@localhost /]# rpm -aq ...

  6. 在 CentOS7 上安装 zookeeper-3.4.9 服务

    在 CentOS7 上安装 zookeeper-3.4.9 服务 1.创建 /usr/local/services/zookeeper 文件夹: mkdir -p /usr/local/service ...

  7. Mac OS X 上安装 ASP.NET 5

    在Mac OS X Yosemite 10.10.3 中搭建第一个 ASP.NET 5 Web 项目 终于有时间在 Mac 上安装一下 ASP.NET 5,网上有许多教程,但是多数的时间比较早了,版本 ...

  8. 如何在一台服务器上安装两个mysql或者更多

    如何在一台服务器上安装两个mysql 1       前言 上篇写了在一台机器上源码编译安装一个mysql,那么如何在一台机器上源码编译安装两个mysql或者更多呢? 2       环境 mysql ...

  9. 在 CentOS7 上安装 MongoDB

    在 CentOS7 上安装 MongoDB 1 通过 SecureCRT 连接至 CentOS7 服务器: 2 进入到 /usr/local/ 目录: cd /usr/local 3 在当前目录下创建 ...

随机推荐

  1. 泛型Dictionary效率要大于HashTable!

    原文发布时间为:2009-09-28 -- 来源于本人的百度文章 [由搬家工具导入] Dictionary,Hashtable, ArrayList, List学习 Dictionary 泛型的优点( ...

  2. .NET抓取数据范例 抓取页面上所有的链接

    原文发布时间为:2009-11-15 -- 来源于本人的百度文章 [由搬家工具导入] .NET抓取数据范例 抓取页面上所有的链接 前台: <%@ Page Language="C#&q ...

  3. asp.net几种开源上传控件,flash,ajax版,支持多文件

    原文发布时间为:2010-03-18 -- 来源于本人的百度文章 [由搬家工具导入] 1、AspnetUpload 地址:http://www.aspnetupload.net/ 最早接触的上传控件。 ...

  4. Heritrix3.0.0启动介绍

    下面开始使用Heritrix3.0.0 进 入CMD(开始->运行),进入Heritrix3.0.0所在目录,我这里是D:/heritrix/heritrix3.0.0/bin,这里 大家截图也 ...

  5. vim的使用技巧--模式入门

    vim作为编辑器之神,一直都是程序爱好者的最爱,与一般的编辑器的最大不同就是对模式的把握更加的细腻和得当.普通编辑主要分为使用菜单和使用键盘,菜单就是输入命令作用,键盘主要用来输入文本,中间穿插着使用 ...

  6. [SaltStack] 基础介绍

    今天有时间把以前研究过的saltstack梳理总结下 -:) salt是干什么的我就不多说了, 大家Google下资料很多的, 简单来说就是func+puppet: 配置文件管理 远程命令调用 Cro ...

  7. java 读写操作

    java代码: 写入: public void getNotice(HttpServletRequest request, String notice){ String message = JSON. ...

  8. [置顶] python字典和nametuple互相转换例子

    如果tuple中的元素很多的时候操作起来就比较麻烦,有可能会由于索引错误导致出错. namedtuple对象给tuple命名. 下面的例子可以字典和nametuple互相转换 aa={'verbosi ...

  9. setOnFocusChangeListener的使用

    类似于文本框里面hint文字在初始化的时候显示或者隐藏的操作,就要用到setOnFocusChangeListener的 首先我认为不是太必要- 毕竟当你输入东西时,默认文字自然会消失 当然假设你执意 ...

  10. docker selinux-enabled作用

    一.现象 在docker中有一个运行选项是selinux-enabled.这个选项的作用是啥? 简而言之,它提供了对docker容器中进程的selinux的控制支持.下面举例说明. 首先按照官方文档的 ...