บรรจวบ เข้าสู่ระบบ
Score:0
alex avatar Server

จะเชื่อมโยงไคลเอนต์ ipsec กับการเชื่อมต่อต่าง ๆ ใน StrongSwan ได้อย่างไร

ธง my
alex

ฉันใช้ strongswan ipsec เป็นเกตเวย์ VPN สำหรับอุปกรณ์พกพา (Android)ในการกำหนดค่า StrongSwan ฉันได้ตั้งค่าการเชื่อมต่อ 2 รายการ (สองเครือข่ายย่อยที่แตกต่างกัน 10.10.10.0/24, 10.10.20.0/24 พร้อมนโยบายการกำหนดเส้นทางที่แตกต่างกัน) สำหรับผู้ใช้ 2 กลุ่มที่แตกต่างกัน

และฉันไม่เข้าใจ (และไม่พบในคู่มือและฟอรัม) วิธีเชื่อมโยงผู้ใช้กับการเชื่อมต่อ จะตั้งค่าผู้ใช้ที่เข้มงวด>ความสัมพันธ์ในการเชื่อมต่อได้ที่ไหนและอย่างไร

ขอขอบคุณ!

การกำหนดค่า ipsec ของฉัน:

แมว /etc/ipsec.conf

การตั้งค่าคอนฟิก
    charondebug="ike 1, knl 1, cfg 0"
    รหัสเฉพาะ=ไม่มี
เชื่อมต่อ any2ex
    อัตโนมัติ = เพิ่ม
    บีบอัด=ใช่
    พิมพ์=อุโมงค์
    การแลกเปลี่ยนคีย์=ikev2
    การกระจายตัว = ใช่
    ฟอร์ซเอนแคป=ใช่
    dpdaction=ชัดเจน
    dpddelay=300 วินาที
    คีย์ใหม่ = ไม่
    ซ้าย = % ใด ๆ
    leftid=*.*.233.132 #ฉันได้ปิดบัง IP ของเซิร์ฟเวอร์สำหรับโพสต์นี้ มีการออกใบรับรองสำหรับที่อยู่ IP
    ซ้าย=*.*.233.132  
    leftcert=เซิร์ฟเวอร์-cert.pem
    leftsendcert=เสมอ
    leftsubnet=0.0.0.0/0
    ขวา=%ใดๆ
    rightid=%ใดๆ
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightendcert=ไม่เคย
    eap_identity=%เอกลักษณ์

คอน เอ็กซ์ทูล็อค
    อัตโนมัติ = เพิ่ม
    บีบอัด=ใช่
    พิมพ์=อุโมงค์
    การแลกเปลี่ยนคีย์=ikev2
    การกระจายตัว = ใช่
    ฟอร์ซเอนแคป=ใช่
    dpdaction=ชัดเจน
    dpddelay=300 วินาที
    คีย์ใหม่ = ไม่
    ซ้าย=*.*.233.132
    ชิดซ้าย=*.*.233.132
    leftcert=เซิร์ฟเวอร์-cert.pem
    leftsendcert=เสมอ
    leftsubnet=0.0.0.0/0
    ขวา=%ใดๆ
    rightid=%ใดๆ
    rightauth=eap-mschapv2
    rightsourceip=10.10.20.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightendcert=ไม่เคย
    eap_identity=%เอกลักษณ์

ฉันกำหนดค่าไคลเอนต์ Android ด้วยสิ่งนี้

https://docs.strongswan.org/strongswan-docs/5.9/os/androidVpnClientProfiles.html#_example

55
0 + 0
cn flag
ecdsa
โพสต์ข้าม [ที่นี่](https://github.com/strongswan/strongswan/discussions/974)
0
ตอบกลับ
Score:0
alex avatar Server
ธง my
alex

ใน /etc/ipsec.conf

การตั้งค่าคอนฟิก
    charondebug="ike 1, knl 1, cfg 0"
    รหัสเฉพาะ=ไม่มี
คอนเน็ต1
    ...
    rightid=*@net1.com
    ... 
คอนเน็ต2
    ...
    rightid=*@net2.com
    ...

จากนั้นใน /etc/ipsec.secrets

[email protected] : EAP "user_password"
[email protected] : EAP "user_password"

ด้วยการกำหนดค่านี้ [email protected] จะเชื่อมต่อกับ net1 และ [email protected] กับ net2 ตามนั้น

0 + 0
Score:0
Peter Zhabin avatar Server
ธง cn
Peter Zhabin

ตัวเลือกการเชื่อมต่อขึ้นอยู่กับ ถูกต้อง และขึ้นอยู่กับสิ่งที่ไคลเอนต์ใช้เป็นข้อมูลประจำตัวของ IKE หากผู้ใช้ของคุณแสดง RFC822_ADDR เป็นข้อมูลประจำตัว คุณสามารถใช้ไวด์การ์ดบางประเภทโดยเปิด * ถูกต้อง แทน %ใดๆ เพื่อแยกแยะพวกเขา

0 + 0
alex avatar
my flag
alex
ขอบคุณสำหรับความคิดเห็นของคุณ! ฉันใช้การตรวจสอบรหัสผ่านเข้าสู่ระบบ EAP ( /etc/ipsec.secrets กับ `test : EAP "test"`) ดังนั้นสิทธิ์ของผู้ใช้คือล็อกอินของผู้ใช้ เท่าที่ฉันเข้าใจ เป็นไปได้ไหมที่จะจัดกลุ่มผู้ใช้? (แทนที่จะสร้างการเชื่อมต่อสำหรับผู้ใช้แต่ละคน)
0
ตอบกลับ
Peter Zhabin avatar
cn flag
Peter Zhabin
ไม่มีการสนับสนุนกลุ่มโดยตรงในแอตทริบิวต์เหล่านี้ แต่คุณสามารถปลอมได้โดยใช้รูปแบบการตั้งชื่อผู้ใช้ เช่น กลุ่มผู้ใช้ แล้วใช้ไวด์การ์ดตามที่แนะนำด้านบน หรือใช้ RADIUS แบบเต็มและใช้ปลั๊กอินที่จะตั้งค่าการเชื่อมต่อตามแอตทริบิวต์ของ RADIUS
0
ตอบกลับ
alex avatar
my flag
alex
ขอบคุณ คุณช่วยกรุณาให้ตัวอย่าง ฉันกำลังเล่นสัญลักษณ์แทน แต่ก็ยังใช้งานไม่ได้และฉันไม่รู้ว่าทำไม :(
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา