IKEv2 VPN с аутентификацией EAP от iOS до Vigor Router
DrayOS поддерживает IKEv2 с аутентификацией EAP, начиная с версии прошивки 3.9.0, Vigor3900 и Vigor2960 поддерживают ее, начиная с версии прошивки 1.4.0. Это может сделать IKEv2 VPN еще более безопасным за счет дополнительной аутентификации по имени пользователя и паролю и проверки сертификата. В этой статье показано, как создать Самоподписанный сертификат для аутентификации сервера, настроить Vigor Router на сервере IKEv2 VPN и как установить соединение с iOS.
Настройка на Vigor Router DrayOS 1. Перейдите в раздел «Certificate Management >> Trust CA Certificate» и нажмите « Create». 2. Введите информацию о сертификате, выберите «2048 бит» для Key Size . Затем нажмите « Generate» . 3. Нажмите « Export», чтобы загрузить RootCA. 4. Перейдите в раздел «Certificate Management >> Local Certificate» и нажмите « Generate» .
Выберите «Доменное имя» в поле «Subject Alternative Name Type».
Введите домен маршрутизатора для Domain name и Common Name(CN).
Заполните всю остальную информацию для сертификата
Выберите «2048 бит» для key size.
Нажмите " Generate".
5. Нажмите « Sign» для созданного сертификата. 6. Укажите действительную дату и нажмите « Sign». 7. Перейдите в раздел VPN and Remote Access >> IPsec General Setup и выберите локальный сертификат, созданный на предыдущих шагах для Certificate for Dial-in. 8. Перейдите в раздел «VPN and Remote Access >> Remote Dial-in User» , щелкните доступный порядковый номер и отредактируйте профиль, как показано ниже.
Проверьте IKEv2 EAP в Allowed Dial-In Type
Укажите имя пользователя и пароль
Щелкните ОК, чтобы сохранить.
Подключение из macOS
1. Отправьте файл RootCA, загруженный с роутера, на устройство iOS. 2. Установите центр сертификации на устройство iOS, открыв файл и коснувшись Установить . Убедитесь, что RootCA проверен, затем нажмите Готово. 3. Перейдите в Общие >> VPN и добавьте конфигурацию.
Выберите "IKEv2" в качестве типа.
Введите домен маршрутизатора для Server и Remote ID.
Введите имя пользователя и пароль
4. Запустите VPN, включив VPN. 5. Он показывает статус VPN, если соединение успешно.
Linux
1. Перейдите в Certificate Management >> Trusted CA, нажмите Build RootCA
Введите всю информацию
Выберите «2048» для Key Size.
Введите Passphrase, чтобы подписать локальный сертификат.
Нажмите Apply, чтобы сохранить
2. Нажмите « Download», чтобы экспортировать корневой ЦС, который необходимо установить на VPN-клиент. 3. Перейдите в раздел «Certificate Management >> Local Certificate» , нажмите « Generate» :
Выберите «Доменное имя» в качестве ID Type и введите домен маршрутизатора в поле ID Value.
Введите всю информацию
Введите домен маршрутизатора для Common Name (CN)
Выберите «2048» для Key Size.
Выберите «Включить» для Self sign.
Введите парольную фразу корневого центра сертификации в CA Key Passphrase CA
Нажмите Apply
4. Перейдите в User Management >> User Profile, чтобы добавить профиль пользователя:
Установите флажок Enable
Введите имя пользователя и пароль
Выберите «Enable» для Xauth / EAP на сервере PPTP / L2TP / SSL / OpenVPN.
5. Перейдите в раздел VPN and Remote Access >> VPN Profiles >> IPsec, чтобы добавить профиль:
Укажите profile name и установите флажок Enable.
Выберите «Enable» для Remote Dial-In User.
Введите локальную сеть маршрутизатора для Local IP / Subnet Mask
Выберите «IKEv2» для IKE Protocol
Выберите «RSA» для Auth Type и выберите сертификат, созданный на предыдущих шагах для локального сертификата.
Подключение из macOS
1. Отправьте файл RootCA, загруженный с роутера, на устройство iOS. 2. Установите центр сертификации на устройство iOS, открыв файл и коснувшись Установить . Убедитесь, что RootCA проверен, затем нажмите Готово. 3. Перейдите в Общие >> VPN и добавьте конфигурацию.
Выберите "IKEv2" в качестве типа.
Введите домен маршрутизатора для Server и Remote ID.
Введите имя пользователя и пароль
4. Запустите VPN, включив VPN. 5. Он показывает статус VPN, если соединение успешно.