strongSwanのインストール

普通にaptなどでインストールする。

$ apt install strongswan

証明書の配置

作成しておいた証明書を配置する。

rixwwd.hatenablog.jp

$ cd vpnca
$ sudo cp ca.crt /etc/ipsec.d/cacerts
$ sudo cp server.key /etc/ipsec.d/private
$ sudo cp server.crt /etc/ipsec.d/

設定ファイルの編集

/etc/ipsec.secret

以下の内容を追記する。

 : RSA "/etc/ipsec.d/private/server.key"

/etc/ipsec.conf

以下の内容に書き換える。

config setup
  uniqueids=no
conn tls
  auto=add
  compress=no
  type=tunnel
  keyexchange=ikev2
  forceencaps=yes
  ike=aes256-sha256-modp2048
  esp=aes256-sha256
  dpdaction=clear
  rekey=no
  left=%any
  # サーバ証明書のCNかSANに合わせて設定する。
  leftid=@vpn.example.com
  leftcert=/etc/ipsec.d/certs/server.crt
  leftsendcert=always
  leftsubnet=0.0.0.0/0
  right=%any
  rightid=%any
  # 認証方式 
  rightauth=eap-tls
  # VPNクライアントに割り当てるIPアドレス
  rightsourceip=10.1.2.0/24
  # VPNクライアントに通知するDNSサーバ
  rightdns=8.8.8.8,8.8.4.4
  rightsendcert=always
  eap_identity=%identity

/etc/strongswan.d/charon-logging.conf

接続できなかったときに、調査できるように設定しておく。 最低限以下の設定はないとtail -fで不便。

default = 2
flush_line = yes
time_format = %F %T

macから接続確認

• サーバアドレス：vpn.example.com(接続するIPアドレスでもOK)
• リモートID：vpn.example.com（サーバー証明書のCN）
• ローカルID：username@vpnusers（クライアント証明書のCN）
• 認証設定：証明書
• 証明書：自分のクライアント証明書

自分のクライアント証明書のインストールは、pkcs12を開けばOK。 VPN Root CAはクライアント証明書のインストールの前にインストールしておき、常に信頼するように設定する。

iPhoneの設定も同じような感じです。

やること

iPhoneからVPN接続できるよう、IKEv2なVPN構築する。VPN構築にあたって必要な証明書を作成する。 IKEv2はstrongSwanを使う予定。

CA作成

まずはディレクトリを作る。

$ touch index.txt
$ echo 00 > serial
$ mkdir private newcerts
$ chmod 700 private
$ cat << 'EOF' > openssl.conf
[ ca ]
default_ca      = CA_default

[ CA_default ]

dir            = ./
database       = $dir/index.txt
new_certs_dir  = $dir/newcerts

certificate    = $dir/ca.crt
serial         = $dir/serial
private_key    = $dir/private/ca.key
RANDFILE       = $dir/.rand

default_days   = 365
default_crl_days= 365
default_md     = sha256

policy         = policy_any
email_in_dn    = no

name_opt       = ca_default
copy_extensions = none

[ policy_any ]
countryName            = match
stateOrProvinceName    = optional
organizationName       = optional
organizationalUnitName = optional
commonName             = supplied
emailAddress           = optional
EOF

CA自体の自己署名の証明書を作る。

$ cat << 'EOF' > ca.conf
basicConstraints = CA:true, pathlen:0
keyUsage = digitalSignature,keyCertSign,cRLSign
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
EOF

$ openssl req -new -newkey rsa:2048 -keyout private/ca.key -nodes -out ca.csr -subj '/C=JP/CN=VPN Root CA/'
$ openssl x509 -req -in ca.csr -signkey private/ca.key -out ca.crt -extfile ca.conf -days 3650 -sha256

サーバー証明書

iPhoneからも接続できるように、EKUに1.3.6.1.5.5.8.2.2を追加しておく。subjectAltNameも忘れずに。

$ openssl req -new -newkey rsa:2048 -nodes -keyout server-strongswan.key -out server-strongswan.csr -subj '/C=JP/O=strongSwan/CN=vpn.example.com/'

$ cat << 'EOF' > server.conf
keyUsage = digitalSignature
extendedKeyUsage = serverAuth,1.3.6.1.5.5.8.2.2
subjectAltName = DNS:vpn.example.com
authorityKeyIdentifier=keyid
EOF

$ openssl ca -config openssl.conf -in server-strongswan.csr -out server-strongswan.crt -extfile server.conf

クライアント証明書

VPNの認証はeap-tlsを使いたいため、クライアント証明書も発行する。 CNと同じ値をsubjectAltNameに追加。この値は、VPNの設定するときにローカルIDに入れる。 PKCS12形式の証明書ができるため、CAの証明書と一緒にiPhoneにメールなどで送る。

$ openssl req -new -newkey rsa:2048 -nodes -keyout client-username.key -out client-username.csr -subj '/C=JP/CN=username@vpnusers/'
$ cat << 'EOF' > client.conf
keyUsage = digitalSignature
extendedKeyUsage = clientAuth
subjectAltName = email:username@vpnusers
authorityKeyIdentifier=keyid
EOF
$ openssl ca -config openssl.conf -in client-username.csr -out client-username.crt -extfile client.conf
$ openssl pkcs12 -export -in client-username.crt -inkey client-username.key -out client-username.p12