Настройка на стороне клиентов выполняется крайне просто — достаточно сообщить клиенту адрес сервера, логин и пароль. Для macOS и iOS можно создать профили автоконфигурации, которые достаточно будет активировать в два клика.
В новых версиях Windows IKEv2 настраивается в простом мастере, который можно вызвать из меню подключения к WiFi.
Windows не устанавливает маршрут по-умолчанию для такого соединения, поэтому установим его вручную. В свойствах VPN подключения заходим в свойства TCP/IPv4 --> дополнительно и устанавливаем галочку "Использовать шлюз в удаленной сети"
кликабельно
В macOS поддерживается IKEv2 начиная с версии 10.11 (El Capitan). Создание подключение происходит через меню настроек сети.
Добавлем новое подключение. В качестве имени подключения задаем любое произвольное имя.
Для проверки подлинности сертификата, нужно указать доменное имя. При этом в поле "Server Address" можно указать IP адрес сервера, а домен только в "Remote ID", тогда для подключения подключения не будет выполняться DNS-резолв и оно будет происходить чуть быстрее.
Логин и пароль пользователя указываем из файла /etc/ipsec.secrets
Настройку iOS можно выполнить вручную через мастер, но намного удобнее использовать профиль автоконфигурации mobileconfig.
Ручная настройка по смыслу аналогична десктопной macOS:
Настройки -> VPN -> Добавить конфигурацию VPN
Профили автоконфигурации .mobileconfig представляют из себя XML файл с настройка, которые могут настраивать что угодно, от SSL сертификатов до VPN подключений.
Пользователю достаточно кликнуть по файлу и все нужные настройки установятся автоматические
Пример конфига для подключения к нашему IKEv2 серверу.
Для настройки файла под свою конфигурацию, достаточно отредактировать несколько параметров в этом шаблоне:
AuthName — имя пользователя из файла /etc/ipsec.secrets AuthPassword — пароль пользователя /etc/ipsec.secretsRemoteAddress — домен или IP адрес сервера
RemoteIdentifier — домен, на который выпущен сертификат
PayloadContentIKEv2AuthNameIrinaYarovayaAuthPasswordPleaseLoveMe123RemoteAddress123.123.123.123RemoteIdentifiergood.citizen.vpnAuthenticationMethodCertificateChildSecurityAssociationParametersDiffieHellmanGroup14EncryptionAlgorithmAES-256IntegrityAlgorithmSHA2-256LifeTimeInMinutes1440DeadPeerDetectionRateHighExtendedAuthEnabledIKESecurityAssociationParametersDiffieHellmanGroup14EncryptionAlgorithmAES-256IntegrityAlgorithmSHA2-256LifeTimeInMinutes1440OnDemandEnabled1OnDemandRulesActionConnectIPv4OverridePrimary1PayloadDescriptionConfigures VPN settingsPayloadDisplayNameVPNPayloadIdentifiercom.apple.vpn.managed.96C1C38F-D4D6-472E-BA90-9117ED8896B5PayloadTypecom.apple.vpn.managedPayloadUUID96C1C38F-D4D6-472E-BA90-9117ED8896B5PayloadVersion1UserDefinedNameLondon VPNVPNTypeIKEv2PayloadDisplayNameMy Super IKEv2 VPNPayloadIdentifiervpn.googd.citizenPayloadUUIDF3FAD91C-019C-4A79-87A1-CF334C583339PayloadTypeConfigurationPayloadVersion1
К сожалению Android единственная из популярных операционных систем до сих пор не имеет встроенной поддержки IKEv2. Для подключения можно использовать официальный клиент Strongswan из PlayMarket
Windows не устанавливает маршрут по-умолчанию для такого соединения, поэтому установим его вручную. В свойствах VPN подключения заходим в свойства TCP/IPv4 --> дополнительно и устанавливаем галочку "Использовать шлюз в удаленной сети"
кликабельно
Добавлем новое подключение. В качестве имени подключения задаем любое произвольное имя.
Для проверки подлинности сертификата, нужно указать доменное имя. При этом в поле "Server Address" можно указать IP адрес сервера, а домен только в "Remote ID", тогда для подключения подключения не будет выполняться DNS-резолв и оно будет происходить чуть быстрее.
Логин и пароль пользователя указываем из файла /etc/ipsec.secrets
