Настройка клиентов

Настройка на стороне клиентов выполняется крайне просто — достаточно сообщить клиенту адрес сервера, логин и пароль. Для macOS и iOS можно создать профили автоконфигурации, которые достаточно будет активировать в два клика. В новых версиях Windows IKEv2 настраивается в простом мастере, который можно вызвать из меню подключения к WiFi. Windows не устанавливает маршрут по-умолчанию для такого соединения, поэтому установим его вручную. В свойствах VPN подключения заходим в свойства TCP/IPv4 --> дополнительно и устанавливаем галочку "Использовать шлюз в удаленной сети" кликабельно В macOS поддерживается IKEv2 начиная с версии 10.11 (El Capitan). Создание подключение происходит через меню настроек сети. image Добавлем новое подключение. В качестве имени подключения задаем любое произвольное имя. image Для проверки подлинности сертификата, нужно указать доменное имя. При этом в поле "Server Address" можно указать IP адрес сервера, а домен только в "Remote ID", тогда для подключения подключения не будет выполняться DNS-резолв и оно будет происходить чуть быстрее. image Логин и пароль пользователя указываем из файла /etc/ipsec.secrets image Настройку iOS можно выполнить вручную через мастер, но намного удобнее использовать профиль автоконфигурации mobileconfig. Ручная настройка по смыслу аналогична десктопной macOS: Настройки -> VPN -> Добавить конфигурацию VPN Профили автоконфигурации .mobileconfig представляют из себя XML файл с настройка, которые могут настраивать что угодно, от SSL сертификатов до VPN подключений. Пользователю достаточно кликнуть по файлу и все нужные настройки установятся автоматические Пример конфига для подключения к нашему IKEv2 серверу. Для настройки файла под свою конфигурацию, достаточно отредактировать несколько параметров в этом шаблоне: AuthName — имя пользователя из файла /etc/ipsec.secrets AuthPassword — пароль пользователя /etc/ipsec.secrets RemoteAddress — домен или IP адрес сервера RemoteIdentifier — домен, на который выпущен сертификат PayloadContent IKEv2 AuthName IrinaYarovaya AuthPassword PleaseLoveMe123 RemoteAddress 123.123.123.123 RemoteIdentifier good.citizen.vpn AuthenticationMethod Certificate ChildSecurityAssociationParameters DiffieHellmanGroup 14 EncryptionAlgorithm AES-256 IntegrityAlgorithm SHA2-256 LifeTimeInMinutes 1440 DeadPeerDetectionRate High ExtendedAuthEnabled IKESecurityAssociationParameters DiffieHellmanGroup 14 EncryptionAlgorithm AES-256 IntegrityAlgorithm SHA2-256 LifeTimeInMinutes 1440 OnDemandEnabled 1 OnDemandRules Action Connect IPv4 OverridePrimary 1 PayloadDescription Configures VPN settings PayloadDisplayName VPN PayloadIdentifier com.apple.vpn.managed.96C1C38F-D4D6-472E-BA90-9117ED8896B5 PayloadType com.apple.vpn.managed PayloadUUID 96C1C38F-D4D6-472E-BA90-9117ED8896B5 PayloadVersion 1 UserDefinedName London VPN VPNType IKEv2 PayloadDisplayName My Super IKEv2 VPN PayloadIdentifier vpn.googd.citizen PayloadUUID F3FAD91C-019C-4A79-87A1-CF334C583339 PayloadType Configuration PayloadVersion 1 К сожалению Android единственная из популярных операционных систем до сих пор не имеет встроенной поддержки IKEv2. Для подключения можно использовать официальный клиент Strongswan из PlayMarket