Собрать прошивку с поддержкой IPsec – нетривиальная задача. Но это только пол беды. Дальше надо ещё настоить сам IPsec IKEv2 сервер.
И так, нужно поставить пакет strongSwan из Entware:
Когда поставил storngSwan, надо его законфигурить, хороший пример есть здесь, я всё делал по нему:
1. Создаем конфиг. У меня такой:
1.1 /opt/etc/ipsec.conf
3. Дальше куда-нибудь в /jffs/scripts/post-mount добавляем что-то типа:
И так, нужно поставить пакет strongSwan из Entware:
opk install strongswanв моём случае поставилось версия 5.3.3, всё ОК, но не хватило модуля strongswan-mod-kernel-netlink. Его я нашёл в архиве версии 5.3.2. Поставил – проканало.
Когда поставил storngSwan, надо его законфигурить, хороший пример есть здесь, я всё делал по нему:
1. Создаем конфиг. У меня такой:
1.1 /opt/etc/ipsec.conf
config setup1.2 /opt/etc/ipsec.secrets
conn %default
keyexchange=ikev2
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
conn ikev2
left=%any
leftsubnet=192.168.0.1/24
leftauth=pubkey
leftid=@dyndns.domain.com
leftcert=serverCert.pem
leftfirewall=yes
rightsourceip=192.168.1.0/24
right=%any
rightcert=clientCert.pem
rightauth=pubkey
rightauth2=eap-mschapv2
type=tunnel
auto=add
esp=aes-aes256-sha-modp1024,aes256-sha512-modp4096
ike=aes-aes256-sha-modp1024,aes256-sha512-modp4096
# /etc/ipsec.secrets - strongSwan IPsec secrets file2. Генерим сертификаты. (Опять-таки по той инструкции, но у меня не получилось сделать это прямо на роутере из слабой энтропии /dev/random, и я сделал это на CentOS)
# login:password of user1
login : EAP "password"
: RSA serverKey.pem
: RSA clientKey.pem
3. Дальше куда-нибудь в /jffs/scripts/post-mount добавляем что-то типа:
# IPsecПрофит.
insmod xt_policy
insmod af_key
modprobe ah4
modprobe esp4
modprobe ipcomp
insmod xfrm4_mode_beet
insmod xfrm4_mode_transport
insmod xfrm4_mode_tunnel
modprobe xfrm4_tunnel
modprobe tun
/opt/sbin/ipsec start
Комментариев нет:
Отправить комментарий