Страницы

четверг, 22 октября 2015 г.

Настройка IPsec (strongSwan) на Asus RT-AC68U @Merlin

Собрать прошивку с поддержкой IPsec – нетривиальная задача. Но это только пол беды. Дальше надо ещё настоить сам IPsec IKEv2 сервер.
И так, нужно поставить пакет strongSwan из Entware:
opk install strongswan
в моём случае поставилось версия 5.3.3, всё ОК, но не хватило модуля strongswan-mod-kernel-netlink. Его я нашёл в архиве версии 5.3.2. Поставил – проканало.

Когда поставил storngSwan, надо его законфигурить, хороший пример есть здесь, я всё делал по нему:
1. Создаем конфиг. У меня такой:
1.1 /opt/etc/ipsec.conf
config setup

conn %default
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no

conn ikev2
    left=%any
    leftsubnet=192.168.0.1/24
    leftauth=pubkey
    leftid=@dyndns.domain.com
    leftcert=serverCert.pem
    leftfirewall=yes
    rightsourceip=192.168.1.0/24
    right=%any
    rightcert=clientCert.pem
    rightauth=pubkey
    rightauth2=eap-mschapv2
    type=tunnel
    auto=add
    esp=aes-aes256-sha-modp1024,aes256-sha512-modp4096
    ike=aes-aes256-sha-modp1024,aes256-sha512-modp4096
1.2 /opt/etc/ipsec.secrets
# /etc/ipsec.secrets - strongSwan IPsec secrets file

# login:password of user1
login : EAP "password"
: RSA serverKey.pem
: RSA clientKey.pem
2. Генерим сертификаты. (Опять-таки по той инструкции, но у меня не получилось сделать это прямо на роутере из слабой энтропии /dev/random, и я сделал это на CentOS)
3. Дальше куда-нибудь в /jffs/scripts/post-mount добавляем что-то типа:
# IPsec
insmod xt_policy
insmod af_key
modprobe ah4
modprobe esp4
modprobe ipcomp
insmod xfrm4_mode_beet
insmod xfrm4_mode_transport
insmod xfrm4_mode_tunnel
modprobe xfrm4_tunnel
modprobe tun
/opt/sbin/ipsec start
 Профит.