Настройка VPN на основе StrongSwan IKEv2/IPSec на Windows, Android и iOS

В нашем справочнике есть статья, посвящённая настройке VPN-канала с использованием образа на основе Windows Server 2019, на котором развёрнут VPN-сервер с возможностью доступа к нему с использованием протокола L2TP. Данный образ позволяет организовать VPN-подключение что называется «из коробки». В настоящем руководстве мы разберём альтернативный способ настройки VPN-канала на основе StrongSwan IKEv2/IPSec и подключения к нему из Windows, Android, а также устройства, работающего на iOS.

Создание VPN-сервера

Для создания VPN-сервера необходимо зарегистрироваться в личном кабинете, после чего во вкладке Заказать выбрать соответствующее расположение дата-центра. В нашем примере мы будем использовать Interxion, Амстердам.

Далее в разделе Конфигурация укажите необходимые параметры создаваемой системы и затем в строке Шаблон сервера из списка выберите StrongSwan IKEv2/IPSec - Debian 11.

После оплаты и завершения процесса установки операционной системы перейдите во вкладку Мои серверы, где в списке серверов появится новый VPS. Там вы сможете увидеть учётные данные для подключения к нему: IP-адрес, логин и пароль администратора системы. Та же информация поступит в виде сообщения на электронную почту, используемую вами для регистрации на хостинге.

Затем на своём локальном компьютере откройте браузер и в его адресной строке перейдите по адресу вида https://your-server-ip:5000, где your-server-ip – IP-адрес вашего сервера. При этом в открывшемся окне система попросит ввести соответствующие логин и пароль для подключения.

После успешной авторизации вы получите доступ к веб-интерфейсу VPN-сервера. Здесь для завершения его настройки кликните на ссылку произвести инициализацию. В результате VPN-сервер применит текущую конфигурацию и создаст сертификат для подключения.

Подключение к VPN из Windows

Для подключения к созданному VPN-каналу из Windows на подключаемом компьютере установите сгенерированный сертификат. Для этого в веб-интерфейсе VPN-сервера кликните в корневой сертификат crt, после чего откройте загруженный файл сертификата. В открывшемся окне нажмите Установить сертификат.

Затем в разделе Расположение хранилища выберите опцию Локальный компьютер, после чего нажмите Далее.

В следующем окне укажите опцию Поместить все сертификаты в следующее хранилище и при помощи кнопки Обзор из списка выберите Доверенные корневые центры сертификации. Для продолжения нажмите Далее.

Для того, чтобы завершить процесс импорта сертификата, нажмите Готово.

После завершения работы мастера нажмите ОК.

Далее в стартовом меню откройте Параметры и там перейдите Сеть и Интернет 🠒 VPN.

Здесь в разделе Подключения VPN нажмите Добавить VPN.

В открывшемся окне заполните следующие поля:

• Имя подключения – название создаваемого подключения (может быть любым);
• Имя или адрес сервера – IP-адрес виртуального сервера;
• Тип VPN – необходимо выбрать IKEv2;
• Тип данных для входа – выберите Имя пользователя и пароль;
• Имя пользователя – указано в разделе Логин и пароль для доступа (EAP) веб-интерфейса VPN-сервера;
• Пароль – также указан в разделе Логин и пароль для доступа (EAP) веб-интерфейса VPN-сервера.

После чего нажмите Сохранить.

Таким образом, новое VPN-подключение готово к использованию. Для его активации нажмите Подключиться в строке, соответствующей созданному подключению.

Подключение к VPN из Android

Для подключения Android-устройства к VPN-серверу необходимо загрузить и установить на гаджет клиентское приложение StrongSwan.

Найти его можно, воспользовавшись либо поиском в Google Play, либо ссылкой из веб-интерфейса VPN-сервера.

После установки StrongSwan перейдите в веб-интерфейс VPN-сервера и скачайте конфигурацию sswan для дальнейшей загрузки её в клиентское приложение.

В клиенте StrongSwan перейдите в главное меню и выберите Import VPN profile.

Затем укажите приложению загруженный ранее файл конфигурации, введите логин, указанный в веб-интерфейсе VPN-сервера, и нажмите IMPORT.

Теперь для подключения к VPN кликните в добавленный профиль, введите пароль и нажмите СОЕДИНИТЬ.

В результате ваш гаджет подключиться к VPN-серверу.

Подключение к VPN из iOS

Устройству, работающему на iOS, не нужно стороннее клиентское приложение для подключения к StrongSwan, поскольку про­токол IKEv2/IPSec, реали­зован­ный в данном VPN-сервисе, под­держивается сис­темой рассматриваемого гаджета. Все настройки для подключения из iOS уже собраны в профиле, который доступен для загрузки в веб-интерфейсе VPN-сервера. Чтобы загрузить профиль, откройте на устройстве браузер и подключитесь к веб-интерфейсу VPN-сервера. Для этого в навигационной строке браузера введите https://your-server-ip:5000, где вместо your-server-ip укажите IP-адрес своего виртуального сервера. Затем в качестве имени пользователя введите root, а в качестве пароля – пароль учётной записи root, указанный на странице сервера в личном кабинете RUVDS. После подключения кликните на Скачать конфигурацию mobileconfig для MAC или IOS.

В результате на устройство будет загружен профиль для подключения к вашему StrongSwan. Чтобы его установить, нажмите соответствующую кнопку.

После чего устройство будет готово к подключению к StrongSwan с использованием настроек вашего VPN-сервера, которые вы загрузили и установили при помощи профиля.

Создание дополнительного пользователя

При инициализации сервера StrongSwan сервис создаёт пользователя, при помощи которого происходит авторизация во время подключения к VPN-каналу. Имя этого пользователя и его пароль указаны в веб-интерфейсе вашего сервера.

StrongSwan не допускает использования одного и того же пользователя при нескольких подключениях единовременно. Другими словами, подключение со второго узла произойдёт, и даже ранее установленное соединение останется активным, но трафик по первому подключению идти не будет. Исходя из этого, для использования VPN-канала с нескольких устройств одновременно необходимо создать учётные записи для каждого из этих клиентов.

Чтобы добавить в StrongSwan дополнительного пользователя, подключитесь к виртуальной машине по SSH и перейдите в каталог /etc. Здесь откройте для редактирования файл ipsec.secrets.

# cd /etc
# nano ipsec.secrets

И в этот файл дополнительной строкой добавьте нового пользователя, например youruser : EAP "Password1". В данном случае замените youruser на имя создаваемого пользователя, а Password1 – на его пароль.

После чего закройте файл с сохранением внесённых изменений и перезапустите службу StrongSwan.

# systemctl restart strongswan-starter.service

После чего проверьте корректность добавления учётной записи, обновив страницу веб-интерфейса.

С этого момента вы сможете использовать нового пользователя для подключения к своему VPN-каналу.