Debian13 StrongSwan IKEv2 VPN für Windows 11 (EAP-MSCHAPv2)

Aus Xinux Wiki
Version vom 9. Dezember 2025, 16:53 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Debian13 StrongSwan IKEv2 VPN für Windows 11 (EAP-MSCHAPv2) = == Pakete installieren == *apt update *apt install strongswan strongswan-swanctl strongswan-p…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Debian13 StrongSwan IKEv2 VPN für Windows 11 (EAP-MSCHAPv2)

Pakete installieren

  • apt update
  • apt install strongswan strongswan-swanctl strongswan-pki

IP-Forwarding aktivieren

  • echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/ipforward.conf
  • sysctl -p /etc/sysctl.d/ipforward.conf

swanctl-Konfiguration

  • vi /etc/swanctl/swanctl.conf
connections {
    winvpn {
        version = 2
        send_cert = never
        local_addrs  = 194.59.156.167
        remote_addrs = %any

        proposals = aes256-sha256-modp2048

        children {
            net {
                local_ts  = 172.24.24.0/24
                remote_ts = 0.0.0.0/0
                dpd_timeout = 30s
                dpd_action = restart
                start_action = none
                pools = winpool
            }
        }

        auth = eap-mschapv2
        remote_auth = eap-mschapv2
    }
}

pools {
    winpool {
        addrs = 10.10.10.0/24
    }
}

secrets {
    eap-users {
        kit01 : EAP "12Drei4--"
        kit02 : EAP "12Drei4--"
        kit03 : EAP "12Drei4--"
        kit04 : EAP "12Drei4--"
        kit05 : EAP "12Drei4--"
        kit06 : EAP "12Drei4--"
        kit07 : EAP "12Drei4--"
        kit08 : EAP "12Drei4--"
        kit09 : EAP "12Drei4--"
        kit10 : EAP "12Drei4--"
        kit11 : EAP "12Drei4--"
        kit12 : EAP "12Drei4--"
        kit13 : EAP "12Drei4--"
    }
}

strongSwan neu laden

  • swanctl --load-all
  • systemctl restart strongswan-starter

NFT-Regeln für Routing

  • nft add table inet filter
  • nft add chain inet filter forward '{ type filter hook forward priority 0; }'
  • nft add rule inet filter forward ip saddr 10.10.10.0/24 ip daddr 172.24.24.0/24 accept
  • nft add rule inet filter forward ip saddr 172.24.24.0/24 ip daddr 10.10.10.0/24 accept

Rückroute im Zielnetz

Auf dem Router im Netz 172.24.24.0/24 setzen
10.10.10.0/24 via <interne_IP_des_VPN_Gateways>

Windows 11 Client

Einstellungen → Netzwerk & Internet → VPN → Verbindung hinzufügen
  • Anbieter: Windows (integriert)
  • Servername: 194.59.156.167
  • VPN-Typ: IKEv2
  • Anmelden mit Benutzername und Passwort

Zugangsdaten

Beispiel
Benutzer
kit05
Passwort
12Drei4--

Funktionstest

  • ping 172.24.24.1
  • swanctl -l
  • swanctl -s
Abgerufen von „http://wiki.ixheim.de/index.php?title=Debian13_StrongSwan_IKEv2_VPN_für_Windows_11_(EAP-MSCHAPv2)&oldid=66120