Debian13 StrongSwan IKEv2 VPN für Windows 11 (EAP-MSCHAPv2)

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Debian13 StrongSwan IKEv2 VPN für Windows 11 (EAP-MSCHAPv2, LAN 172.24.24.0/24)

Umgebung

VPN-Gateway (öffentlich)
194.59.156.167
LAN
172.24.24.0/24
LAN-Gateway/Router
172.24.24.1
VPN-Pool
10.10.10.0/24
Benutzer
kit01–kit13
Passwort
12Drei4--

Pakete installieren

  • apt update
  • apt install strongswan strongswan-swanctl strongswan-pki

IP-Forwarding aktivieren

  • echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/ipforward.conf
  • sysctl -p /etc/sysctl.d/ipforward.conf

NAT aktivieren

NAT sorgt dafür, dass du NICHTS am LAN-Router ändern musst.
  • nft add table ip nat
  • nft add chain ip nat postrouting '{ type nat hook postrouting priority 100; }'
  • nft add rule ip nat postrouting ip saddr 10.10.10.0/24 oif eth0 masquerade

Eine einzige StrongSwan-Datei anlegen

Datei
/etc/swanctl/conf.d/winvpn.conf
  • vi /etc/swanctl/conf.d/winvpn.conf
connections {
    winvpn {
        version = 2
        send_cert = never

        # Öffentliche IP des VPN-Gateways
        local_addrs  = 194.59.156.167
        remote_addrs = %any

        proposals = aes256-sha256-modp2048

        children {
            net {
                # LAN, das die Clients erreichen sollen
                local_ts  = 172.24.24.0/24

                # Windows soll gesamten Traffic durch den Tunnel schicken
                remote_ts = 0.0.0.0/0

                dpd_timeout = 30s
                dpd_action  = restart
                start_action = none

                pools = winpool
            }
        }

        auth = eap-mschapv2
        remote_auth = eap-mschapv2
    }
}

pools {
    winpool {
        addrs = 10.10.10.0/24
    }
}

secrets {
    eap-users {
        kit01 : EAP "12Drei4--"
        kit02 : EAP "12Drei4--"
        kit03 : EAP "12Drei4--"
        kit04 : EAP "12Drei4--"
        kit05 : EAP "12Drei4--"
        kit06 : EAP "12Drei4--"
        kit07 : EAP "12Drei4--"
        kit08 : EAP "12Drei4--"
        kit09 : EAP "12Drei4--"
        kit10 : EAP "12Drei4--"
        kit11 : EAP "12Drei4--"
        kit12 : EAP "12Drei4--"
        kit13 : EAP "12Drei4--"
    }
}

strongSwan laden

  • swanctl --load-all
  • systemctl restart strongswan-starter

Windows 11 VPN

Einstellungen → Netzwerk & Internet → VPN → Verbindung hinzufügen
  • Anbieter: Windows (integriert)
  • Servername: 194.59.156.167
  • VPN-Typ: IKEv2
  • Anmeldung: Benutzername & Passwort
  • Benutzer: kit01 … kit13
  • Passwort: 12Drei4--

Test

  • ping 172.24.24.1
  • swanctl -l
  • swanctl -s
Abgerufen von „http://wiki.ixheim.de/index.php?title=Debian13_StrongSwan_IKEv2_VPN_für_Windows_11_(EAP-MSCHAPv2)&oldid=66121