Debian13 StrongSwan IKEv2 VPN für Windows 11 (EAP-MSCHAPv2)
Version vom 9. Dezember 2025, 17:02 Uhr von Thomas.will (Diskussion | Beiträge)
Debian13 StrongSwan IKEv2 VPN für Windows 11 (13 Benutzer, EAP-MSCHAPv2)
Umgebung
- Öffentliche IP des VPN-Gateways
- 194.59.156.167
- LAN
- 172.24.24.0/24
- VPN-Pool
- 10.10.10.0/24
- Benutzer
- kit01 bis kit13
- Passwort
- 12Drei4--
Installation
- apt update
- apt install strongswan strongswan-swanctl strongswan-pki
IP-Forwarding aktivieren
- echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/ipforward.conf
- sysctl -p /etc/sysctl.d/ipforward.conf
NAT aktivieren
- nft add table ip nat
- nft add chain ip nat postrouting '{ type nat hook postrouting priority 100; }'
- nft add rule ip nat postrouting ip saddr 10.10.10.0/24 masquerade
StrongSwan-Konfiguration (eine Datei)
- mkdir -p /etc/swanctl/conf.d
- vi /etc/swanctl/conf.d/winvpn.conf
connections {
winvpn {
version = 2
send_cert = never
local_addrs = 194.59.156.167
remote_addrs = %any
proposals = aes256-sha256-modp2048
children {
net {
local_ts = 172.24.24.0/24
remote_ts = 0.0.0.0/0
dpd_timeout = 30s
dpd_action = restart
start_action = none
pools = winpool
}
}
auth = eap-mschapv2
remote_auth = eap-mschapv2
}
}
pools {
winpool {
addrs = 10.10.10.0/24
}
}
secrets {
eap-users {
kit01 : EAP "12Drei4--"
kit02 : EAP "12Drei4--"
kit03 : EAP "12Drei4--"
kit04 : EAP "12Drei4--"
kit05 : EAP "12Drei4--"
kit06 : EAP "12Drei4--"
kit07 : EAP "12Drei4--"
kit08 : EAP "12Drei4--"
kit09 : EAP "12Drei4--"
kit10 : EAP "12Drei4--"
kit11 : EAP "12Drei4--"
kit12 : EAP "12Drei4--"
kit13 : EAP "12Drei4--"
}
}
StrongSwan laden
- swanctl --load-all
- systemctl restart strongswan-starter
Windows 11 Konfiguration
- Einstellungen → Netzwerk & Internet → VPN → Verbindung hinzufügen
- Anbieter: Windows (integriert)
- Servername: 194.59.156.167
- VPN-Typ: IKEv2
- Anmeldung: Benutzername & Passwort
- Beispiel
- Benutzer
- kit01
- Passwort
- 12Drei4--
Funktionstest
- ping 172.24.24.1
- swanctl -l
- swanctl -s