Настраиваем IPSec VPN сервер через strongSwan и On-Demand на iOS

[ValdikSS]

Спасибо! Я пробовал настроить ipsec через racoon для android только с сертификатами — ничего не вышло, забил, т.к. не особо надо было, пользуюсь только openvpn.

[iznakurnozh]

Когда я уже почти было отчаялся — у меня тоже была мысль плюнуть на всё и поставить openvpn :)

[EvilMan]

strongswan.conf выглядит немного странно: две секции charon (одна лишняя) и секция pluto (в 5ой версии strongswan этого демона уже нет, а его функциональность (IKEv1) интегрирована в charon).

[iznakurnozh]

Спасибо! Вы совершенно правы. Секция pluto осталась от попыток заставить работать версию 4.5. Поправил.

[Slavon4ever]

Еще сертификаты в iOS можно загрузить создав в iPhone Configuration Utility нужный профиль, экспортировать его и разместив на web. Мы например такие профили создаём на лету для подготовки корпоративных IOS-устройств к работе в защищенной сети wifi.

[frol]

Просто оставлю это здесь для гугла.
На сертификаты есть определённые требования, диктуемые платформами:
1) iOS поддерживает только SHA1 в качестве хеш-функции.
2) iOS и Android поддерживают только RSA в качестве алгоритма подписи
Подытоживая, алгоритм подписи для CA и для клиентов должен быть sha1WithRSAEncryption.

iOS в случае неподдерживаемого алгоритма подписи любезно импортирует ваш .p12, только напишет Not trusted, а при попытке использовать, будет выдавать ошибку «Не удалось проверить подлинность сертификата», в логах StrongSwan можно будет увидеть:

3> invalid HASH_V1 payload length, decryption failed?
3> could not decrypt payloads
3> message parsing failed
3> ignore malformed INFORMATIONAL request

Ещё раз хочу напомнить (в статье есть упоминание): для iOS кроме .p12 нужно отдельно импорировать сертификат коренового ЦА — caCert.pem, не смотря на то, что вы его экспортируете в .p12 тоже.