diff --git a/README-zh.md b/README-zh.md
index 1431135..2cb7524 100644
--- a/README-zh.md
+++ b/README-zh.md
@@ -58,7 +58,7 @@ Amazon Linux 2
```bash
-wget https://bit.ly/vpnsetup-amzn -O vpnsetup.sh && sudo sh vpnsetup.sh
+wget https://git.io/vpnsetup-amzn -O vpnsetup.sh && sudo sh vpnsetup.sh
```
@@ -109,7 +109,7 @@ wget https://bit.ly/vpnsetup-amzn -O vpnsetup.sh && sudo sh vpnsetup.sh
## 安装说明
-首先,更新你的系统:运行 `apt-get update && apt-get dist-upgrade` (Ubuntu/Debian) 或者 `yum update` (CentOS/RHEL/Amazon Linux 2) 并重启。这一步是可选的,但推荐。
+首先,更新你的系统:运行 `apt-get update && apt-get dist-upgrade` (Ubuntu/Debian) 或者 `yum update` 并重启。这一步是可选的,但推荐。
要安装 VPN,请从以下选项中选择一个:
@@ -131,6 +131,7 @@ CentOS & RHEL
```bash
+yum -y install wget
wget https://git.io/vpnsetup-centos -O vpnsetup.sh && sudo sh vpnsetup.sh
```
@@ -141,7 +142,7 @@ Amazon Linux 2
```bash
-wget https://bit.ly/vpnsetup-amzn -O vpnsetup.sh && sudo sh vpnsetup.sh
+wget https://git.io/vpnsetup-amzn -O vpnsetup.sh && sudo sh vpnsetup.sh
```
@@ -166,6 +167,7 @@ CentOS & RHEL
```bash
+yum -y install wget nano
wget https://git.io/vpnsetup-centos -O vpnsetup.sh
nano -w vpnsetup.sh
[替换为你自己的值: YOUR_IPSEC_PSK, YOUR_USERNAME 和 YOUR_PASSWORD]
@@ -179,7 +181,7 @@ Amazon Linux 2
```bash
-wget https://bit.ly/vpnsetup-amzn -O vpnsetup.sh
+wget https://git.io/vpnsetup-amzn -O vpnsetup.sh
nano -w vpnsetup.sh
[替换为你自己的值: YOUR_IPSEC_PSK, YOUR_USERNAME 和 YOUR_PASSWORD]
sudo sh vpnsetup.sh
@@ -214,6 +216,7 @@ CentOS & RHEL
```bash
# 所有变量值必须用 '单引号' 括起来
# *不要* 在值中使用这些字符: \ " '
+yum -y install wget
wget https://git.io/vpnsetup-centos -O vpnsetup.sh
sudo VPN_IPSEC_PSK='你的IPsec预共享密钥' \
VPN_USER='你的VPN用户名' \
@@ -230,7 +233,7 @@ Amazon Linux 2
```bash
# 所有变量值必须用 '单引号' 括起来
# *不要* 在值中使用这些字符: \ " '
-wget https://bit.ly/vpnsetup-amzn -O vpnsetup.sh
+wget https://git.io/vpnsetup-amzn -O vpnsetup.sh
sudo VPN_IPSEC_PSK='你的IPsec预共享密钥' \
VPN_USER='你的VPN用户名' \
VPN_PASSWORD='你的VPN密码' \
@@ -308,7 +311,7 @@ Amazon Linux 2
```bash
-wget https://bit.ly/vpnupgrade-amzn -O vpnupgrade.sh && sudo sh vpnupgrade.sh
+wget https://git.io/vpnupgrade-amzn -O vpnupgrade.sh && sudo sh vpnupgrade.sh
```
@@ -325,9 +328,6 @@ wget https://bit.ly/vpnupgrade-amzn -O vpnupgrade.sh && sudo sh vpnupgrade.sh
## 另见
- IPsec VPN Server on Docker
-- Algo VPN
-- Streisand
-- OpenVPN Install
## 授权协议
diff --git a/README.md b/README.md
index 858c5f0..d53bc44 100644
--- a/README.md
+++ b/README.md
@@ -58,7 +58,7 @@ Amazon Linux 2
```bash
-wget https://bit.ly/vpnsetup-amzn -O vpnsetup.sh && sudo sh vpnsetup.sh
+wget https://git.io/vpnsetup-amzn -O vpnsetup.sh && sudo sh vpnsetup.sh
```
@@ -88,7 +88,7 @@ A newly created Amazon EC2
- Red Hat Enterprise Linux (RHEL) 8 or 7
- Amazon Linux 2
-See detailed instructions and EC2 pricing. Alternatively, you can deploy rapidly using CloudFormation.
+See detailed instructions and EC2 pricing. Alternatively, you may also deploy rapidly using CloudFormation.
**-OR-**
@@ -109,7 +109,7 @@ Advanced users can set up the VPN server on a $35
```bash
-wget https://bit.ly/vpnupgrade-amzn -O vpnupgrade.sh && sudo sh vpnupgrade.sh
+wget https://git.io/vpnupgrade-amzn -O vpnupgrade.sh && sudo sh vpnupgrade.sh
```
@@ -320,14 +323,11 @@ wget https://bit.ly/vpnupgrade-amzn -O vpnupgrade.sh && sudo sh vpnupgrade.sh
## Uninstallation
-Please refer to Uninstall the VPN.
+See Uninstall the VPN.
## See also
- IPsec VPN Server on Docker
-- Algo VPN
-- Streisand
-- OpenVPN Install
## License
diff --git a/docs/clients-zh.md b/docs/clients-zh.md
index 2a1b63c..259ef03 100644
--- a/docs/clients-zh.md
+++ b/docs/clients-zh.md
@@ -36,7 +36,11 @@
1. 单击 **确定** 关闭 **高级设置**。
1. 单击 **确定** 保存 VPN 连接的详细信息。
-**注:** 在首次连接之前需要**修改一次注册表**。请参见下面的说明。
+**注:** 在首次连接之前需要修改一次注册表,以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。
+
+要连接到 VPN: 单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。如果出现提示,在登录窗口中输入 `你的 VPN 用户名` 和 `密码` ,并单击 **确定**。最后你可以到 这里 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
+
+如果在连接过程中遇到错误,请参见 故障排除。
另外,除了按照以上步骤操作,你也可以运行下面的 Windows PowerShell 命令来创建 VPN 连接。将 `你的 VPN 服务器 IP` 和 `你的 VPN IPsec PSK` 换成你自己的值,用单引号括起来:
@@ -168,7 +172,7 @@ VPN 连接成功后,网络状态图标上会出现 VPN 指示。最后你可
### Ubuntu Linux
-Ubuntu 18.04 (和更新版本)用户可以使用 `apt` 安装 network-manager-l2tp-gnome 软件包,然后通过 GUI 配置 IPsec/L2TP VPN 客户端。Ubuntu 16.04 用户可能需要添加 `nm-l2tp` PPA,参见 这里。
+Ubuntu 18.04 和更新版本用户可以使用 `apt` 安装 network-manager-l2tp-gnome 软件包,然后通过 GUI 配置 IPsec/L2TP VPN 客户端。Ubuntu 16.04 用户可能需要添加 `nm-l2tp` PPA,参见 这里。
1. 进入 Settings -> Network -> VPN。单击 **+** 按钮。
1. 选择 **Layer 2 Tunneling Protocol (L2TP)**。
@@ -225,13 +229,13 @@ Fedora 28 (和更新版本)和 CentOS 8/7 用户可以使用更高效的 [IP
要解决此错误,在首次连接之前需要修改一次注册表,以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。请下载并导入下面的 `.reg` 文件,或者打开 提升权限命令提示符 并运行以下命令。**完成后必须重启计算机。**
-- 适用于 Windows Vista, 7, 8.x 和 10 ([下载 .reg 文件](https://static.ls20.com/reg-files/v1/Fix_VPN_Error_809_Windows_Vista_7_8_10_Reboot_Required.reg))
+- 适用于 Windows Vista, 7, 8.x 和 10 ([下载 .reg 文件](https://dl.ls20.com/reg-files/v1/Fix_VPN_Error_809_Windows_Vista_7_8_10_Reboot_Required.reg))
```console
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f
```
-- 仅适用于 Windows XP ([下载 .reg 文件](https://static.ls20.com/reg-files/v1/Fix_VPN_Error_809_Windows_XP_ONLY_Reboot_Required.reg))
+- 仅适用于 Windows XP ([下载 .reg 文件](https://dl.ls20.com/reg-files/v1/Fix_VPN_Error_809_Windows_XP_ONLY_Reboot_Required.reg))
```console
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\IPSec /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f
@@ -239,7 +243,7 @@ Fedora 28 (和更新版本)和 CentOS 8/7 用户可以使用更高效的 [IP
另外,某些个别的 Windows 系统配置禁用了 IPsec 加密,此时也会导致连接失败。要重新启用它,可以运行以下命令并重启。
-- 适用于 Windows XP, Vista, 7, 8.x 和 10 ([下载 .reg 文件](https://static.ls20.com/reg-files/v1/Fix_VPN_Error_809_Allow_IPsec_Reboot_Required.reg))
+- 适用于 Windows XP, Vista, 7, 8.x 和 10 ([下载 .reg 文件](https://dl.ls20.com/reg-files/v1/Fix_VPN_Error_809_Allow_IPsec_Reboot_Required.reg))
```console
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v ProhibitIpSec /t REG_DWORD /d 0x0 /f
@@ -281,7 +285,7 @@ Fedora 28 (和更新版本)和 CentOS 8/7 用户可以使用更高效的 [IP
Windows 8.x 和 10 默认使用 "smart multi-homed name resolution" (智能多宿主名称解析)。如果你的因特网适配器的 DNS 服务器在本地网段上,在使用 Windows 自带的 IPsec VPN 客户端时可能会导致 "DNS 泄漏"。要解决这个问题,你可以 禁用智能多宿主名称解析,或者配置你的因特网适配器以使用在你的本地网段之外的 DNS 服务器(比如 8.8.8.8 和 8.8.4.4)。在完成后清除 DNS 缓存并且重启计算机。
-另外,如果你的计算机启用了 IPv6,所有的 IPv6 流量(包括 DNS 请求)都将绕过 VPN。要在 Windows 上禁用 IPv6,请看这里。
+另外,如果你的计算机启用了 IPv6,所有的 IPv6 流量(包括 DNS 请求)都将绕过 VPN。要在 Windows 上禁用 IPv6,请看这里。如果你需要支持 IPv6 的 VPN,你可以另外尝试 OpenVPN。
### Android MTU/MSS 问题
diff --git a/docs/clients.md b/docs/clients.md
index 3149cd4..8168b22 100644
--- a/docs/clients.md
+++ b/docs/clients.md
@@ -36,7 +36,11 @@ After settin
1. Click **OK** to close the **Advanced settings**.
1. Click **OK** to save the VPN connection details.
-**Note:** A **one-time registry change** is required before connecting. See details below.
+**Note:** This one-time registry change is required if the VPN server and/or client is behind NAT (e.g. home router).
+
+To connect to the VPN: Click on the wireless/network icon in your system tray, select the new VPN entry, and click **Connect**. If prompted, enter `Your VPN Username` and `Password`, then click **OK**. You can verify that your traffic is being routed properly by looking up your IP address on Google. It should say "Your public IP address is `Your VPN Server IP`".
+
+If you get an error when trying to connect, see Troubleshooting.
Alternatively, instead of following the steps above, you may create the VPN connection using these Windows PowerShell commands. Replace `Your VPN Server IP` and `Your VPN IPsec PSK` with your own values, enclosed in single quotes:
@@ -224,13 +228,13 @@ First check one-time registry change is required because the VPN server and/or client is behind NAT (e.g. home router). Download and import the `.reg` file below, or run the following from an elevated command prompt. **You must reboot your PC when finished.**
-- For Windows Vista, 7, 8.x and 10 ([download .reg file](https://static.ls20.com/reg-files/v1/Fix_VPN_Error_809_Windows_Vista_7_8_10_Reboot_Required.reg))
+- For Windows Vista, 7, 8.x and 10 ([download .reg file](https://dl.ls20.com/reg-files/v1/Fix_VPN_Error_809_Windows_Vista_7_8_10_Reboot_Required.reg))
```console
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f
```
-- For Windows XP ONLY ([download .reg file](https://static.ls20.com/reg-files/v1/Fix_VPN_Error_809_Windows_XP_ONLY_Reboot_Required.reg))
+- For Windows XP ONLY ([download .reg file](https://dl.ls20.com/reg-files/v1/Fix_VPN_Error_809_Windows_XP_ONLY_Reboot_Required.reg))
```console
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\IPSec /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f
@@ -238,7 +242,7 @@ To fix this error, a disable smart multi-homed name resolution, or configure your Internet adapter to use DNS servers outside your local network (e.g. 8.8.8.8 and 8.8.4.4). When finished, clear the DNS cache and reboot your PC.
-In addition, if your computer has IPv6 enabled, all IPv6 traffic (including DNS queries) will bypass the VPN. Learn how to disable IPv6 in Windows.
+In addition, if your computer has IPv6 enabled, all IPv6 traffic (including DNS queries) will bypass the VPN. Learn how to disable IPv6 in Windows. If you need a VPN with IPv6 support, you could instead try OpenVPN.
### Android MTU/MSS issues
diff --git a/docs/ikev2-howto-zh.md b/docs/ikev2-howto-zh.md
index 5deab97..f1258ba 100644
--- a/docs/ikev2-howto-zh.md
+++ b/docs/ikev2-howto-zh.md
@@ -4,11 +4,13 @@
* [导言](#导言)
* [使用辅助脚本](#使用辅助脚本)
-* [手动在 VPN 服务器上配置 IKEv2](#手动在-vpn-服务器上配置-ikev2)
* [配置 IKEv2 VPN 客户端](#配置-ikev2-vpn-客户端)
* [添加一个客户端证书](#添加一个客户端证书)
+* [导出一个客户端证书](#导出一个客户端证书)
* [吊销一个客户端证书](#吊销一个客户端证书)
+* [手动在 VPN 服务器上配置 IKEv2](#手动在-vpn-服务器上配置-ikev2)
* [已知问题](#已知问题)
+* [移除 IKEv2](#移除-ikev2)
* [参考链接](#参考链接)
## 导言
@@ -36,9 +38,215 @@ wget https://bit.ly/ikev2setup -O ikev2.sh && sudo bash ikev2.sh
该 脚本 必须使用 `bash` 而不是 `sh` 运行。按照脚本的提示配置 IKEv2。在完成之后,请转到 [配置 IKEv2 VPN 客户端](#配置-ikev2-vpn-客户端) 和 [已知问题](#已知问题)。如果要为更多的客户端生成证书,只需重新运行脚本。
+## 配置 IKEv2 VPN 客户端
+
+*其他语言版本: [English](ikev2-howto.md#configure-ikev2-vpn-clients), [简体中文](ikev2-howto-zh.md#配置-ikev2-vpn-客户端).*
+
+**注:** 如果你在配置 IKEv2 时指定了服务器的域名(而不是 IP 地址),则必须在 **服务器地址** 和 **远程 ID** 字段中输入该域名。如果要为更多的客户端生成证书,只需重新运行[辅助脚本](#使用辅助脚本)。或者你可以看 [这一小节](#手动在-vpn-服务器上配置-ikev2) 的第 4 步。
+
+* [Windows 7, 8.x 和 10](#windows-7-8x-和-10)
+* [OS X (macOS)](#os-x-macos)
+* [iOS (iPhone/iPad)](#ios)
+* [Android 10 和更新版本](#android-10-和更新版本)
+* [Android 4.x to 9.x](#android-4x-to-9x)
+
+### Windows 7, 8.x 和 10
+
+1. 将生成的 `.p12` 文件安全地传送到你的计算机,然后导入到 "计算机账户" 证书存储。在导入证书后,你必须确保将客户端证书放在 "个人 -> 证书" 目录中,并且将 CA 证书放在 "受信任的根证书颁发机构 -> 证书" 目录中。
+
+ 详细的操作步骤:
+ https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs
+
+1. 在 Windows 计算机上添加一个新的 IKEv2 VPN 连接:
+ https://wiki.strongswan.org/projects/strongswan/wiki/Win7Config
+
+1. (可选但推荐)为 IKEv2 启用更强的加密算法,通过修改一次注册表来实现。请下载并导入下面的 `.reg` 文件,或者打开 提升权限命令提示符 并运行以下命令。更多信息请看 这里。
+
+ - 适用于 Windows 7, 8.x 和 10 ([下载 .reg 文件](https://dl.ls20.com/reg-files/v1/Enable_Stronger_Ciphers_for_IKEv2_on_Windows.reg))
+
+ ```console
+ REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /t REG_DWORD /d 0x1 /f
+ ```
+
+1. 启用新的 VPN 连接,并且开始使用 IKEv2 VPN!
+ https://wiki.strongswan.org/projects/strongswan/wiki/Win7Connect
+
+### OS X (macOS)
+
+首先,将生成的 `.p12` 文件安全地传送到你的 Mac,然后双击以导入到 **钥匙串访问** 中的 **登录** 钥匙串。下一步,双击导入的 `IKEv2 VPN CA` 证书,展开 **信任** 并从 **IP 安全 (IPsec)** 下拉菜单中选择 **始终信任**。单击左上角的红色 "X" 关闭窗口。根据提示使用触控 ID,或者输入密码并单击 "更新设置"。
+
+在完成之后,检查并确保新的客户端证书和 `IKEv2 VPN CA` 都显示在 **登录** 钥匙串 的 **证书** 类别中。
+
+1. 打开系统偏好设置并转到网络部分。
+1. 在窗口左下角单击 **+** 按钮。
+1. 从 **接口** 下拉菜单选择 **VPN**。
+1. 从 **VPN 类型** 下拉菜单选择 **IKEv2**。
+1. 在 **服务名称** 字段中输入任意内容。
+1. 单击 **创建**。
+1. 在 **服务器地址** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
+1. 在 **远程 ID** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
+1. 在 **本地 ID** 字段中输入 `你的 VPN 客户端名称`。
+ **注:** 该名称必须和你在 IKEv2 配置过程中指定的客户端名称一致。它与你的 `.p12` 文件名的第一部分相同。
+1. 单击 **认证设置** 按钮。
+1. 从 **认证设置** 下拉菜单中选择 **无**。
+1. 选择 **证书** 单选按钮,然后选择新的客户端证书。
+1. 单击 **好**。
+1. 选中 **在菜单栏中显示 VPN 状态** 复选框。
+1. 单击 **应用** 保存VPN连接信息。
+1. 单击 **连接**。
+
+### iOS
+
+首先,将生成的 `ikev2vpnca.cer` 和 `.p12` 文件安全地传送到你的 iOS 设备,并且逐个导入为 iOS 配置描述文件。要传送文件,你可以使用:
+
+1. AirDrop(隔空投送),或者
+1. 上传到设备,在 "文件" 应用程序中单击它们(必须首先移动到 "On My iPhone" 目录下),然后按照提示导入,或者
+1. 将文件放在一个你的安全的托管网站上,然后在 Mobile Safari 中下载并导入它们。
+
+在完成之后,检查并确保新的客户端证书和 `IKEv2 VPN CA` 都显示在设置 -> 通用 -> 描述文件中。
+
+1. 进入设置 -> 通用 -> VPN。
+1. 单击 **添加VPN配置...**。
+1. 单击 **类型** 。选择 **IKEv2** 并返回。
+1. 在 **描述** 字段中输入任意内容。
+1. 在 **服务器** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
+1. 在 **远程 ID** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
+1. 在 **本地 ID** 字段中输入 `你的 VPN 客户端名称`。
+ **注:** 该名称必须和你在 IKEv2 配置过程中指定的客户端名称一致。它与你的 `.p12` 文件名的第一部分相同。
+1. 单击 **用户鉴定** 。选择 **无** 并返回。
+1. 启用 **使用证书** 选项。
+1. 单击 **证书** 。选择新的客户端证书并返回。
+1. 单击右上角的 **完成**。
+1. 启用 **VPN** 连接。
+
+连接成功后,你可以到 这里 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
+
+### Android 10 和更新版本
+
+1. 将生成的 `.p12` 文件安全地传送到你的 Android 设备。
+1. 从 **Google Play** 安装 strongSwan VPN 客户端。
+1. 启动 **设置** 应用程序。
+1. 进入 安全 -> 高级 -> 加密与凭据。
+1. 单击 **从存储设备(或 SD 卡)安装**。
+1. 选择你从服务器传送过来的 `.p12` 文件,并按提示操作。
+ **注:** 要查找 `.p12` 文件,单击左上角的抽拉式菜单,然后单击你的设备名称。
+1. 启动 strongSwan VPN 客户端,然后单击 **Add VPN Profile**。
+1. 在 **Server** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
+1. 在 **VPN Type** 下拉菜单选择 **IKEv2 Certificate**。
+1. 单击 **Select user certificate**,选择新的客户端证书并确认。
+1. **(重要)** 单击 **Show advanced settings**。向下滚动,找到并启用 **Use RSA/PSS signatures** 选项。
+1. 保存新的 VPN 连接,然后单击它以开始连接。
+
+### Android 4.x to 9.x
+
+1. 将生成的 `.p12` 文件安全地传送到你的 Android 设备。
+1. 从 **Google Play** 安装 strongSwan VPN 客户端。
+1. 启动 strongSwan VPN 客户端,然后单击 **Add VPN Profile**。
+1. 在 **Server** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
+1. 在 **VPN Type** 下拉菜单选择 **IKEv2 Certificate**。
+1. 单击 **Select user certificate**,然后单击 **Install certificate**。
+1. 选择你从服务器传送过来的 `.p12` 文件,并按提示操作。
+ **注:** 要查找 `.p12` 文件,单击左上角的抽拉式菜单,然后单击你的设备名称。
+1. **(重要)** 单击 **Show advanced settings**。向下滚动,找到并启用 **Use RSA/PSS signatures** 选项。
+1. 保存新的 VPN 连接,然后单击它以开始连接。
+
+## 添加一个客户端证书
+
+如果要为更多的客户端生成证书,只需重新运行 [辅助脚本](#使用辅助脚本)。或者你可以看 [这一小节](#手动在-vpn-服务器上配置-ikev2) 的第 4 步。
+
+## 导出一个客户端证书
+
+在默认情况下,IKEv2 [辅助脚本](#使用辅助脚本) 在运行后会导出客户端证书。如果你想要手动导出一个客户端证书,首先检查证书数据库:`certutil -L -d sql:/etc/ipsec.d`,然后参见 [这一小节](#手动在-vpn-服务器上配置-ikev2) 第 4 步中的 "导出 `.p12` 文件"。
+
+## 吊销一个客户端证书
+
+在某些情况下,你可能需要吊销一个之前生成的 VPN 客户端证书。这可以通过 `crlutil` 实现。下面举例说明,这些命令必须用 `root` 账户运行。
+
+1. 检查证书数据库,并且找到想要吊销的客户端证书的昵称。
+
+ ```bash
+ certutil -L -d sql:/etc/ipsec.d
+ ```
+
+ ```
+ Certificate Nickname Trust Attributes
+ SSL,S/MIME,JAR/XPI
+
+ IKEv2 VPN CA CTu,u,u
+ ($PUBLIC_IP) u,u,u
+ vpnclient-to-revoke u,u,u
+ ```
+
+ 在这个例子中,我们将要吊销昵称为 `vpnclient-to-revoke` 的客户端证书。它是由 `IKEv2 VPN CA` 签发的。
+
+1. 找到该客户端证书的序列号。
+
+ ```bash
+ certutil -L -d sql:/etc/ipsec.d -n "vpnclient-to-revoke"
+ ```
+
+ ```
+ Certificate:
+ Data:
+ Version: 3 (0x2)
+ Serial Number:
+ 00:cd:69:ff:74
+ ... ...
+ ```
+
+ 根据上面的输出,我们知道该序列号为十六进制的 `CD69FF74`,也就是十进制的 `3446275956`。它将在以下步骤中使用。
+
+1. 创建一个新的证书吊销列表 (CRL)。该步骤对于每个 CA 只需运行一次。
+
+ ```bash
+ if ! crlutil -L -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" 2>/dev/null; then
+ crlutil -G -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" -c /dev/null
+ fi
+ ```
+
+ ```
+ CRL Info:
+ :
+ Version: 2 (0x1)
+ Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
+ Issuer: "O=IKEv2 VPN,CN=IKEv2 VPN CA"
+ This Update: Sat Jun 06 22:00:00 2020
+ CRL Extensions:
+ ```
+
+1. 将你想要吊销的客户端证书添加到 CRL。在这里我们指定该证书的(十进制)序列号,以及吊销时间(UTC时间,格式:GeneralizedTime (YYYYMMDDhhmmssZ))。
+
+ ```bash
+ crlutil -M -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" <这里。
+
+1. 最后,让 Libreswan 重新读取已更新的 CRL。
+
+ ```bash
+ ipsec crls
+ ```
+
## 手动在 VPN 服务器上配置 IKEv2
-下面举例说明如何手动在 Libreswan 上配置 IKEv2。以下命令必须用 `root` 账户运行。
+除了使用 [辅助脚本](#使用辅助脚本) 之外,高级用户也可以手动配置 IKEv2。下面举例说明如何手动在 Libreswan 上配置 IKEv2。以下命令必须用 `root` 账户运行。
1. 获取 VPN 服务器的公共 IP 地址,将它保存到变量并检查。
@@ -106,7 +314,7 @@ wget https://bit.ly/ikev2setup -O ikev2.sh && sudo bash ikev2.sh
EOF
```
- **注:** 如果你的服务器(或者 Docker 主机)运行 Debian, CentOS/RHEL 或者 Amazon Linux 2,并且你想要启用 MOBIKE 支持,可以将上面命令中的 `mobike=no` 换成 `mobike=yes`。**不要** 在 Ubuntu 系统或者 Raspberry Pi 上启用该选项。
+ **注:** MOBIKE IKEv2 协议扩展允许 VPN 客户端更改网络连接点,例如在移动数据和 Wi-Fi 之间切换,并使 VPN 保持连接。如果你的服务器(或者 Docker 主机)的操作系统 **不是** Ubuntu Linux,并且你想要启用 MOBIKE 支持,可以将上面命令中的 `mobike=no` 换成 `mobike=yes`。**不要** 在 Ubuntu 系统或者 Raspberry Pi 上启用该选项。
如果是 Libreswan 3.19-3.22:
@@ -234,214 +442,53 @@ wget https://bit.ly/ikev2setup -O ikev2.sh && sudo bash ikev2.sh
service ipsec restart
```
-在继续之前,你**必须**重启 IPsec 服务。VPN 服务器上的 IKEv2 配置到此已完成。按照下面的步骤配置你的 VPN 客户端。
+在继续之前,你**必须**重启 IPsec 服务。VPN 服务器上的 IKEv2 配置到此已完成。下一步:[配置 VPN 客户端](#配置-ikev2-vpn-客户端)。
-## 配置 IKEv2 VPN 客户端
+## 已知问题
-*其他语言版本: [English](ikev2-howto.md#configure-ikev2-vpn-clients), [简体中文](ikev2-howto-zh.md#配置-ikev2-vpn-客户端).*
+1. Windows 自带的 VPN 客户端可能不支持 IKEv2 fragmentation(该功能需要 Windows 10 v1803 或更新版本)。在有些网络上,这可能会导致连接错误或其它连接问题。你可以尝试换用 IPsec/L2TP 或 IPsec/XAuth 模式。
+1. Ubuntu 18.04 用户在尝试将生成的 `.p12` 文件导入到 Windows 时可能会遇到错误 "输入的密码不正确"。这是由 `NSS` 中的一个问题导致的。更多信息请看 这里。
+1. 如果你使用 strongSwan Android VPN 客户端,则必须将服务器上的 Libreswan 升级到版本 3.26 或以上。
-**注:** 如果你在上面的第一步指定了服务器的域名(而不是 IP 地址),则必须在 **服务器地址** 和 **远程 ID** 字段中输入该域名。如果要为更多的客户端生成证书,只需重新运行[辅助脚本](#使用辅助脚本)。或者你可以看上一小节的第 4 步。
+## 移除 IKEv2
-* [Windows 7, 8.x 和 10](#windows-7-8x-和-10)
-* [OS X (macOS)](#os-x-macos)
-* [iOS (iPhone/iPad)](#ios)
-* [Android 10 和更新版本](#android-10-和更新版本)
-* [Android 4.x to 9.x](#android-4x-to-9x)
+如果你想要从 VPN 服务器移除 IKEv2,但是保留 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式,按照以下步骤操作。这些命令必须用 `root` 账户运行。请注意,这将删除所有的 IKEv2 配置,并且不可撤销!
-### Windows 7, 8.x 和 10
+1. 重命名(或者删除)IKEv2 配置文件:
-1. 将生成的 `.p12` 文件安全地传送到你的计算机,然后导入到 "计算机账户" 证书存储。在导入证书后,你必须确保将客户端证书放在 "个人 -> 证书" 目录中,并且将 CA 证书放在 "受信任的根证书颁发机构 -> 证书" 目录中。
+ ```bash
+ mv /etc/ipsec.d/ikev2.conf /etc/ipsec.d/ikev2.conf.bak
+ ```
- 详细的操作步骤:
- https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs
+1. **(重要)重启 IPsec 服务**:
-1. 在 Windows 计算机上添加一个新的 IKEv2 VPN 连接:
- https://wiki.strongswan.org/projects/strongswan/wiki/Win7Config
+ ```bash
+ service ipsec restart
+ ```
-1. (可选但推荐)为 IKEv2 启用更强的加密算法,通过修改一次注册表来实现。请下载并导入下面的 `.reg` 文件,或者打开 提升权限命令提示符 并运行以下命令。更多信息请看 这里。
-
- - 适用于 Windows 7, 8.x 和 10 ([下载 .reg 文件](https://static.ls20.com/reg-files/v1/Enable_Stronger_Ciphers_for_IKEv2_on_Windows.reg))
-
- ```console
- REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /t REG_DWORD /d 0x1 /f
- ```
-
-1. 启用新的 VPN 连接,并且开始使用 IKEv2 VPN!
- https://wiki.strongswan.org/projects/strongswan/wiki/Win7Connect
-
-### OS X (macOS)
-
-首先,将生成的 `.p12` 文件安全地传送到你的 Mac,然后双击以导入到 **钥匙串访问** 中的 **登录** 钥匙串。下一步,双击导入的 `IKEv2 VPN CA` 证书,展开 **信任** 并从 **IP 安全 (IPsec)** 下拉菜单中选择 **始终信任**。单击左上角的红色 "X" 关闭窗口。根据提示使用触控 ID,或者输入密码并单击 "更新设置"。在完成之后,检查并确保新的客户端证书和 `IKEv2 VPN CA` 都显示在 **登录** 钥匙串 的 **证书** 类别中。
-
-1. 打开系统偏好设置并转到网络部分。
-1. 在窗口左下角单击 **+** 按钮。
-1. 从 **接口** 下拉菜单选择 **VPN**。
-1. 从 **VPN 类型** 下拉菜单选择 **IKEv2**。
-1. 在 **服务名称** 字段中输入任意内容。
-1. 单击 **创建**。
-1. 在 **服务器地址** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
-1. 在 **远程 ID** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
-1. 在 **本地 ID** 字段中输入 `你的 VPN 客户端名称`。
- **注:** 该名称必须和你在 IKEv2 配置过程中指定的客户端名称一致。它与你的 `.p12` 文件名的第一部分相同。
-1. 单击 **认证设置** 按钮。
-1. 从 **认证设置** 下拉菜单中选择 **无**。
-1. 选择 **证书** 单选按钮,然后选择新的客户端证书。
-1. 单击 **好**。
-1. 选中 **在菜单栏中显示 VPN 状态** 复选框。
-1. 单击 **应用** 保存VPN连接信息。
-1. 单击 **连接**。
-
-### iOS
-
-首先,将生成的 `ikev2vpnca.cer` 和 `.p12` 文件安全地传送到你的 iOS 设备,并且逐个导入为 iOS 配置描述文件。要传送文件,你可以使用:
-
-1. AirDrop(隔空投送),或者
-1. 上传到设备,在 "文件" 应用程序中单击它们(必须首先移动到 "On My iPhone" 目录下),然后按照提示导入,或者
-1. 将文件放在一个你的安全的托管网站上,然后在 Mobile Safari 中下载并导入它们。
-
-在完成之后,检查并确保新的客户端证书和 `IKEv2 VPN CA` 都显示在设置 -> 通用 -> 描述文件中。
-
-1. 进入设置 -> 通用 -> VPN。
-1. 单击 **添加VPN配置...**。
-1. 单击 **类型** 。选择 **IKEv2** 并返回。
-1. 在 **描述** 字段中输入任意内容。
-1. 在 **服务器** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
-1. 在 **远程 ID** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
-1. 在 **本地 ID** 字段中输入 `你的 VPN 客户端名称`。
- **注:** 该名称必须和你在 IKEv2 配置过程中指定的客户端名称一致。它与你的 `.p12` 文件名的第一部分相同。
-1. 单击 **用户鉴定** 。选择 **无** 并返回。
-1. 启用 **使用证书** 选项。
-1. 单击 **证书** 。选择新的客户端证书并返回。
-1. 单击右上角的 **完成**。
-1. 启用 **VPN** 连接。
-
-连接成功后,你可以到 这里 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
-
-### Android 10 和更新版本
-
-1. 将生成的 `.p12` 文件安全地传送到你的 Android 设备。
-1. 从 **Google Play** 安装 strongSwan VPN 客户端。
-1. 启动 **设置** 应用程序。
-1. 进入 安全 -> 高级 -> 加密与凭据。
-1. 单击 **从存储设备(或 SD 卡)安装**。
-1. 选择你从服务器传送过来的 `.p12` 文件,并按提示操作。
- **注:** 要查找 `.p12` 文件,单击左上角的抽拉式菜单,然后单击你的设备名称。
-1. 启动 strongSwan VPN 客户端,然后单击 **Add VPN Profile**。
-1. 在 **Server** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
-1. 在 **VPN Type** 下拉菜单选择 **IKEv2 Certificate**。
-1. 单击 **Select user certificate**,选择新的客户端证书并确认。
-1. **(重要)** 单击 **Show advanced settings**。向下滚动,找到并启用 **Use RSA/PSS signatures** 选项。
-1. 保存新的 VPN 连接,然后单击它以开始连接。
-
-### Android 4.x to 9.x
-
-1. 将生成的 `.p12` 文件安全地传送到你的 Android 设备。
-1. 从 **Google Play** 安装 strongSwan VPN 客户端。
-1. 启动 strongSwan VPN 客户端,然后单击 **Add VPN Profile**。
-1. 在 **Server** 字段中输入 `你的 VPN 服务器 IP` (或者域名)。
-1. 在 **VPN Type** 下拉菜单选择 **IKEv2 Certificate**。
-1. 单击 **Select user certificate**,然后单击 **Install certificate**。
-1. 选择你从服务器传送过来的 `.p12` 文件,并按提示操作。
- **注:** 要查找 `.p12` 文件,单击左上角的抽拉式菜单,然后单击你的设备名称。
-1. **(重要)** 单击 **Show advanced settings**。向下滚动,找到并启用 **Use RSA/PSS signatures** 选项。
-1. 保存新的 VPN 连接,然后单击它以开始连接。
-
-## 添加一个客户端证书
-
-如果要为更多的客户端生成证书,只需重新运行 [辅助脚本](#使用辅助脚本)。或者你可以看 [这一小节](#手动在-vpn-服务器上配置-ikev2) 的第 4 步。
-
-## 吊销一个客户端证书
-
-在某些情况下,你可能需要吊销一个之前生成的 VPN 客户端证书。这可以通过 `crlutil` 实现。下面举例说明,这些命令必须用 `root` 账户运行。
-
-1. 检查证书数据库,并且找到想要吊销的客户端证书的昵称。
+1. 列出 IPsec 证书数据库中的证书:
```bash
certutil -L -d sql:/etc/ipsec.d
```
+ 示例输出:
+
```
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
IKEv2 VPN CA CTu,u,u
($PUBLIC_IP) u,u,u
- vpnclient-to-revoke u,u,u
+ vpnclient u,u,u
```
- 在这个例子中,我们将要吊销昵称为 `vpnclient-to-revoke` 的客户端证书。它是由 `IKEv2 VPN CA` 签发的。
-
-1. 找到该客户端证书的序列号。
+1. 删除证书。将下面的 "Nickname" 替换为每个证书的昵称。为每个证书重复此命令。
```bash
- certutil -L -d sql:/etc/ipsec.d -n "vpnclient-to-revoke"
+ certutil -D -d sql:/etc/ipsec.d -n "Nickname"
```
- ```
- Certificate:
- Data:
- Version: 3 (0x2)
- Serial Number:
- 00:cd:69:ff:74
- ... ...
- ```
-
- 根据上面的输出,我们知道该序列号为十六进制的 `CD69FF74`,也就是十进制的 `3446275956`。它将在以下步骤中使用。
-
-1. 创建一个新的证书吊销列表 (CRL)。该步骤对于每个 CA 只需运行一次。
-
- ```bash
- if ! crlutil -L -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" 2>/dev/null; then
- crlutil -G -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" -c /dev/null
- fi
- ```
-
- ```
- CRL Info:
- :
- Version: 2 (0x1)
- Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
- Issuer: "O=IKEv2 VPN,CN=IKEv2 VPN CA"
- This Update: Sat Jun 06 22:00:00 2020
- CRL Extensions:
- ```
-
-1. 将你想要吊销的客户端证书添加到 CRL。在这里我们指定该证书的(十进制)序列号,以及吊销时间(UTC时间,格式:GeneralizedTime (YYYYMMDDhhmmssZ))。
-
- ```bash
- crlutil -M -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" <这里。
-
-1. 最后,让 Libreswan 重新读取已更新的 CRL。
-
- ```bash
- ipsec crls
- ```
-
-## 已知问题
-
-1. Windows 自带的 VPN 客户端可能不支持 IKEv2 fragmentation(该功能需要 Windows 10 v1803 或更新版本)。在有些网络上,这可能会导致连接错误或其它连接问题。你可以尝试换用 IPsec/L2TP 或 IPsec/XAuth 模式。
-1. Ubuntu 18.04 用户在尝试将生成的 `.p12` 文件导入到 Windows 时可能会遇到错误 "输入的密码不正确"。这是由 `NSS` 中的一个问题导致的。更多信息请看 这里。
-1. 如果你使用 strongSwan Android VPN 客户端,则必须将服务器上的 Libreswan 升级到版本 3.26 或以上。
-
## 参考链接
* https://libreswan.org/wiki/VPN_server_for_remote_clients_using_IKEv2
diff --git a/docs/ikev2-howto.md b/docs/ikev2-howto.md
index 41f99a8..2b87e66 100644
--- a/docs/ikev2-howto.md
+++ b/docs/ikev2-howto.md
@@ -4,11 +4,13 @@
* [Introduction](#introduction)
* [Using helper scripts](#using-helper-scripts)
-* [Manually set up IKEv2 on the VPN server](#manually-set-up-ikev2-on-the-vpn-server)
* [Configure IKEv2 VPN clients](#configure-ikev2-vpn-clients)
* [Add a client certificate](#add-a-client-certificate)
+* [Export a client certificate](#export-a-client-certificate)
* [Revoke a client certificate](#revoke-a-client-certificate)
+* [Manually set up IKEv2 on the VPN server](#manually-set-up-ikev2-on-the-vpn-server)
* [Known issues](#known-issues)
+* [Remove IKEv2](#remove-ikev2)
* [References](#references)
## Introduction
@@ -36,9 +38,215 @@ wget https://bit.ly/ikev2setup -O ikev2.sh && sudo bash ikev2.sh
The script must be run using `bash`, not `sh`. Follow the prompts to set up IKEv2. When finished, continue to [configure IKEv2 VPN clients](#configure-ikev2-vpn-clients) and check [known issues](#known-issues). If you want to generate certificates for additional VPN clients, just run the script again.
+## Configure IKEv2 VPN clients
+
+*Read this in other languages: [English](ikev2-howto.md#configure-ikev2-vpn-clients), [简体中文](ikev2-howto-zh.md#配置-ikev2-vpn-客户端).*
+
+**Note:** If you specified the server's DNS name (instead of its IP address) during IKEv2 setup, you must enter the DNS name in the **Server** and **Remote ID** fields. If you want to generate certificates for additional VPN clients, just run the [helper script](#using-helper-scripts) again. Or you may refer to step 4 in [this section](#manually-set-up-ikev2-on-the-vpn-server).
+
+* [Windows 7, 8.x and 10](#windows-7-8x-and-10)
+* [OS X (macOS)](#os-x-macos)
+* [iOS (iPhone/iPad)](#ios)
+* [Android 10 and newer](#android-10-and-newer)
+* [Android 4.x to 9.x](#android-4x-to-9x)
+
+### Windows 7, 8.x and 10
+
+1. Securely transfer the generated `.p12` file to your computer, then import it into the "Computer account" certificate store. Make sure that the client cert is placed in "Personal -> Certificates", and the CA cert is placed in "Trusted Root Certification Authorities -> Certificates".
+
+ Detailed instructions:
+ https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs
+
+1. On the Windows computer, add a new IKEv2 VPN connection:
+ https://wiki.strongswan.org/projects/strongswan/wiki/Win7Config
+
+1. (Optional but recommended) Enable stronger ciphers for IKEv2 with a one-time registry change. Download and import the `.reg` file below, or run the following from an elevated command prompt. Read more here.
+
+ - For Windows 7, 8.x and 10 ([download .reg file](https://dl.ls20.com/reg-files/v1/Enable_Stronger_Ciphers_for_IKEv2_on_Windows.reg))
+
+ ```console
+ REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /t REG_DWORD /d 0x1 /f
+ ```
+
+1. Start the new VPN connection, and enjoy your IKEv2 VPN!
+ https://wiki.strongswan.org/projects/strongswan/wiki/Win7Connect
+
+### OS X (macOS)
+
+First, securely transfer the generated `.p12` file to your Mac, then double-click to import into the **login** keychain in **Keychain Access**. Next, double-click on the imported `IKEv2 VPN CA` certificate, expand **Trust** and select **Always Trust** from the **IP Security (IPsec)** drop-down menu. Close the dialog using the red "X" on the top-left corner. When prompted, use Touch ID or enter your password and click "Update Settings".
+
+When finished, check to make sure both the new client certificate and `IKEv2 VPN CA` are listed under the **Certificates** category of **login** keychain.
+
+1. Open System Preferences and go to the Network section.
+1. Click the **+** button in the lower-left corner of the window.
+1. Select **VPN** from the **Interface** drop-down menu.
+1. Select **IKEv2** from the **VPN Type** drop-down menu.
+1. Enter anything you like for the **Service Name**.
+1. Click **Create**.
+1. Enter `Your VPN Server IP` (or DNS name) for the **Server Address**.
+1. Enter `Your VPN Server IP` (or DNS name) for the **Remote ID**.
+1. Enter `Your VPN client name` in the **Local ID** field.
+ **Note:** This must match exactly the client name you specified during IKEv2 setup. Same as the first part of your `.p12` filename.
+1. Click the **Authentication Settings...** button.
+1. Select **None** from the **Authentication Settings** drop-down menu.
+1. Select the **Certificate** radio button, then select the new client certificate.
+1. Click **OK**.
+1. Check the **Show VPN status in menu bar** checkbox.
+1. Click **Apply** to save the VPN connection information.
+1. Click **Connect**.
+
+### iOS
+
+First, securely transfer the generated `ikev2vpnca.cer` and `.p12` files to your iOS device, then import them one by one as iOS profiles. To transfer the files, you may use:
+
+1. AirDrop, or
+1. Upload to your device, tap them in the "Files" app (must first move to the "On My iPhone" folder), then follow the prompts to import, or
+1. Host the files on a secure website of yours, then download and import them in Mobile Safari.
+
+When finished, check to make sure both the new client certificate and `IKEv2 VPN CA` are listed under Settings -> General -> Profiles.
+
+1. Go to Settings -> General -> VPN.
+1. Tap **Add VPN Configuration...**.
+1. Tap **Type**. Select **IKEv2** and go back.
+1. Tap **Description** and enter anything you like.
+1. Tap **Server** and enter `Your VPN Server IP` (or DNS name).
+1. Tap **Remote ID** and enter `Your VPN Server IP` (or DNS name).
+1. Enter `Your VPN client name` in the **Local ID** field.
+ **Note:** This must match exactly the client name you specified during IKEv2 setup. Same as the first part of your `.p12` filename.
+1. Tap **User Authentication**. Select **None** and go back.
+1. Make sure the **Use Certificate** switch is ON.
+1. Tap **Certificate**. Select the new client certificate and go back.
+1. Tap **Done**.
+1. Slide the **VPN** switch ON.
+
+### Android 10 and newer
+
+1. Securely transfer the generated `.p12` file to your Android device.
+1. Install strongSwan VPN Client from **Google Play**.
+1. Launch the **Settings** application.
+1. Go to Security -> Advanced -> Encryption & credentials.
+1. Tap **Install from storage (or SD card)**.
+1. Choose the `.p12` file you transferred from the VPN server, and follow the prompts.
+ **Note:** To find the `.p12` file, click on the three-line menu button, then click on your device name.
+1. Launch the strongSwan VPN client and tap **Add VPN Profile**.
+1. Enter `Your VPN Server IP` (or DNS name) in the **Server** field.
+1. Select **IKEv2 Certificate** from the **VPN Type** drop-down menu.
+1. Tap **Select user certificate**, select the new client certificate and confirm.
+1. **(Important)** Tap **Show advanced settings**. Scroll down, find and enable the **Use RSA/PSS signatures** option.
+1. Save the new VPN connection, then tap to connect.
+
+### Android 4.x to 9.x
+
+1. Securely transfer the generated `.p12` file to your Android device.
+1. Install strongSwan VPN Client from **Google Play**.
+1. Launch the strongSwan VPN client and tap **Add VPN Profile**.
+1. Enter `Your VPN Server IP` (or DNS name) in the **Server** field.
+1. Select **IKEv2 Certificate** from the **VPN Type** drop-down menu.
+1. Tap **Select user certificate**, then tap **Install certificate**.
+1. Choose the `.p12` file you transferred from the VPN server, and follow the prompts.
+ **Note:** To find the `.p12` file, click on the three-line menu button, then click on your device name.
+1. **(Important)** Tap **Show advanced settings**. Scroll down, find and enable the **Use RSA/PSS signatures** option.
+1. Save the new VPN connection, then tap to connect.
+
+Once successfully connected, you can verify that your traffic is being routed properly by looking up your IP address on Google. It should say "Your public IP address is `Your VPN Server IP`".
+
+## Add a client certificate
+
+If you want to generate certificates for additional VPN clients, just run the [helper script](#using-helper-scripts) again. Or you may refer to step 4 in [this section](#manually-set-up-ikev2-on-the-vpn-server).
+
+## Export a client certificate
+
+By default, the IKEv2 [helper script](#using-helper-scripts) exports client certificates after running. If you want to manually export a client certificate, first check the database with `certutil -L -d sql:/etc/ipsec.d`, then refer to "export `.p12` file" in step 4 of [this section](#manually-set-up-ikev2-on-the-vpn-server).
+
+## Revoke a client certificate
+
+In certain circumstances, you may need to revoke a previously generated VPN client certificate. This can be done using `crlutil`. See example steps below, commands must be run as `root`.
+
+1. Check the database, and identify the nickname of the client certificate you want to revoke.
+
+ ```bash
+ certutil -L -d sql:/etc/ipsec.d
+ ```
+
+ ```
+ Certificate Nickname Trust Attributes
+ SSL,S/MIME,JAR/XPI
+
+ IKEv2 VPN CA CTu,u,u
+ ($PUBLIC_IP) u,u,u
+ vpnclient-to-revoke u,u,u
+ ```
+
+ In this example, we will revoke the certificate with nickname `vpnclient-to-revoke`, issued by `IKEv2 VPN CA`.
+
+1. Find the serial number of this client certificate.
+
+ ```bash
+ certutil -L -d sql:/etc/ipsec.d -n "vpnclient-to-revoke"
+ ```
+
+ ```
+ Certificate:
+ Data:
+ Version: 3 (0x2)
+ Serial Number:
+ 00:cd:69:ff:74
+ ... ...
+ ```
+
+ From the output, we see that the serial number is `CD69FF74` in hexadecimal, which is `3446275956` in decimal. It will be used in the next steps.
+
+1. Create a new Certificate Revocation List (CRL). You only need to do this once for each CA.
+
+ ```bash
+ if ! crlutil -L -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" 2>/dev/null; then
+ crlutil -G -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" -c /dev/null
+ fi
+ ```
+
+ ```
+ CRL Info:
+ :
+ Version: 2 (0x1)
+ Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
+ Issuer: "O=IKEv2 VPN,CN=IKEv2 VPN CA"
+ This Update: Sat Jun 06 22:00:00 2020
+ CRL Extensions:
+ ```
+
+1. Add the client certificate you want to revoke to the CRL. Here we specify the certificate's serial number in decimal, and the revocation time in GeneralizedTime format (YYYYMMDDhhmmssZ) in UTC.
+
+ ```bash
+ crlutil -M -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" <here.
+
+1. Finally, let Libreswan re-read the updated CRL.
+
+ ```bash
+ ipsec crls
+ ```
+
## Manually set up IKEv2 on the VPN server
-The following example shows how to manually configure IKEv2 with Libreswan. Commands below must be run as `root`.
+As an alternative to using the [helper script](#using-helper-scripts), advanced users can manually set up IKEv2. The following example shows how to manually configure IKEv2 with Libreswan. Commands below must be run as `root`.
1. Find the VPN server's public IP, save it to a variable and check.
@@ -106,7 +314,7 @@ The following example shows how to manually configure IKEv2 with Libreswan. Comm
EOF
```
- **Note:** If your server (or Docker host) runs Debian, CentOS/RHEL or Amazon Linux 2, and you wish to enable MOBIKE support, replace `mobike=no` with `mobike=yes` in the command above. **DO NOT** enable this option on Ubuntu systems or Raspberry Pis.
+ **Note:** The MOBIKE IKEv2 extension allows VPN clients to change network attachment points, e.g. switch between mobile data and Wi-Fi and keep the IPsec tunnel up on the new IP. If your server (or Docker host) is **NOT** running Ubuntu Linux, and you wish to enable MOBIKE support, replace `mobike=no` with `mobike=yes` in the command above. **DO NOT** enable this option on Ubuntu systems or Raspberry Pis.
For Libreswan 3.19-3.22:
@@ -234,214 +442,53 @@ The following example shows how to manually configure IKEv2 with Libreswan. Comm
service ipsec restart
```
-Before continuing, you **must** restart the IPsec service. The IKEv2 setup on the VPN server is now complete. Follow instructions below to configure your VPN clients.
+Before continuing, you **must** restart the IPsec service. The IKEv2 setup on the VPN server is now complete. Follow instructions to [configure VPN clients](#configure-ikev2-vpn-clients).
-## Configure IKEv2 VPN clients
+## Known issues
-*Read this in other languages: [English](ikev2-howto.md#configure-ikev2-vpn-clients), [简体中文](ikev2-howto-zh.md#配置-ikev2-vpn-客户端).*
+1. The built-in VPN client in Windows may not support IKEv2 fragmentation (this feature requires Windows 10 v1803 or newer). On some networks, this can cause the connection to fail or have other issues. You may instead try the IPsec/L2TP or IPsec/XAuth mode.
+1. Ubuntu 18.04 users may encounter the error "The password you entered is incorrect" when trying to import the generated `.p12` file into Windows. This is due to a bug in `NSS`. Read more here.
+1. If using the strongSwan Android VPN client, you must upgrade Libreswan on your server to version 3.26 or above.
-**Note:** If you specified the server's DNS name (instead of its IP address) in step 1 above, you must enter the DNS name in the **Server** and **Remote ID** fields. If you want to generate certificates for additional VPN clients, just run the [helper script](#using-helper-scripts) again. Or you may refer to step 4 in the previous section.
+## Remove IKEv2
-* [Windows 7, 8.x and 10](#windows-7-8x-and-10)
-* [OS X (macOS)](#os-x-macos)
-* [iOS (iPhone/iPad)](#ios)
-* [Android 10 and newer](#android-10-and-newer)
-* [Android 4.x to 9.x](#android-4x-to-9x)
+If you want to remove IKEv2 from the VPN server, but keep the IPsec/L2TP and IPsec/XAuth ("Cisco IPsec") modes, follow these steps. Commands must be run as `root`. Note that this will delete all IKEv2 configuration and cannot be undone!
-### Windows 7, 8.x and 10
+1. Rename (or delete) the IKEv2 config file:
-1. Securely transfer the generated `.p12` file to your computer, then import it into the "Computer account" certificate store. Make sure that the client cert is placed in "Personal -> Certificates", and the CA cert is placed in "Trusted Root Certification Authorities -> Certificates".
+ ```bash
+ mv /etc/ipsec.d/ikev2.conf /etc/ipsec.d/ikev2.conf.bak
+ ```
- Detailed instructions:
- https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs
+1. **(Important) Restart the IPsec service**:
-1. On the Windows computer, add a new IKEv2 VPN connection:
- https://wiki.strongswan.org/projects/strongswan/wiki/Win7Config
+ ```bash
+ service ipsec restart
+ ```
-1. (Optional but recommended) Enable stronger ciphers for IKEv2 with a one-time registry change. Download and import the `.reg` file below, or run the following from an elevated command prompt. Read more here.
-
- - For Windows 7, 8.x and 10 ([download .reg file](https://static.ls20.com/reg-files/v1/Enable_Stronger_Ciphers_for_IKEv2_on_Windows.reg))
-
- ```console
- REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /t REG_DWORD /d 0x1 /f
- ```
-
-1. Start the new VPN connection, and enjoy your IKEv2 VPN!
- https://wiki.strongswan.org/projects/strongswan/wiki/Win7Connect
-
-### OS X (macOS)
-
-First, securely transfer the generated `.p12` file to your Mac, then double-click to import into the **login** keychain in **Keychain Access**. Next, double-click on the imported `IKEv2 VPN CA` certificate, expand **Trust** and select **Always Trust** from the **IP Security (IPsec)** drop-down menu. Close the dialog using the red "X" on the top-left corner. When prompted, use Touch ID or enter your password and click "Update Settings". When finished, check to make sure both the new client certificate and `IKEv2 VPN CA` are listed under the **Certificates** category of **login** keychain.
-
-1. Open System Preferences and go to the Network section.
-1. Click the **+** button in the lower-left corner of the window.
-1. Select **VPN** from the **Interface** drop-down menu.
-1. Select **IKEv2** from the **VPN Type** drop-down menu.
-1. Enter anything you like for the **Service Name**.
-1. Click **Create**.
-1. Enter `Your VPN Server IP` (or DNS name) for the **Server Address**.
-1. Enter `Your VPN Server IP` (or DNS name) for the **Remote ID**.
-1. Enter `Your VPN client name` in the **Local ID** field.
- **Note:** This must match exactly the client name you specified during IKEv2 setup. Same as the first part of your `.p12` filename.
-1. Click the **Authentication Settings...** button.
-1. Select **None** from the **Authentication Settings** drop-down menu.
-1. Select the **Certificate** radio button, then select the new client certificate.
-1. Click **OK**.
-1. Check the **Show VPN status in menu bar** checkbox.
-1. Click **Apply** to save the VPN connection information.
-1. Click **Connect**.
-
-### iOS
-
-First, securely transfer the generated `ikev2vpnca.cer` and `.p12` files to your iOS device, then import them one by one as iOS profiles. To transfer the files, you may use:
-
-1. AirDrop, or
-1. Upload to your device, tap them in the "Files" app (must first move to the "On My iPhone" folder), then follow the prompts to import, or
-1. Host the files on a secure website of yours, then download and import them in Mobile Safari.
-
-When finished, check to make sure both the new client certificate and `IKEv2 VPN CA` are listed under Settings -> General -> Profiles.
-
-1. Go to Settings -> General -> VPN.
-1. Tap **Add VPN Configuration...**.
-1. Tap **Type**. Select **IKEv2** and go back.
-1. Tap **Description** and enter anything you like.
-1. Tap **Server** and enter `Your VPN Server IP` (or DNS name).
-1. Tap **Remote ID** and enter `Your VPN Server IP` (or DNS name).
-1. Enter `Your VPN client name` in the **Local ID** field.
- **Note:** This must match exactly the client name you specified during IKEv2 setup. Same as the first part of your `.p12` filename.
-1. Tap **User Authentication**. Select **None** and go back.
-1. Make sure the **Use Certificate** switch is ON.
-1. Tap **Certificate**. Select the new client certificate and go back.
-1. Tap **Done**.
-1. Slide the **VPN** switch ON.
-
-### Android 10 and newer
-
-1. Securely transfer the generated `.p12` file to your Android device.
-1. Install strongSwan VPN Client from **Google Play**.
-1. Launch the **Settings** application.
-1. Go to Security -> Advanced -> Encryption & credentials.
-1. Tap **Install from storage (or SD card)**.
-1. Choose the `.p12` file you transferred from the VPN server, and follow the prompts.
- **Note:** To find the `.p12` file, click on the three-line menu button, then click on your device name.
-1. Launch the strongSwan VPN client and tap **Add VPN Profile**.
-1. Enter `Your VPN Server IP` (or DNS name) in the **Server** field.
-1. Select **IKEv2 Certificate** from the **VPN Type** drop-down menu.
-1. Tap **Select user certificate**, select the new client certificate and confirm.
-1. **(Important)** Tap **Show advanced settings**. Scroll down, find and enable the **Use RSA/PSS signatures** option.
-1. Save the new VPN connection, then tap to connect.
-
-### Android 4.x to 9.x
-
-1. Securely transfer the generated `.p12` file to your Android device.
-1. Install strongSwan VPN Client from **Google Play**.
-1. Launch the strongSwan VPN client and tap **Add VPN Profile**.
-1. Enter `Your VPN Server IP` (or DNS name) in the **Server** field.
-1. Select **IKEv2 Certificate** from the **VPN Type** drop-down menu.
-1. Tap **Select user certificate**, then tap **Install certificate**.
-1. Choose the `.p12` file you transferred from the VPN server, and follow the prompts.
- **Note:** To find the `.p12` file, click on the three-line menu button, then click on your device name.
-1. **(Important)** Tap **Show advanced settings**. Scroll down, find and enable the **Use RSA/PSS signatures** option.
-1. Save the new VPN connection, then tap to connect.
-
-Once successfully connected, you can verify that your traffic is being routed properly by looking up your IP address on Google. It should say "Your public IP address is `Your VPN Server IP`".
-
-## Add a client certificate
-
-If you want to generate certificates for additional VPN clients, just run the [helper script](#using-helper-scripts) again. Or you may refer to step 4 in [this section](#manually-set-up-ikev2-on-the-vpn-server).
-
-## Revoke a client certificate
-
-In certain circumstances, you may need to revoke a previously generated VPN client certificate. This can be done using `crlutil`. See example steps below, commands must be run as `root`.
-
-1. Check the database, and identify the nickname of the client certificate you want to revoke.
+1. List certificates in the IPsec database:
```bash
certutil -L -d sql:/etc/ipsec.d
```
+ Example output:
+
```
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
IKEv2 VPN CA CTu,u,u
($PUBLIC_IP) u,u,u
- vpnclient-to-revoke u,u,u
+ vpnclient u,u,u
```
- In this example, we will revoke the certificate with nickname `vpnclient-to-revoke`, issued by `IKEv2 VPN CA`.
-
-1. Find the serial number of this client certificate.
+1. Delete certificates. Replace "Nickname" below with each certificate's nickname. Repeat for each certificate.
```bash
- certutil -L -d sql:/etc/ipsec.d -n "vpnclient-to-revoke"
+ certutil -D -d sql:/etc/ipsec.d -n "Nickname"
```
- ```
- Certificate:
- Data:
- Version: 3 (0x2)
- Serial Number:
- 00:cd:69:ff:74
- ... ...
- ```
-
- From the output, we see that the serial number is `CD69FF74` in hexadecimal, which is `3446275956` in decimal. It will be used in the next steps.
-
-1. Create a new Certificate Revocation List (CRL). You only need to do this once for each CA.
-
- ```bash
- if ! crlutil -L -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" 2>/dev/null; then
- crlutil -G -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" -c /dev/null
- fi
- ```
-
- ```
- CRL Info:
- :
- Version: 2 (0x1)
- Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
- Issuer: "O=IKEv2 VPN,CN=IKEv2 VPN CA"
- This Update: Sat Jun 06 22:00:00 2020
- CRL Extensions:
- ```
-
-1. Add the client certificate you want to revoke to the CRL. Here we specify the certificate's serial number in decimal, and the revocation time in GeneralizedTime format (YYYYMMDDhhmmssZ) in UTC.
-
- ```bash
- crlutil -M -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" <here.
-
-1. Finally, let Libreswan re-read the updated CRL.
-
- ```bash
- ipsec crls
- ```
-
-## Known issues
-
-1. The built-in VPN client in Windows may not support IKEv2 fragmentation (this feature requires Windows 10 v1803 or newer). On some networks, this can cause the connection to fail or have other issues. You may instead try the IPsec/L2TP or IPsec/XAuth mode.
-1. Ubuntu 18.04 users may encounter the error "The password you entered is incorrect" when trying to import the generated `.p12` file into Windows. This is due to a bug in `NSS`. Read more here.
-1. If using the strongSwan Android VPN client, you must upgrade Libreswan on your server to version 3.26 or above.
-
## References
* https://libreswan.org/wiki/VPN_server_for_remote_clients_using_IKEv2