Linuxmint(ubuntu)でIKEv2方式のVPNに接続する

目次

• VPNサーバーの準備
• IKEv2利用の準備
• IKEv2の設定をする（ここが罠）
• あとがき

---

Linux mintいいですよね？その辺で2~3万で買えるSkyLakeのCore i5の端末が２〜３万円で転がっているのでそれに載せて遊んでいます。
しかし、外出中にメインPCにアクセスしたくなったので、VPNを構築してRemminaでRDP環境を構築していきたいと思います。(Remminaの使い方はそのへんにあるのでググってください)
IKEv2接続するに辺り、持病のADHDが発症して躓いたため、覚書を記しておきます。

VPNサーバーの準備

1. はじめに
   私はルーターにVPSサーバー機能があったのでそちらを使いました。
   (ASUS RT-AX3000)

2. プロトコル
   サーバーのプロトコルですが、基本的にはOpenVPNかIKEv2あたりにしましょう。今回はIKEv2にしています。
   接続する端末の相性(AndroidはIKEv2あまりうまくいかない)や主義思想の兼ね合いによって好きなのにするといいです。
   VPNサービスを利用しようとしてるけどIKEv2で構築してしまったので、そっちはまた後日

また、ルーターが二重ルーターなっていないかなど確認しておいてください。
ASUSでの例ですが、このような感じにVPNを設定してください。
(IPSec VPN/IKEv2の設定)
OpenVPN

1. メモ
   ドメイン名(サーバーIPアドレス)や事前共有鍵（PSKの場合）、ユーザ名、パスワードは覚えておいてください。
   このとき証明書も取得しておいてください。(.pemの拡張子)

IKEv2利用の準備

strongswan導入

strongswanと同ネットワークマネージャー拡張をインストール

sudo apt install strongswan network-manager-strongswan

Debianではパッケージが用意されています。network-manager-strongswan
参考：https://scienceboy.jp/88io/2020/10/ikev2-vpn/

ここまでできたら、右下のネットワークマネージャー（インターネット設定）よりIKEv2の設定ができるようになります。
・・・が、認証方式がPre-shared keyの場合気をつけることがあります。
(ここから本編)

IKEv2の設定をする（ここが罠）

Pre-shared Key以外

ダイアログの通りにやればできる、知らんけど
addres: サーバIP
Certificate： 取得した(生成した)証明書(.pem)
username:
passsword:

Pre-shared Keyの場合

**事前共有鍵やpasswordの桁数が少ないとダイアログでは設定できないようです。**←ポップアップメニューに書いてあってすごい当たり前だった
![[PSK_cant_pushing.png]]
password: PSKには20桁は必要です。とのこと

• じゃあどうするか？
  手入力でやりましょう。
  とはいったものの、筆者は何度か躓いてここまできたので、EAPで一旦事前共有鍵以外の情報を入力し、/etc/ipsec.secretsに事前共有鍵を追記しています。

/etc/ipsec.confの中身
leftid=PUBLIC_IPはサーバIPアドレス，ドメインの場合は@example.comのように先頭に@をつけるのを忘れないこと。

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=PUBLIC_IP
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=192.168.1.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    eap_identity=%identity
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

/etc/ipsec.secretsへ追記
PRE-SHARED_KEYに事前共有鍵を入力

# This file holds shared secrets or RSA private keys for authentication.

# RSA private key for this host, authenticating it to any other host
# which knows the public part.

~~~

%any : PSK "PRE−SHARED_KEY"

~~~

参考

• https://yryr.me/linux/ubuntu-20-04-1-lts/strongswan-ipsec-ikev2-vpn-server.html
• https://wiki.strongswan.org/issues/2620

あとがき

設定してから日が経ってしまったので、あまり何をどうしたかは覚えていない。
というか、PSKから設定流用してIKEv2として接続できるのか理解できておらず、もやもやしている。
逆に新しくユーザ追加してパスワード要件満たしたにも関わらず、接続できないのもわからん、とりあえず今日はここまで
この記事を読まれて、バッカモーンって怒鳴り付けてこられるかたいらっしゃるならご教示ください。
至らぬところは前向きに直します。
とりあえず、致命的な問題でなければ作業を進めたいのでこのままにします。
対戦よろしくおねがいします。