IPsec:EAP-MSCHAPv2: macOS sierraのセットアップ

GW側の設定はWindows用ののconnに設定を付け加えるだけで両方で使えるようになります。証明書のp12ファイルは、Apple Configurator 2のCertificatesでインストールします。

調整してみた結果、次の設定が安定しています。

IKESecurityAssociationParameters

  • EncryptionAlgorithm –> 3DES
  • IntegrityAlgorithm –> SHA1-96
  • DiffieHellmanGroup –> 14

ChildSecurityAssociationParameters

  • EncryptionAlgorithm –> AES-256
  • IntegrityAlgorithm –> SHA1-96
  • DiffieHellmanGroup –> 14
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>PayloadContent</key>
 <array>
 <dict>
 <key>IKEv2</key>
 <dict>
 <key>AuthenticationMethod</key>
 <string>Certificate</string>
 <key>CertificateType</key>
 <string>RSA</string>
 <key>ChildSecurityAssociationParameters</key>
 <dict>
 <key>DiffieHellmanGroup</key>
 <integer>14</integer>
 <key>EncryptionAlgorithm</key>
 <string>AES-256</string>
 <key>IntegrityAlgorithm</key>
 <string>SHA1-96</string>
 <key>LifeTimeInMinutes</key>
 <integer>1440</integer>
 </dict>
 <key>DeadPeerDetectionRate</key>
 <string>Medium</string>
 <key>DisableMOBIKE</key>
 <integer>0</integer>
 <key>DisableRedirect</key>
 <integer>0</integer>
 <key>EnableCertificateRevocationCheck</key>
 <integer>0</integer>
 <key>EnablePFS</key>
 <integer>0</integer>
 <key>ExtendedAuthEnabled</key>
 <true/>
 <key>IKESecurityAssociationParameters</key>
 <dict>
 <key>DiffieHellmanGroup</key>
 <integer>14</integer>
 <key>EncryptionAlgorithm</key>
 <string>AES-128</string>
 <key>IntegrityAlgorithm</key>
 <string>SHA1-96</string>
 <key>LifeTimeInMinutes</key>
 <integer>1440</integer>
 </dict>
 <key>LocalIdentifier</key>
 <string>myname@local.net</string>
 <key>PayloadCertificateUUID</key>
 <string>0CC288E5-712A-425F-9A41-8B21794D4981</string>
 <key>RemoteAddress</key>
 <string>vps.net.jp</string>
 <key>RemoteIdentifier</key>
 <string>vps.net.jp</string>
 <key>ServerCertificateCommonName</key>
 <string>vps.net.jp</string>
 <key>ServerCertificateIssuerCommonName</key>
 <string>Root CA</string>
 <key>UseConfigurationAttributeInternalIPSubnet</key>
 <integer>0</integer>
 </dict>
 <key>IPv4</key>
 <dict>
 <key>OverridePrimary</key>
 <integer>0</integer>
 </dict>
 <key>PayloadDescription</key>
 <string>Configures VPN settings</string>
 <key>PayloadDisplayName</key>
 <string>VPN</string>
 <key>PayloadIdentifier</key>
 <string>com.apple.vpn.managed.7D1BAE6B-BB09-4D75-A491-0CB79AB8CDBC</string>
 <key>PayloadType</key>
 <string>com.apple.vpn.managed</string>
 <key>PayloadUUID</key>
 <string>7D1BAE6B-BB09-4D75-A491-0CB79AB8CDBC</string>
 <key>PayloadVersion</key>
 <integer>1</integer>
 <key>Proxies</key>
 <dict>
 <key>HTTPEnable</key>
 <integer>0</integer>
 <key>HTTPSEnable</key>
 <integer>0</integer>
 </dict>
 <key>UserDefinedName</key>
 <string>vps</string>
 <key>VPNType</key>
 <string>IKEv2</string>
 </dict>
 </array>
 <key>PayloadDisplayName</key>
 <string>ikv2.ganesha</string>
 <key>PayloadIdentifier</key>
 <string>MacBook-Pro.AE02AE03-C4D1-45E9-A757-2A5960EC718B</string>
 <key>PayloadRemovalDisallowed</key>
 <false/>
 <key>PayloadType</key>
 <string>Configuration</string>
 <key>PayloadUUID</key>
 <string>E2FBB090-B158-435D-B190-C8A392A24C08</string>
 <key>PayloadVersion</key>
 <integer>1</integer>
</dict>
</plist>

 

保存した設定ファイルをクリックするとprofilesに登録できるのでそのまま設定のNetworkパネルで使うことができます。

Authentication Settings…をクリックしユーザー名とパスワードを入れてConnectボタンを押します。

サーバーのGW側の設定例です。

ipsec.conf:

config setup 
 plutostart=no

conn %default 
 ikelifetime=60m 
 keylife=20m 
 rekeymargin=3m 
 keyingtries=1 
 keyexchange=ikev2

conn common 
 # left=%any 
 left=xxxxxxxx.vps.xxxxx.jp 
 leftcert=vpnServerCert.pem 
 leftsourceip=%config 
 leftid=xxxxxxxx.vps.xxxxx.jp 
 leftauth=pubkey 
 leftfirewall=yes

conn vpn-client-windows-macos 
 leftsubnet=0.0.0.0/0 
 leftsendcert=always 
 right=%any 
 rightsourceip=192.168.200.0/24 
 rightauth=eap-mschapv2 
 ike=aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
 esp=aes256-sha256,aes256-sha1,3des-sha1! 
 dpdaction=clear 
 dpddelay=300s 
 rekey=no 
 reauth=no 
 fragmentation=yes 
 eap_indentity=%any 
 #leftdns=xx.xx.xx.254 
 rightdns=8.8.8.8 
 also=common 
 auto=add