Konfiguracja klienta – Android
Poradnik został wykonany na urządzeniu Huawei P30 Pro z systemem Android 10.0.0.186.
Aplikacja
System Android nie posiada natywnego klienta protokołu IKEv2 dlatego też musimy najpierw zainstalować aplikację kliencką. W tym przypadku będzie to strongSwan link do sklepu Google Play jest TUTAJ.
Instalacja certyfikatów
Obydwa pliki wygenerowanie w RouterOS musimy pobrać fizycznie na telefon. Używając menedżera plików najpierw uruchamiamy plik .p12. Po jego uruchomieniu będziemy proszeni o wpisanie hasła które użyliśmy przy jego eksporcie w RouterOS.
Następnie będziemy mogli zmienić jego nazwę oraz wybrać jaką funkcję będzie on pełnił. Wybieramy „VPN i aplikacje”.
Następnie otwieramy plik .crt z certyfikatem CA i importujemy go przez aplikację StronSwan (Import certificate).
Dodawanie połączenia VPN
W celu dodania połączenia wchodzimy do aplikacji StrongSwan i na górnej belce naciskamy „Dodaj profil VPN”.
W formularzu uzupełniamy:
- Serwer – nazwa domenowa serwera
- Typ VPN – IKEv2 certyfikat
- Certyfikat użytkownika – po naciśnięciu pojawia nam się lista dostępnych certyfikatów na której wybieramy nasz certyfikat użytkownika.
- Certyfikat CA – odznaczamy „Wybierz automatycznie” i wybieramy zaimportowany certyfikat CA. Będzie on w zakładce IMPORTED.
Uwagi i napotkane problemy
Obsługa wstrzykiwanych tras routingu
Tutaj sprawa nieco się komplikuje ponieważ ten klient akceptuje tylko pierwszą wysłaną trasę. Jeśli wyślemy mu kilka parametrów split-include przez tunel będzie realizowany tylko ruch do pierwszego od góry wpisu. Jeśli natomiast chcemy wysyłać cały ruch przed tunel po prostu nie wysyłamy żadnych parametrów split-include.