openiked
Daemon de Intercambio de Claves por Internet [Internet Key Exchange - IKEv2] que realiza autenticación mutua y establece y mantiene políticas de seguridad VPN IPsec y asociaciones entre pares.
Configuración de servidor VPN con PSK:
# nano /etc/iked.conf
ikev2 "mi_vpn" passive esp \
from 0.0.0.0/0 to 192.168.100.0/24 \
local 203.0.113.10 \
peer any \
config pool 192.168.100.10-192.168.100.20 \
psk "clave_secreta_compartida"
passive --> espera conexiones entrantes.
esp --> usa encapsulación de seguridad [IPsec ESP].
from 0.0.0.0/0 --> permite a cualquier cliente.
to 192.168.100.0/24 --> red destino tras el túnel.
local 203.0.113.10 --> IP pública del servidor.
peer any --> acepta cualquier par.
config pool --> rango de IPs para clientes.
psk --> clave precompartida.
Autenticación con certificados:
# nano /etc/iked.conf
ca "mi_ca" {
subject "CN=Mi Autoridad Certificadora"
cert "/etc/ssl/certs/ca.crt"
}
ikev2 "vpn_cert" passive esp \
from 0.0.0.0/0 to 10.10.10.0/24 \
local 198.51.100.5 \
peer any \
config pool 10.10.10.100-10.10.10.200 \
ca "mi_ca" \
cert "/etc/ssl/certs/servidor.crt" \
key "/etc/ssl/private/servidor.key"
# systemctl enable openiked
# systemctl reload openiked
# journalctl -u openiked -f
Nota.- Asegurar que el firewall permita UDP/500 y UDP/4500, puertos IKE e IPsec NAT-T.