<div dir="ltr"><div>hi everyone</div><div><br></div><div>i tried to setup a strongswan client on my ubuntu 16.04 laptop,</div><div>i have searched google but i didn't find a clear answer, so i need your help</div><div>i have followed this tutorial :</div><div><br></div><div><a href="https://wiki.openwrt.org/doc/howto/vpn.ipsec.roadwarrior">https://wiki.openwrt.org/doc/howto/vpn.ipsec.roadwarrior</a><br></div><div><br></div><div>and installed a strongswan vpn server on openwrt router (DD r49975)</div><div>android strongswan client also connected successfully, works fine</div><div>but i want to setup vpn client for my ubuntu 16.04 laptop</div><div>how to achieve this goal ? what's the files should i copy to ubuntu laptop?</div><div>and where should i put them? how to configure /etc/ipsec.conf and /etc/strongswan.conf and /etc/ipsec.secrets ?</div><div>or any files else should i modify/setup? and what is the command for connecting/disconnecting remote vpn server</div><div>could anyone give a complete tutorial for setting up vpn client on ubuntu 16.04?</div><div>(for vpn server that was cofigured totally the same way as this tutorial taught)</div><div>this tutorial shows how to setup vpn client on BlackBerry/Windows 7/Android/ iPhones/iOS</div><div>but doesn't contain how to setup vpn client on Linux</div><div>I tried to use GUI of network-manager to setup vpn client</div><div>but after opened dialog I cannot find a option that can let me specify</div><div>the path to clientCert.p12 and username and password</div><div>as i did on android client</div><div><br></div><div><br></div><div>here is /etc/strongswan.conf on my openwrt router</div><div><div>charon {</div><div>        threads = 16</div><div>        dns1 = 10.2.2.1</div><div>        dns2 = 8.8.8.8</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">   </span>port = 2805</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>port_nat_t = 7777</div><div>}</div><div><br></div><div>pluto {</div><div><br></div><div>}</div></div><div><br></div><div><br></div><div>here is /etc/ipsec.conf on my openwrt router</div><div><div>config setup</div><div><br></div><div>conn %default</div><div> keyexchange=ikev2</div><div><br></div><div>conn roadwarrior</div><div> left=%any</div><div> leftauth=pubkey</div><div> leftcert=serverCert.pem</div><div> leftid=192.168.0.11</div><div> leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div> leftfirewall=yes</div><div> right=%any</div><div> rightsourceip=<a href="http://10.5.3.0/24">10.5.3.0/24</a></div><div> rightauth=pubkey</div><div> rightcert=clientCert.pem</div><div> rightauth2=eap-mschapv2</div><div> auto=add</div><div> esp=aes-aes256-sha-modp1024,aes256-sha512-modp4096</div><div> ike=aes-aes256-sha-modp1024,aes256-sha512-modp4096</div></div><div><br></div><div>here is /etc/ipsec.secrets on my openwrt router</div><div><div># /etc/ipsec.secrets - strongSwan IPsec secrets file</div><div>: RSA serverKey.pem</div><div>tony : EAP "tonypassword"</div><div>mary : EAP "marypassword"</div></div><div><br></div><div><br></div><div>here is part of /etc/config/firewall  i added for strongswan</div><div>(i need custom port for fighting with china great firewall so i change 500 to 2805, and 4500 to 7777)</div><div><div>config rule</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>option src 'wan'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>option name 'IPSec ESP'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>option proto 'esp'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>option target 'ACCEPT'</div><div><br></div><div>config rule</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option src 'wan'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>option name 'IPSec IKE'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>option dest_port '2805'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>option proto 'udp'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>option target 'ACCEPT'</div><div><br></div><div>config rule</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option src 'wan'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>option name 'IPSec NAT-T'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option proto 'udp'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>option dest_port '7777'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>option target 'ACCEPT'</div><div><br></div><div>config rule</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option src 'wan'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>option name 'Auth Header'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option proto 'ah'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option target 'ACCEPT'</div></div><div><br></div><div><div>config forwarding</div><div><span class="gmail-Apple-tab-span" style="white-space:pre"> </span>option dest 'lan'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option src 'vpn'</div><div><br></div><div>config forwarding</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option dest 'wan'</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>option src 'vpn'</div></div><div><br></div><div><br></div><div>here is another filewall config /etc/firewall.user</div><div><div>iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT</div><div>iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT</div><div>iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT</div><div>iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT</div></div><div><br></div><div>and this is some detail information about my openwrt router</div><div>WAN IP: 192.168.0.11 (get dhcp ip from upstream router, later in the future i will change to public IP)</div><div>LAN IP: 10.2.2.1</div><div>LAN subnet : <a href="http://10.2.2.0/24">10.2.2.0/24</a> </div><div>the subnet i plan for vpn : <a href="http://10.5.3.0/24">10.5.3.0/24</a></div><div>(i don't know should i offer a 10.2.2.x ip for remote vpn client, so i give them 10.5.3.x)</div><div><br></div><div>now the strongswan server(on openwrt router) and strongswan client (on android)</div><div>all works fine without problem , but how could i connect to strongswan server(on openwrt router) if I want to use my ubuntu 16.04 laptop as vpn client ???</div><div>should i use ubuntu's built-in network-manager GUI, or connect it with pure text command? how to connect to strongswan server on ubuntu 16.04?</div><div><br></div><div>openwrt(server)  <------------------ ubuntu(client)</div><div><br></div><div>any suggestion will be appreciated</div><div>and sorry for my poor english skill</div></div>