...
Настройка strongSwan-сервера
Сгенерировать сертификаты на сервере:
Установить расширение для создания сертификатов:
| Command |
|---|
sudo apt install strongswan-pki |
Создать закрытый ключ ca.key.pem и самоподписанный сертификат удостоверяющего центра ca.cert.pem:
| Command |
|---|
sudo ipsec pki --gen --size 4096 --type rsa --outform pem > /etc/ipsec.d/private/ca.key.pem sudo ipsec pki --self --in /etc/ipsec.d/private/ca.key.pem --type rsa --dn "CN=CA" --ca --lifetime 3650 --outform pem > /etc/ipsec.d/cacerts/ca.cert.pem |
Создать закрытый ключ server.key.pem и сертификат сервера server.cert.pem:
| Command |
|---|
sudo ipsec pki --gen --size 4096 --type rsa --outform pem > /etc/ipsec.d/private/server.key.pem sudo ipsec pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa | ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<server static IP address>" --san=”<server static IP address>” --san="<server static IP address>" --flag serverAuth --flag ikeIntermediate --outform pem > /etc/ipsec.d/certs/server.cert.pem |
Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка !
Настроить strongSwan-сервер, разместив в файле файле /etc/ipsec.conf:
| Блок кода |
|---|
config setup
charondebug="all"
strictcrlpolicy=no
uniqueids=yes
conn server
type=tunnel
auto=start
keyexchange=ikev2
authby=pubkey
left=<server static IP address>
leftcert=server.cert.pem
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
rightsourceip=<virtual IP subnet for clients> |
...