...
Настроить strongSwan-сервер, разместив в файле /etc/ipsec.conf:
| Блок кода |
|---|
config setup
charondebug#charondebug="all"
strictcrlpolicy=no
charondebug= ike 4, cfg 2
## uniqueids=yesno
conn server
type=tunnel
auto=startadd
keyexchange=ikev2
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
# authby=pubkey
# left=${MY_HOST_IP}
left=<IP-адрес_сервера>
=%any
leftid=${MY_HOST_IP}
# leftcert=server.cert.pem
# # # leftsubnet=10.1.1.0/24
leftauth=psk
# leftsendcert=always
rightsourceip=10.1.1.0/24
ike=aes256-sha1-modp1024!rightauth=psk
right=%any
esp=aes256-sha1!
rightid=%any
# rightdns=8.8.8.8,8.8.4.4
# aggressiverightsendcert=noalways
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
# dpddelay=30s
dpdtimeout=120s
# dpdaction=restart
forceencaps=yes
dpdaction=clear
dpddelay=300s
rightsourceip=<Подсеть_виртуальных_IP-адресов_для_клиентов>rekey=no
eap_identity=%identity |
где <IP-адрес_сервера> – IP-адрес strongSwan-сервера
...
Предполагается, что по статье настроен: Единый доступ к ключевым носителям разных производителей.
Настроить strongSwan-клиента, разместив в файле /etc/ipsec.conf:
| Блок кода |
|---|
config setup
#charondebug="all"
charondebug= ike 4, cfg 2
## uniqueids=no
conn client
type=tunnel
auto=start
keyexchange=ikev2
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
# authby=pubkey
# left=${MY_HOST_IP}
leftsourceip=%config
leftauth=psk
# leftcert=client.cert.pem
right=${PEER_HOST_IP}
rightid=${PEER_HOST_IP}
rightsubnet=0.0.0.0/0
rightauth=psk
# keyingtries=%forever
# ikelifetime=28800s
# lifetime=3600s
# dpddelay=30s
# dpdtimeout=120s
# dpdaction=restart
eap_identity=%identity |