Справочный центр

Дерево страниц

Сравнение версий

Старая версия 26

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 27

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка !



(Настроить доступ по сертикату на сервере) указать местоположение закрытого ключа strongSwan-сервера в файле /etc/ipsec.secrets:

Блок кода
: RSA "/etc/ipsec.d/private/server.key.pem"



Настроить strongSwan-сервер, разместив в файле /etc/ipsec.conf:

Блок кода
config setup
        #charondebug="all"
        charondebug= ike 4, cfg 2
##         uniqueids=no
conn server
        type=tunnel
        auto=add
        keyexchange=ikev2
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!

#        authby=pubkey
#        left=${MY_HOST_IP}
    left=%any
        leftid=${MY_HOST_IP}
#        leftcert=server.cert.pem
# # #  leftsubnet=10.1.1.0/24
        leftauth=pskpubkey
#    leftsendcert=always

        rightsourceip=10.1.1.0/24
        rightauth=pskpubkey
        right=%any
        rightid=%any
#    rightdns=8.8.8.8,8.8.4.4
#    rightsendcert=always

        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
#        dpddelay=30s
        dpdtimeout=120s
#        dpdaction=restart

    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no

    eap_identity=%identity

...

<Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например, 10.1.1.0/24

(Настроить доступ по сертикату на сервере) указать местоположение закрытого ключа strongSwan-сервера в файле /etc/ipsec.secrets:

...






Перезапустить strongSwan-сервер для применения настроек:

...

Скопировать с сервера файлы /etc/ipsec.d/private/client.key.pem и /etc/ipsec.d/certs/client.cert.pem в домашнюю папку



2))))


3)))) TODO - токен!!!!!!

(Настроить доступ по сертикату на клиенте) указать местоположение закрытого ключа strongSwan-сервера в файле /etc/ipsec.secrets:

Блок кода
: RSA "/etc/ipsec.d/private/client.key.pem"




Настроить strongSwan-клиента, разместив в файле /etc/ipsec.conf:

Блок кода
config setup
        #charondebug="all"
        charondebug= ike 4, cfg 2
##     uniqueids=no
conn client
        type=tunnel
        auto=start
        keyexchange=ikev2
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!

#        authby=pubkey
#   left=${MY_HOST_IP}
        leftsourceip=%config
        leftauth=pskpubkey
#        leftcert=/home/user/client.cert.pem

        right=${PEER_HOST_IP}
     rightid=${PEER_HOST_IP}
##     rightsubnet=0.0.0.0/0
         rightauth=pskpubkey

#        keyingtries=%forever
#        ikelifetime=28800s
#        lifetime=3600s
#        dpddelay=30s
#        dpdtimeout=120s
#        dpdaction=restart

    eap_identity=%identity

...