...

1. Установить пакеты с strongSwan:
   

   Command
   sudo apt install strongswan libstrongswan-extra-plugins

2. Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, и этот пункт не надо выполнять.
   Скопировать из УЦ на сервер:
     - в каталог /etc/ipsec.d/cacerts/ – скопировать сертификат УЦ ca.cert.pem;
     - в каталог /etc/ipsec.d/certs/ – скопировать сертификат сервера server.cert.pem ;
     - в каталог /etc/ipsec.d/private/ – скопировать закрытый ключ сервера server.key.pem.
3. Настроить strongSwan-сервер на использование закрытого ключа сервера.
   Для этого в файле /etc/ipsec.secrets указать строку с путём до закрытого ключа сервера:
   

   Блок кода
   : RSA "/etc/ipsec.d/private/server.key.pem"

4. Задать настройки strongSwan-сервера в файле /etc/ipsec.conf:
   

   Блок кода

   config setup #charondebug="all" charondebug= ike 4, cfg 2 ## uniqueids=no conn server type=tunnel auto=add keyexchange=ikev2 ike=aes256-sha1-modp1024! esp=aes256-sha1! # left=${MY_HOST_IP} left=%any leftid=${MY_HOST_IP} leftcert=server.cert.pem # # # leftsubnet=10.1.1.0/24 leftauth=pubkey # leftsendcert=always rightsourceip=10.1.1.0/24 rightauth=pubkey right=%any rightid=%any # rightdns=8.8.8.8,8.8.4.4 # rightsendcert=always keyingtries=%forever ikelifetime=28800s lifetime=3600s # dpddelay=30s dpdtimeout=120s # dpdaction=restart forceencaps=yes dpdaction=clear dpddelay=300s rekey=no eap_identity=%identity

   где <IP-адрес_сервера> – IP-адрес strongSwan-сервера
   <Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например, 10.1.1.0/24
5. Перезапустить strongSwan-сервер для применения настроек:
   

   Command
   sudo ipsec restart

Настройка VPN-клиента

Настройка strongSwan-клиента

...