Справочный центр

Дерево страниц

Сравнение версий

Старая версия 89

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 90

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. Установить пакеты с strongSwan:
    Command

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, и этот пункт не надо выполнять.
    Скопировать из УЦ на серверный узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - server.cert.pem (сертификат сервера) в каталог /etc/ipsec.d/certs/;
      - server.key.pem (закрытый ключ сервера) в каталог /etc/ipsec.d/private/.
  3. Настроить strongSwan-сервер на использование закрытого ключа сервера.
    Для этого в файле /etc/ipsec.secrets указать строку с путём до закрытого ключа сервера:
    Блок кода
    : RSA "/etc/ipsec.d/private/server.key.pem"
  4. Задать настройки strongSwan-сервера в файле /etc/ipsec.conf:
    Блок кода
    config setup
        #charondebug="all"
        charondebug= ike 4, cfg 2
##         uniqueids=no
conn server
        type=tunnel
        auto=add
        keyexchange=ikev2
                keyingtries=%forever
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no

#        left=${MY_HOST_IP}
    left=%any
        leftid=${MY_HOST_IP}
        leftcert=server.cert.pem
#     # #  leftsubnet=10.1.1.0/24
        leftauth=pubkey
#    leftsendcert=always

        rightsourceip=10.1.1.0/24
        rightauth=pubkey
        right=%any
        rightid=%any
#    rightdns=810.80.8.8,8.8.4.40.1
#    rightsendcert=always

        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
#        dpddelay=30s
        dpdtimeout=120s
#        dpdaction=restart

    forceencaps=yes
    dpdaction=clear
     dpddelaydpdaction=300srestart

    rekeyforceencaps=noyes

    eap_identity=%identity
    где
      - <IP-адрес_сервера> – IP-адрес серверного узла;
      - <Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например, 10.1.1.0/24

  5. Перезапустить strongSwan для применения настроек:
    Command

    sudo ipsec stop

    sudo systemctl restart strongswan-starter

...

  1. Установить пакеты с strongSwan:
    Command

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Скопировать из УЦ на клиентский узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - client.cert.pem (сертификат пользователя) и client.key.pem (закрытый ключ пользователя) в домашний каталог пользователя.
  3. Задать настройки strongSwan-клиента в файле /etc/ipsec.conf:
    Блок кода
    config setup
        #charondebug="all"
        charondebug= ike 4, cfg 2
##     uniqueids=no
conn client
        type=tunnel
        auto=start
        keyexchange=ikev2
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!

#   left=${MY_HOST_IP}
        leftsourceip=%config
        leftauth=pubkey
        leftcert=%smartcard0@rutoken:45
#           leftcert=/home/user/client.cert.pem

    leftsubnet=10.1.1.0/24

        right=${PEER_HOST_IP}
     rightid=${PEER_HOST_IP}
##     rightsubnet=0.0.0.0/0
    rightauth=pubkey
     rightauth=pubkey
   rightsubnet=10.1.1.0/24

#        keyingtries=%forever
#        ikelifetime=28800s
#        lifetime=3600s
#        dpddelay=30s
#        dpdtimeout=120s
#        dpdaction=restart

    eap_identity=%identity
    где
      -  <IP-адрес_сервера> – IP-адрес серверного узла.

...