...
- Установить пакеты с strongSwan:
Command sudo apt install strongswan libstrongswan-extra-plugins
- Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, и этот пункт не надо выполнять.
Скопировать из УЦ на серверный узел:
- ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
-server.cert.pem(сертификат сервера) в каталог/etc/ipsec.d/certs/;
-server.key.pem(закрытый ключ сервера) в каталог/etc/ipsec.d/private/. - Настроить strongSwan-сервер на использование закрытого ключа сервера.
Для этого в файле/etc/ipsec.secretsуказать строку с путём до закрытого ключа сервера:Блок кода : RSA "/etc/ipsec.d/private/server.key.pem"
- Задать настройки strongSwan-сервера в файле
/etc/ipsec.conf:
гдеБлок кода config setup #charondebug="all" charondebug= ike 4, cfg 2 ## uniqueids=no conn server type=tunnel auto=add keyexchange=ikev2 keyingtries=%forever ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=clearhold dpddelay=300s ## rekeyforceencaps=noyes # left=${MY_HOST_IP} left=%any leftid=${MY_HOST_IP} leftcert=server.cert.pem leftsubnet=10.1.1.0/24 leftauth=pubkey # leftsendcert=always rightsourceip=10.1.1.0/24 rightauth=pubkey right=%any rightid=%any rightdns=10.0.0.1 # rightsendcert=always ikelifetime=28800s lifetime=3600s # dpddelay=30s dpdtimeout=120s dpdaction=restart forceencaps=yes eap_identity=%identity
- <IP-адрес_сервера> – IP-адрес серверного узла;
- <Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например,
где.1.1.250
- <IP-адрес_сервера> – IP-адрес серверного узла;
- <Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например, 10.1.1.10.1.1.0/24 - Перезапустить strongSwan для применения настроек:
Command sudo ipsec restart
...
- Установить пакеты с strongSwan:
Command sudo apt install strongswan libstrongswan-extra-plugins
- Скопировать из УЦ на клиентский узел:
-ca.cert.pem(сертификат УЦ) в каталог/etc/ipsec.d/cacerts/;
-client.cert.pem(сертификат пользователя) иclient.key.pem(закрытый ключ пользователя) в домашний каталог пользователя.Задать настройки strongSwan-клиента в файле -ca.cert.pem(сертификат УЦ) в каталог/etc/ipsec.confd/cacerts/;
-client.cert.pem(сертификат пользователя) иclient.key.pem(закрытый ключ пользователя) в домашний каталог пользователя. - Задать настройки strongSwan-клиента в файле
/etc/ipsec.conf:
:Блок кода config setup charondebug= ike 4, cfg 2 conn client
гдеБлок кода config setup #charondebug="all" charondebug= ike 4, cfg 2 ## uniqueids=no conn client type=tunnel auto=start keyexchange=ikev2 ike=aes256-sha1-modp1024! esp=aes256-sha1! # left=${MY_HOST_IP} leftsourceip=%config leftauthtype=pubkeytunnel leftcertauto=%smartcard0@rutoken:45start # leftcert=/home/user/client.cert.pem keyexchange=ikev2 right=${PEER_HOST_IP} keyingtries=%forever rightid=${PEER_HOST_IP}ike=aes256-sha1-modp1024! rightauth=pubkeyesp=aes256-sha1! rightsubnet=10.1.1.0/24dpdaction=restart # left=${MY_HOST_IP} keyingtries leftsourceip=%forever%config # ikelifetimeleftauth=28800spubkey # lifetime=3600s #leftcert=%smartcard0@rutoken:45 dpddelay=30s #right=${PEER_HOST_IP} dpdtimeout=120srightid=${PEER_HOST_IP} dpdactionrightauth=restart pubkey eap_identity=%identityrightsubnet=10.1.1.0/24
- <IP-адрес_сервера> – IP-адрес серверного узла.
...