Справочный центр

Дерево страниц

Сравнение версий

Старая версия 92

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 93

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. Установить пакеты с strongSwan:
    Command

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, и этот пункт не надо выполнять.
    Скопировать из УЦ на серверный узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - server.cert.pem (сертификат сервера) в каталог /etc/ipsec.d/certs/;
      - server.key.pem (закрытый ключ сервера) в каталог /etc/ipsec.d/private/.
  3. Настроить strongSwan-сервер на использование закрытого ключа сервера.
    Для этого в файле /etc/ipsec.secrets указать строку с путём до закрытого ключа сервера:
    Блок кода
    : RSA "/etc/ipsec.d/private/server.key.pem"
  4. Задать настройки strongSwan-сервера в файле /etc/ipsec.conf:
    Блок кода
    config setup
        charondebug= ike 4, cfg 2

conn server
        type=tunnel
        auto=add
        keyexchange=ikev2
        keyingtries=%forever
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        dpdaction=hold
        dpddelay=300s
##        forceencaps=yes

#        leftleftid=${MY_HOST_IP}
    left=%any
        leftid=${MY_HOST_IP}leftauth=pubkey
        leftcert=server.cert.pem
      #  leftsubnet=10.1.1.0/24сертификат сервера
        leftauthleftsendcert=pubkeyalways

        rightsourceipleftsubnet=10.1.1.0/24
        # rightauth=pubkey
    виртальная сеть, досупная на сервере

    right=%any    rightauth=pubkey
        rightid=%any
        rightsourceip=10.1.1.0/24     # подсеть виртуальных адресов, из которой будет выдан адрес клиенту
        rightdns=10.1.1.250           # адрес DNS-сервера,   rightdns=10.1.1.250передаваемый клиенту
    где
      - <IP-адрес_сервера> – IP-адрес серверного узла;
      - <Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например, 10.1.1.0/24

  5. Перезапустить strongSwan для применения настроек:
    Command

    sudo ipsec restart

...

  1. Установить пакеты с strongSwan:
    Command

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Скопировать из УЦ на клиентский узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - client.cert.pem (сертификат пользователя) и client.key.pem (закрытый ключ пользователя) в домашний каталог пользователя.
  3. Задать настройки strongSwan-клиента в файле /etc/ipsec.conf:
    .conf:
    Блок кода
    config setup
        charondebug= ike 4, cfg 2

conn client
        type=tunnel
        auto=start
    Блок кода
    config setup
        charondebugkeyexchange= ike 4, cfg 2
conn clientikev2
        keyingtries=%forever
        ike=aes256-sha1-modp1024!
        type=tunnelesp=aes256-sha1!
        autodpdaction=startrestart

        keyexchangeleftauth=ikev2pubkey
        keyingtries=%forever
leftcert=%smartcard0@rutoken:45    # сертификат клиента  ike=aes256-sha1-modp1024!находится на токене
        esp=aes256-sha1!leftsendcert=always
        dpdactionleftsourceip=restart%config

#        leftright=${MYPEER_HOST_IP}
        leftsourceip=%config
}        leftauth=pubkey
      #  leftcert=%smartcard0@rutoken:45

IP-адрес сервера
        rightrightid=${PEER_HOST_IP}
             rightid=${PEER_HOST_IP}# IP-адрес сервера
        rightauth=pubkey
        rightsubnet=10.1.1.0/24            # виртуальная сеть, предоставляемая сервером
    где
      -  <IP-адрес_сервера> – IP-адрес серверного узла.

...