...
- Установить пакеты с strongSwan:
Command sudo apt install strongswan libstrongswan-extra-plugins
- Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, и этот пункт не надо выполнять.
Скопировать из УЦ на серверный узел:
- ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
-server.cert.pem(сертификат сервера) в каталог/etc/ipsec.d/certs/;
-server.key.pem(закрытый ключ сервера) в каталог/etc/ipsec.d/private/. - Настроить strongSwan-сервер на использование закрытого ключа сервера.
Для этого в файле/etc/ipsec.secretsуказать строку с путём до закрытого ключа сервера:Блок кода : RSA "/etc/ipsec.d/private/server.key.pem"
- Задать настройки strongSwan-сервера в файле
/etc/ipsec.conf:
гдеБлок кода config setup charondebug= ike 4, cfg 2 conn server type=tunnel auto=add keyexchange=ikev2 keyingtries=%forever ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=hold dpddelay=300s forceencaps=yes leftid=${MY_HOST_IP} # IP-адрес сервера leftauth=pubkey leftcert=server.cert.pem # сертификат сервера leftsendcert=always leftsubnet=10.1.1.0/24 # виртальная сеть, досупная на сервере rightauth=pubkey rightid=%any rightsourceip=10.1.1.0/24 # подсеть виртуальных адресов, из которой будетвыдаются выданадреса адрес клиентуклиентам rightdns=10.1.1.250 # адрес DNS-сервера, передаваемый клиентуклиентам
- <IP-адрес_сервера> – IP-адрес серверного узла;
- <Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например, 10.1.1.0/24 - Перезапустить strongSwan для применения настроек:
Command sudo ipsec restart
...