...
- Установить пакеты с strongSwan:
Command sudo apt install strongswan libstrongswan-extra-plugins
- Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, и этот пункт не надо выполнять.
Скопировать из УЦ на серверный узел:
- ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
-server.cert.pem(сертификат сервера) в каталог/etc/ipsec.d/certs/;
-server.key.pem(закрытый ключ сервера) в каталог/etc/ipsec.d/private/. - Настроить strongSwan-сервер на использование закрытого ключа сервера.
Для этого в файле/etc/ipsec.secretsуказать строку с путём до закрытого ключа сервера:Блок кода : RSA "/etc/ipsec.d/private/server.key.pem"
- Задать настройки strongSwan-сервера в файле
/etc/ipsec.conf:
гдеБлок кода config setup charondebug= ike 4, cfg 2 conn server type=tunnel auto=add keyexchange=ikev2 keyingtries=%forever ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=hold dpddelay=300s forceencaps=yes leftid=${MY_HOST_IP}<IP-адрес_сервера> # IP-адрес сервера leftauth=pubkey leftcert=server.cert.pem # сертификат сервера leftsendcert=always leftsubnet=10.1.1.0/24 # виртальная сеть, досупная на сервере Например: 10.192.6.108 leftauth=pubkey rightauth=pubkey leftcert=server.cert.pem rightid=%any rightsourceip=10.1.1.0/24 # подсеть виртуальных адресов, из которой выдаются адреса клиентам rightdns=10.1.1.250 # адрес DNS-сервера, передаваемый клиентам
- <IP-адрес_сервера> – IP-адрес серверного узла;
- <Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например
0/24# Сертификат сервера leftsendcert=always leftsubnet=<виртуальная_сеть_на_стороне_сервера__к_которой_получают_доступ_клиенты> # Например: 10.1.1.0/24 rightauth=pubkey rightid=%any rightsourceip=<подсеть_адресов__из_которой_выдаются_виртуальные_адреса_клиентам> # Например: 10.1.1.0/24 rightdns=<IP-адреса_DNS-серверов__передаваемые_клиентам> # Например: 10.1.1.250,10.1.1.
240 - Перезапустить strongSwan для применения настроек:
Command sudo ipsec restart
...