Справочный центр

Дерево страниц

Сравнение версий

Старая версия 98

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 99

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. Установить пакеты с strongSwan:
    Command

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, и этот пункт не надо выполнять.
    Скопировать из УЦ на серверный узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - server.cert.pem (сертификат сервера) в каталог /etc/ipsec.d/certs/;
      - server.key.pem (закрытый ключ сервера) в каталог /etc/ipsec.d/private/.
  3. Настроить strongSwan-сервер на использование закрытого ключа сервера.
    Для этого в файле /etc/ipsec.secrets указать строку с путём до закрытого ключа сервера:
    Блок кода
    : RSA "/etc/ipsec.d/private/server.key.pem"
  4. Задать настройки strongSwan-сервера в файле /etc/ipsec.conf:
    Блок кода
    config setup
        charondebug= ike 4, cfg 2

conn server
        type=tunnel
        auto=add
        keyexchange=ikev2
        keyingtries=%forever
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        dpdaction=hold
        dpddelay=300s
        forceencaps=yes

        leftid=<IP-адрес_сервера>                                                            # Например: 10.192.6.108
        leftauth=pubkey
        leftcert=server.cert.pem                                                             # Сертификат сервера
        leftsendcert=always
        leftsubnet=<виртуальная_сеть_на_стороне_сервера__к_которой_получают_доступ_клиенты>предоставляемая_сервером>             # Например: 10.1.1.0/24

        rightauth=pubkey
        rightid=%any
        rightsourceip=<диапазон_виртуальных_адресов_для_выдачи_клиентам>    #                 # Например: Например: 10.1.1.0/24
        rightdns=<IP-адреса_DNS-серверов__передаваемые_клиентам>                             # Например: 10.1.1.250,10.1.1.240

  5. Перезапустить strongSwan для применения настроек:
    Command

    sudo ipsec restart

...

  1. Установить пакеты с strongSwan:
    Command

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Скопировать из УЦ на клиентский узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - client.cert.pem (сертификат пользователя) и client.key.pem (закрытый ключ пользователя) в домашний каталог пользователя.
  3. Задать настройки strongSwan-клиента в файле /etc/ipsec.conf:
    Блок кода
    config setup
        charondebug= ike 4, cfg 2

conn client
        type=tunnel
        auto=start
        keyexchange=ikev2
        keyingtries=%forever
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        dpdaction=restart
        forceencaps=yes

        leftauth=pubkey
        leftcert=%smartcard0@rutoken:45    # сертификат клиента находится на токене
        leftsendcert=always
        leftsourceip=%config

        right=${PEER_HOST_IP}    # сертификат клиента находится на токене
      # IP-адрес сервера leftsendcert=always
        rightid=${PEER_HOST_IP}leftsourceip=%config

        right=<IP-адрес_сервера>      # IP-адрес сервера
        rightauth=pubkey
        rightsubnet=10.1.1.0/24            # виртуальная сеть, предоставляемая сервером
    где
      -  <IP-адрес_сервера> – IP-адрес серверного узла
         # Например: 10.192.6.108
        rightid=<IP-адрес_сервера>                                          # Например: 10.192.6.108
        rightauth=pubkey
        rightsubnet=<виртуальная_сеть__предоставляемая_сервером>            # Например: 10.1.1.0/24
                                                                            # Если указать 0.0.0.0/0, то весь сетевой траффик клиента
                                                                            #     будет "заворачиваться" в VPN-соединение (туннель).
                                                                            #     На сервере параметру leftsubnet также необходимо задать значение 0.0.0.0/0.

Настройка использования ключевого носителя (токена) в качестве второго фактора аутентификации

...