...
- Установить пакеты с strongSwan:
Command sudo apt install strongswan libstrongswan-extra-plugins
- Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, а этот пункт пропускается.
Скопировать из УЦ на серверный узел:
- ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
-server.cert.pem(сертификат сервера) в каталог/etc/ipsec.d/certs/;
-server.key.pem(закрытый ключ сервера) в каталог/etc/ipsec.d/private/. - Указать закрытый ключ strongSwan-сервера в файле
/etc/ipsec.secretsв виде строки:Блок кода : RSA server.key.pem
- Задать настройки strongSwan-сервера в файле
/etc/ipsec.conf:Блок кода config setup charondebug= ike 4, cfg 2 conn server type=tunnel auto=add keyexchange=ikev2 keyingtries=%forever ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=hold dpddelay=300s forceencaps=yes leftid=<IP-адрес_сервера> # Например: 10.192.6.108 leftauth=pubkey leftcert=server.cert.pem # Сертификат сервера leftsendcert=always leftsubnet=<виртуальная_сеть__предоставляемая_сервером> # Например: 10.1.1.0/24 rightauth=pubkey rightid=%any rightsourceip=<диапазон_виртуальных_адресов_для_выдачи_клиентам> # Например: 10.1.1.0/24 rightdns=<IP-адреса_DNS-серверов__передаваемые_клиентам> # Например: 10.1.1.250,10.1.1.240 - Перезапустить strongSwan для применения настроек:
Command sudo ipsec restart
Настройка VPN-клиента
Создание закрытого ключа и сертификата клиента
На клиентском узле в домашнем каталоге пользователя:
- Создать закрытый ключ клиента:
Command opensll .. client1.key.pem
pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/client.key.pem
Настройка strongSwan-клиента
...