Справочный центр

Дерево страниц

Сравнение версий

Старая версия 190

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 191

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. Установить пакеты с strongSwan:
    Command

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, а этот пункт пропускается.
    Скопировать из УЦ на серверный узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - server.cert.pem (сертификат сервера) в каталог /etc/ipsec.d/certs/;
      - server.key.pem (закрытый ключ сервера) в каталог /etc/ipsec.d/private/.
  3. Указать закрытый ключ strongSwan-сервера в файле /etc/ipsec.secrets в виде строки:
    Блок кода
    : RSA server.key.pem
  4. Задать настройки strongSwan-сервера в файле /etc/ipsec.conf:
    Блок кода
    config setup
        charondebug= ike 4, cfg 2

conn server
        type=tunnel
        auto=add
        keyexchange=ikev2
        keyingtries=%forever
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        dpdaction=hold
        dpddelay=300s
        forceencaps=yes

        leftid=<IP-адрес_сервера>                                           # Например: 10.192.6.108
        leftauth=pubkey
        leftcert=server.cert.pem                                            # Сертификат сервера
        leftsendcert=always
        leftsubnet=<виртуальная_сеть__предоставляемая_сервером>             # Например: 10.1.1.0/24

        rightauth=pubkey
        rightid=%any
        rightsourceip=<диапазон_виртуальных_адресов_для_выдачи_клиентам>    # Например: 10.1.1.0/24
        rightdns=<IP-адреса_DNS-серверов__передаваемые_клиентам>            # Например: 10.1.1.250,10.1.1.240
  5. Перезапустить strongSwan для применения настроек:
    Command

    sudo ipsec restart

Настройка VPN-клиента

Настройка strongSwan

...

На клиентском узле:

  1. Установить пакеты с strongSwan:
    Command

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Скопировать из УЦ на клиентский узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/.
  3. Задать настройки strongSwan-клиента в файле /etc/ipsec.conf:
    Блок кода
    config setup
        charondebug= ike 4, cfg 2

conn client
        type=tunnel
        auto=start
        keyexchange=ikev2
        keyingtries=%forever
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        dpdaction=restart
        forceencaps=yes

        leftauth=pubkey
        leftcert=<токен_и_закрытый_ключ>                                    # Например: %smartcard0@rutoken:45
                                                                            # Формат значения <токен_и_закрытый_ключ> описан ниже в разделе "Настройка ... токена ...".
        leftsendcert=always
        leftsourceip=%config

        right=<IP-адрес_сервера>                                            # Например: 10.192.6.108
        rightid=<IP-адрес_сервера>                                          # Например: 10.192.6.108
        rightauth=pubkey
        rightsubnet=<виртуальная_сеть__предоставляемая_сервером>            # Например: 10.1.1.0/24
                                                                            # Если указать 0.0.0.0/0, то весь сетевой траффик клиента
                                                                            #     будет "заворачиваться" в VPN-соединение (туннель).
                                                                            #     Тогда на сервере параметру leftsubnet тоже 
                                                                            #     необходимо задать значение 0.0.0.0/0.

...