Введение

StrongSwan – это программное обеспечение для создания VPN-соединений на основе IPsec-протокола. Домашняя страница ПО: https://strongswan.org/.

...

1. Установить программы для работы с сертификатами:
   

   Command
   sudo apt install strongswan strongswan-pki

   Для Astra Linux SE 1.8 дополнительно установить:
   

   Command
   sudo apt install libtss2-tcti-tabrmd0

2. Создать для удостоверяющего центра закрытый ключ ca.key.pem и самоподписанный сертификат ca.cert.pem:

   Command
   pki --gen --size 4096 --type rsa --outform pem \   | sudo tee /etc/ipsec.d/private/ca.key.pem sudo pki --self --ca --in /etc/ipsec.d/private/ca.key.pem --type rsa --dn "CN=CA" --lifetime 3650 --outform pem \   | sudo tee /etc/ipsec.d/cacerts/ca.cert.pem

3. Создать для сервера закрытый ключ server.key.pem и сертификат server.cert.pem:
   

   Command

   pki --gen --size 4096 --type rsa --outform pem \   | sudo tee /etc/ipsec.d/private/server.key.pem sudo pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa \   | sudo pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem \       --dn "CN=<IP-адрес_сервера>" --san "<IP-адрес_сервера>" --flag serverAuth --outform pem \   | sudo tee /etc/ipsec.d/certs/server.cert.pem

   где <IP-адрес_сервера> – IP-адрес сервера.
   

...

1. Установить пакеты с strongSwan:
   

   Command
   sudo apt install strongswan libstrongswan-extra-plugins

   Для Astra Linux SE 1.8 дополнительно установить:
   

   Command
   sudo apt install libtss2-tcti-tabrmd0

2. Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, а этот пункт пропускается.
   Скопировать из УЦ на серверный узел:
     - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
     - server.cert.pem (сертификат сервера) в каталог /etc/ipsec.d/certs/;
     - server.key.pem (закрытый ключ сервера) в каталог /etc/ipsec.d/private/.
3. Указать закрытый ключ strongSwan-сервера в файле /etc/ipsec.secrets в виде строки:
   

   Блок кода
   : RSA server.key.pem

4. Задать настройки strongSwan в файле /etc/ipsec.conf:
   

   Блок кода

   config setup charondebug= ike 4, cfg 2 conn server type=tunnel auto=add keyexchange=ikev2 keyingtries=%forever ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=hold dpddelay=300s forceencaps=yes leftid=<IP-адрес_сервера> # Например: 10.192.6.108         leftauth=pubkey leftcert=server.cert.pem # Сертификат сервера         leftsendcert=always leftsubnet=<виртуальная_сеть__предоставляемая_сервером> # Например: 10.1.1.0/24         rightauth=pubkey rightid=%any rightsourceip=<диапазон_виртуальных_адресов_для_выдачи_клиентам> # Например: 10.1.1.0/24         rightdns=<IP-адреса_DNS-серверов__передаваемые_клиентам> # Например: 10.1.1.250,10.1.1.240

5. Перезапустить strongSwan для применения настроек:
   

   Command
   sudo ipsec restart

...

1. Установить пакеты с strongSwan:
   

   Command
   sudo apt install strongswan libstrongswan-extra-plugins

   Для Astra Linux SE 1.8 дополнительно установить:
   

   Command
   sudo apt install libtss2-tcti-tabrmd0

2. Скопировать из УЦ на клиентский узел:
     - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/.
3. Задать настройки strongSwan в файле /etc/ipsec.conf:
   

   Блок кода

   config setup charondebug= ike 4, cfg 2 conn client type=tunnel auto=start keyexchange=ikev2 keyingtries=%forever ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=restart forceencaps=yes leftauth=pubkey leftcert=<токен_и_закрытый_ключ> # Например: %smartcard0@rutoken:45 или %smartcard:45                                                                             # Формат значения <токен_и_закрытый_ключ> описан ниже в разделе "Настройка ... токена ...". leftsendcert=always leftsourceip=%config right=<IP-адрес_сервера> # Например: 10.192.6.108         rightid=<IP-адрес_сервера> # Например: 10.192.6.108         rightauth=pubkey rightsubnet=<виртуальная_сеть__предоставляемая_сервером> # Например: 10.1.1.0/24 # Если указать 0.0.0.0/0, то весь сетевой траффик клиента # будет "заворачиваться" в VPN-соединение (туннель). # Тогда на сервере параметру leftsubnet тоже # необходимо задать значение 0.0.0.0/0.

...

1. Включить поддержку токенов в strongSwan.
   Для этого в файле /etc/strongswan.d/charon/pkcs11.conf в секции блоке modules указать пути до интерфейсных библиотек используемых токенов:
   

   Блок кода
   pkcs11 { # Whether to load the plugin. Can also be an integer to increase the # priority of this plugin. load = yes ... # List of available PKCS#11 modules. modules { <название_модуля_1> { path = <путь_к_интерфейсной_библиотеке_токена_1> } <название_модуля_2> { path = <путь_к_интерфейсной_библиотеке_токена_2> }     } }

   Например, для токенов: Рутокен ЭЦП и Аладдин (закомментирован)  – файл /etc/strongswan.d/charon/pkcs11.conf может выглядеть так:
   

   Блок кода
   pkcs11 { load = yes modules { rutoken { path = /usr/lib/librtpkcs11ecp.so } # aladdin { # path = /usr/lib/libjcPKCS11-2.so # }   } }

2. Настроить strongSwan на использование закрытого ключа клиента, который находится на токене.
   Для этого указать в файле /etc/ipsec.secrets строку с описанием токена и закрытого ключа:
   - с указанием pin-кода в файле:
   

   Блок кода
   :
   Блок кода
   : PIN <токен_и_закрытый_ключ> <pin-код>

   - или более безопасный вариант, при котором pin-код будет вводиться пользователем в командной строке:
   

   Блок кода
   : PIN <токен_и_закрытый_ключ> %prompt

   где
     - <токен_и_закрытый_ключ> – задаётся по формату: %smartcard[<номер_слота_с_токеном>[@<название_модуля>]]:<идентификатор_ключевой_пары>
                                                                      где
                                                                        - <название_модуля> – название модуля в файле /etc/strongswan.d/charon/pkcs11.conf, в котором указана интерфейсная библиотека для работы с токеном;
                                                                        - <идентификатор_ключевой_пары> – идентификатор, с которым закрытый ключ записан на токен.
                                                                      Например: %smartcard0@rutoken:45                                                                   
     - <pin-код> – пользовательский pin-код токена для доступа к объектам на токене;
     - %prompt – если указать эту опцию, то strongSwan запросит ввести pin-код в командной строке (порядок ввода pin-кода описан ниже).
                               Это более безопасный вариант, при котором в файле /etc/ipsec.secrets не хранится pin-код токена.
   Пример .
   

   Примечание
   Если к компьютеру подключается только один ключевой носитель, то достаточно использовать укороченный формат параметра <токен_и_закрытый_ключ>: %smartcard:<идентификатор_ключевой_пары> Например: %smartcard:45

   
   Примеры файла /etc/ipsec.secrets:
    - для вышеприведённого Рутокена с указанием pin-кодакодом, указанным в файле:
   

   Блок кода
   : PIN %smartcard0@rutoken:45 12345678

   Пример файла /etc/ipsec.secrets для вышеприведённого Рутокена, при котором strongSwan запросит ввести pin-код - для Рутокена с pin-кодом, вводимым пользователем:
   

   Блок кода
   : PIN %smartcard0@rutoken:45 %prompt

    - при подключении к компьютеру единственного токена, поддержка которого включена в strongSwan, и с pin-кодом, вводимым пользователем:
   

   Блок кода
   : PIN %smartcard0@rutoken%smartcard:45 %prompt

3. Перезапустить strongSwan для применения настроек:
   

   Command
   sudo ipsec restart

4. Если в файле /etc/ipsec.secrets указана опция %prompt, то после каждого запуска (перезапуска) strongSwan необходимо вручную вводить pin-код токена. 
   Для этого выполнить команду:
   

   Command
   sudo ipsec rereadsecrets

   Появится приглашение для ввода pin-кода:
   Если strongSwan-сервер ещё не успел запуститься, то команда завершится без вывода какой-либо информации. Необходимо подождать 5-10 секунд и повторить команду "sudo ipsec rereadsecrets".
   Появится приглашение для ввода pin-кода:
   

   Блок кода
   Login
   Блок кода
   Login to '%smartcard0@rutoken:45' required PIN:

   Ввести пользовательский pin-код токена, нажать клавишу <ENTER>.
   
   Выполнить команду, чтобы strongSwan перезагрузил настройки и установил соединение с VPN-сервером:
   

   Command
   sudo ipsec reload

...

1. Исключить таблицу маршрутизации 101 из используемых strongSwan-клиентом.
   Для этого создать файл (если он не создан) в файле /etc/strongswan.d/charon-nm.conf и добавить в него блок параметров в блоке charon присвоить параметру ignore_routing_tables значение 101:
   

   Блок кода
   charon-nm { ... ignore_routing_tables = 101 # A space-separated list of routing tables to be excluded from route # lookups. # ignore_routing_tables =     ignore_routing_tables = 101 ... }

2. Перезагрузить операционную систему.

В аплете NetworkManager не доступен ключевой носитель для VPN-соединения

...

IPsec

Решение.

На компьютере пользователя включить поддержку токенов для NetworkManager::

1. Установить strongSwan-расширение для работы с NetworkManager:
   

   Command
   sudo apt install strongswan-nm

2. Включить поддержку ключевого носителя для NetworkManager.
   Для этого создать файл Создать файл (если он не создан) /etc/strongswan.d/charon-nm.conf и добавить в него блок параметров, содержащих путь до интерфейсной библиотеки используемого токена:
   

   Блок кода
   charon-nm { plugins { pkcs11 { modules {                <название_модуля_1> { path = <путь_к_интерфейсной_библиотеке_токена_1> } } } } }

   Например, для Рутокена ЭЦП файл /etc/strongswan.d/charon-nm.conf может выглядеть так:
   

   Блок кода
   charon-nm { plugins { pkcs11 { modules { rutoken { path = /usr/lib/librtpkcs11ecp.so } } } } }

3. Перезагрузить операционную систему.
4. Настроить в аплете NetworkManager VPN-соединение VPN IPSecIPsec:
   
   
5. Отключить уведомления в аплете NetworkManager уведомления.
6. Запустить на клиенте через NM созданное VPN соединение. Должны появиться уведомление об успехев аплете NetworkManager настроенное VPN-соединение IPsec. 
   Появится уведомление об успешном соединении:
   
   Также появится сообщение об успехе в журнале:
   Image Removedуспешном соединении в Журнале системных событий:
   Image Added

Не устанавливается соединение между strongSwan-сервером и strongSwan-клиентом

Возможным решением проблемы может быть двойное указание IP-адреса в сертификатах узлов в расширении subjectAltName.

Для этого для создания сертификата сервера и запроса на сертификат клиента необходимо использовать команды:

• для создания сертификата сервера server.cert.pem:
  

  Command
  sudo pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa \   | sudo pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem \       --dn "CN=<IP-адрес_сервера>" --san "<IP-адрес_сервера>" --san "<IP-адрес_сервера>" --flag serverAuth --outform pem \   | sudo tee /etc/ipsec.d/certs/server.cert.pem

• для создания запроса на сертификат клиента client1.cert.csr:
  - при использовании пассивного ключевого носителя:
  

  Command
  openssl req -new -key client1.key.pem -out client1.cert.csr \   -subj "/CN=<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>, IP.2:<IP-адрес_клиента>"

  - при использовании активного ключевого носителя:
  

  Command
  openssl req -new -engine pkcs11 -keyform engine -out client1.cert.csr \   -key pkcs11:id="%<идентификатор_ключевой_пары>" \   -subj "/CN=<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>, IP.2:<IP-адрес_клиента>"

 Не доступны ресурсы локальной сети при настройке strongSwan-клиента: rightsubnet=0.0.0.0/0

Если в настройках strongSwan-клиента (раздел 5.1) параметру rightsubnet присвоено значение 0.0.0.0/0 и при этом ресурсы локальной сети стали недоступны, то, возможно, решением проблемы будет присвоение параметру rightsubnet значения 0.0.0.1/0.