Данная статья применима к:
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8).
Введение
strongSwan – это программное обеспечение для создания виртуальной частной сети (VPN) на основе IPsec-протокола. Домашняя страница ПО: https://strongswan.org/.
Используется двухфакторная аутентификации пользователя:
- первый фактор –
пара: открытый ключ (сертификат) изакрытый ключ; - второй фактор – токен, принадлежащий пользователю.
Сертификат изакрытый ключ пользователя хранятся на токене.
Общая статья по работе с токенами: Ключевые носители (токены) PKCS в Astra Linux.
Предварительная настройка
На сервере и клиентском узле настроить маршрутизацию пакетов, задав значения параметрам в файле /etc/sysctl.conf:
# Uncomment the next line to enable packet forwarding for IPv4 #net.ipv4.ip_forward=1 net.ipv4.ip_forward=1 # Uncomment the next line to enable packet forwarding for IPv6 # Enabling this option disables Stateless Address Autoconfiguration # based on Router Advertisements for this host #net.ipv6.conf.all.forwarding=1 net.ipv6.conf.all.forwarding=1 # Do not accept ICMP redirects (prevent MITM attacks) #net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.accept_redirects=0 # Do not send ICMP redirects (we are not a router) #net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.send_redirects=0
Применить заданные параметрами настройки:
Настройка strongSwan-сервера
Сгенерировать сертификаты на сервере:
Установить пакеты с strongSwan:
Установить пакеты для создания сертификатов:
Создать закрытый ключ ca.key.pem и самоподписанный сертификат удостоверяющего центра ca.cert.pem:
sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/ca.key.pem
sudo ipsec pki --self --in /etc/ipsec.d/private/ca.key.pem --type rsa --dn "CN=CA" --ca --lifetime 3650 --outform pem \
| sudo tee /etc/ipsec.d/cacerts/ca.cert.pem
Создать для сервера: закрытый ключ server.key.pem и сертификат server.cert.pem:
sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/server.key.pem
sudo ipsec pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa \
| sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<IP-адрес_сервера>" \
--san="<IP-адрес_сервера>" --san="<IP-адрес_сервера>" --flag serverAuth --flag ikeIntermediate --outform pem \
| sudo tee /etc/ipsec.d/certs/server.cert.pem
где <IP-адрес_сервера> – IP-адрес strongSwan-сервера.
Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка !
Создать для клиента: закрытый ключ client.key.pem и сертификат client.cert.pem:
sudo ipsec pki --gen --size 4096 --type rsa --outform pem \
| sudo tee /etc/ipsec.d/private/client.key.pem
sudo ipsec pki --pub --in /etc/ipsec.d/private/client.key.pem --type rsa \
| sudo ipsec pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem --dn "CN=<IP-адрес_клиента>" \
--san="<IP-адрес_клиента>" --san="<IP-адрес_клиента>" --flag clientAuth --flag ikeIntermediate --outform pem \
| sudo tee /etc/ipsec.d/certs/client.cert.pem
где <IP-адрес_клиента> – IP-адрес strongSwan-клиента.
Примечание: параметр --san в последней команде надо действительно указывать дважды, это не ошибка !
(Настроить доступ по сертикату на сервере) указать местоположение закрытого ключа strongSwan-сервера в файле /etc/ipsec.secrets:
: RSA "/etc/ipsec.d/private/server.key.pem"
Настроить strongSwan-сервер, разместив в файле /etc/ipsec.conf:
config setup
#charondebug="all"
charondebug= ike 4, cfg 2
## uniqueids=no
conn server
type=tunnel
auto=add
keyexchange=ikev2
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
# left=${MY_HOST_IP}
left=%any
leftid=${MY_HOST_IP}
leftcert=server.cert.pem
# # # leftsubnet=10.1.1.0/24
leftauth=pubkey
# leftsendcert=always
rightsourceip=10.1.1.0/24
rightauth=pubkey
right=%any
rightid=%any
# rightdns=8.8.8.8,8.8.4.4
# rightsendcert=always
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
# dpddelay=30s
dpdtimeout=120s
# dpdaction=restart
forceencaps=yes
dpdaction=clear
dpddelay=300s
rekey=no
eap_identity=%identity
где <IP-адрес_сервера> – IP-адрес strongSwan-сервера
<Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например, 10.1.1.0/24
Перезапустить strongSwan-сервер для применения настроек:
Настройка strongSwan-клиента
Предполагается, что по статье настроен: Единый доступ к ключевым носителям разных производителей.
Установить пакеты с strongSwan:
Скопировать с сервера файл /etc/ipsec.d/cacerts/ca.cert.pem и положить туда же на клиенте (настроить права?)
Скопировать с сервера файлы /etc/ipsec.d/private/client.key.pem и /etc/ipsec.d/certs/client.cert.pem в домашнюю папку
Записать на токен файлы с закрытым ключом и сертификатом клиента.
Для примера, команды для РУтокена (TODO: поменять аргументы на длинные):
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert --id 45 -w ./client.cert.pem
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y privkey --id 45 -w ./client.key.pem
2))))
3)))) TODO - токен!!!!!!
(Настроить доступ по сертикату на клиенте) указать местоположение закрытого ключа strongSwan-сервера в файле /etc/ipsec.secrets:
: RSA "/etc/ipsec.d/private/client.key.pem"
Настроить strongSwan-клиента, разместив в файле /etc/ipsec.conf:
config setup
#charondebug="all"
charondebug= ike 4, cfg 2
## uniqueids=no
conn client
type=tunnel
auto=start
keyexchange=ikev2
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
# left=${MY_HOST_IP}
leftsourceip=%config
leftauth=pubkey
leftcert=/home/user/client.cert.pem
right=${PEER_HOST_IP}
rightid=${PEER_HOST_IP}
## rightsubnet=0.0.0.0/0
rightauth=pubkey
# keyingtries=%forever
# ikelifetime=28800s
# lifetime=3600s
# dpddelay=30s
# dpdtimeout=120s
# dpdaction=restart
eap_identity=%identity