Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8).

Введение

strongSwan – это программное обеспечение для создания виртуальной частной сети (VPN) на основе IPsec-протокола. Домашняя страница ПО: https://strongswan.org/.


Используется двухфакторная аутентификации пользователя:


Общая статья по работе с токенами: Ключевые носители (токены) PKCS в Astra Linux.




Настройка сети

На серверном и клиентском узлах:

  1. Разрешить пересылку сетевых пакетов:

    cat << EOF | sudo tee /etc/sysctl.d/10-net-forward.conf >/dev/null
    net.ipv4.ip_forward=1
    net.ipv6.conf.all.forwarding=1
    net.ipv4.conf.all.accept_redirects = 0
    net.ipv4.conf.all.send_redirects = 0
    net.ipv6.conf.all.accept_redirects = 0
    net.ipv6.conf.all.send_redirects = 0
    EOF
    sudo sysctl --system

Создание удостоверяющего центра и сертификатов

Все сертификаты создаются и хранятся в удостоверяющем центре (УЦ), в качестве которого может использоваться любой компьютер. 

Первым создаётся самоподписанный сертификат УЦ. Затем с помощью сертификата УЦ создаются сертификаты для сервера и клиента. Созданные сертификаты и ключи копируются в определённые каталоги на сервере и клиенте.

Далее рассматривается вариант создания УЦ непосредственно на сервере в подкаталогах каталога /etc/ipsec.d/:

  1. Установить программы для работы с сертификатами:

    sudo apt install strongswan strongswan-pki libtss2-tcti-tabrmd0

  2. Создать для удостоверяющего центра закрытый ключ ca.key.pem и самоподписанный сертификат ca.cert.pem:

    pki --gen --size 4096 --type rsa --outform pem \
      | sudo tee /etc/ipsec.d/private/ca.key.pem

    sudo pki --self --ca --in /etc/ipsec.d/private/ca.key.pem --type rsa --dn "CN=CA" --lifetime 3650 --outform pem \
      | sudo tee /etc/ipsec.d/cacerts/ca.cert.pem

  3. Создать для сервера закрытый ключ server.key.pem и сертификат server.cert.pem:

    pki --gen --size 4096 --type rsa --outform pem \
      | sudo tee /etc/ipsec.d/private/server.key.pem

    sudo pki --pub --in /etc/ipsec.d/private/server.key.pem --type rsa \
      | sudo pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem \
          --dn "CN=<IP-адрес_сервера>" --san "<IP-адрес_сервера>" --flag serverAuth --flag ikeIntermediate --outform pem \
      | sudo tee /etc/ipsec.d/certs/server.cert.pem

    где <IP-адрес_сервера> – IP-адрес strongSwan-сервера.

  4. Создать для клиента закрытый ключ client.key.pem и сертификат client.cert.pem:

    pki --gen --size 4096 --type rsa --outform pem \
      | sudo tee /etc/ipsec.d/private/client.key.pem

    sudo pki --pub --in /etc/ipsec.d/private/client.key.pem --type rsa \
      | sudo pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem \
          --dn "CN=<IP-адрес_клиента>" --san "<IP-адрес_клиента>" --flag clientAuth --flag ikeIntermediate --outform pem \
      | sudo tee /etc/ipsec.d/certs/client.cert.pem

    где <IP-адрес_клиента> – IP-адрес strongSwan-клиента.

Настройка VPN-сервера

На серверном узле:

  1. Установить пакеты с strongSwan:

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Если УЦ был создан на сервере с помощью команд из раздела "Создание удостоверяющего центра и сертификатов", то сертификаты уже расположены в нужном месте, и этот пункт не надо выполнять.
    Скопировать из УЦ на серверный узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - server.cert.pem (сертификат сервера) в каталог /etc/ipsec.d/certs/;
      - server.key.pem (закрытый ключ сервера) в каталог /etc/ipsec.d/private/.
  3. Настроить strongSwan-сервер на использование закрытого ключа сервера.
    Для этого в файле /etc/ipsec.secrets указать строку с путём до закрытого ключа сервера:
    : RSA "/etc/ipsec.d/private/server.key.pem"
  4. Задать настройки strongSwan-сервера в файле /etc/ipsec.conf:
    config setup
        #charondebug="all"
        charondebug= ike 4, cfg 2
##         uniqueids=no
conn server
        type=tunnel
        auto=add
        keyexchange=ikev2
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!

#        left=${MY_HOST_IP}
    left=%any
        leftid=${MY_HOST_IP}
        leftcert=server.cert.pem
# # #  leftsubnet=10.1.1.0/24
        leftauth=pubkey
#    leftsendcert=always

        rightsourceip=10.1.1.0/24
        rightauth=pubkey
        right=%any
        rightid=%any
#    rightdns=8.8.8.8,8.8.4.4
#    rightsendcert=always

        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
#        dpddelay=30s
        dpdtimeout=120s
#        dpdaction=restart

    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no

    eap_identity=%identity
    где
      - <IP-адрес_сервера> – IP-адрес серверного узла;
      - <Подсеть_виртуальных_IP-адресов_для_клиентов> – . Например, 10.1.1.0/24

  5. Перезапустить strongSwan-сервер для применения настроек:

    sudo ipsec restart

Настройка VPN-клиента

Настройка strongSwan-клиента

На клиентском узле:

  1. Установить пакеты с strongSwan:

    sudo apt install strongswan libstrongswan-extra-plugins

  2. Скопировать из УЦ на клиентский узел:
      - ca.cert.pem (сертификат УЦ) в каталог /etc/ipsec.d/cacerts/;
      - client.cert.pem (сертификат пользователя) и client.key.pem (закрытый ключ пользователя) в домашний каталог пользователя.
  3. Задать настройки strongSwan-клиента в файле /etc/ipsec.conf:
    config setup
        #charondebug="all"
        charondebug= ike 4, cfg 2
##     uniqueids=no
conn client
        type=tunnel
        auto=start
        keyexchange=ikev2
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!

#   left=${MY_HOST_IP}
        leftsourceip=%config
        leftauth=pubkey
        leftcert=%smartcard0@rutoken:45
#        leftcert=/home/user/client.cert.pem
   leftsubnet=10.1.1.0/24

        right=${PEER_HOST_IP}
     rightid=${PEER_HOST_IP}
##     rightsubnet=0.0.0.0/0
         rightauth=pubkey
   rightsubnet=10.1.1.0/24

#        keyingtries=%forever
#        ikelifetime=28800s
#        lifetime=3600s
#        dpddelay=30s
#        dpdtimeout=120s
#        dpdaction=restart

    eap_identity=%identity
    где
      -  <IP-адрес_сервера> – IP-адрес серверного узла.

Настройка использования ключевого носителя (токена) в качестве второго фактора аутентификации

Предполагается, что на клиентском узле настроен единый доступ к ключевым носителям разных производителей (см. статью).

Общая информация по работе с ключевыми носителями дана в статье "Ключевые носители (токены) PKCS в Astra Linux".


  1. Подключить ключевой носитель к клиентскому узлу.
  2. Записать на ключевой носитель сертификат и закрытый ключ клиента:

    p11tool --login --write --load-certificate="<путь_к_клиентскому_сертификату>" --id=<идентификатор_объекта> --label="<название_объекта>"

    p11tool --login --write --load-privkey="<путь_к_клиентскому_закрытому_ключу>" --id=<идентификатор_объекта> --label="<название_объекта>"

    где
      - <идентификатор_объекта> – идентификатор, с которым сертификат и ключ будут храниться на токене;
      - <название_объекта> – название, с которым сертификат и ключ будут храниться на токене.

    Пример команд:

    p11tool --login --write --load-certificate="client.cert.pem" --id=45 --label="mykey"

    p11tool --login --write --load-privkey="client.key.pem" --id=45 --label="mykey"

  3. Включить поддержку токенов в strongSwan.
    Для этого в файле /etc/strongswan.d/charon/pkcs11.conf в секции modules указать произвольное название модуля и путь до интерфейсной библиотеки используемого токена:
    pkcs11 {

    # Whether to load the plugin. Can also be an integer to increase the
    # priority of this plugin.
    load = yes

    ...

    # List of available PKCS#11 modules.
    modules {
        <название_модуля> {
            path = <путь_к_интерфейсной_библиотеке_токена>
        }
    }
}
    Например, для Рутокена файл /etc/strongswan.d/charon/pkcs11.conf может выглядеть так:
    pkcs11 {
  load = yes

  modules {
    rutoken {
      path = /usr/lib/librtpkcs11ecp.so
    }
  }
}
  4. Настроить strongSwan на использование закрытого ключа клиента, который находится на токене.
    Для этого в файле /etc/ipsec.secrets указать строку с описанием токена и закрытого ключа:
    : PIN <токен_и_закрытый_ключ> <pin-код_токена>
    где
      - <токен_и_закрытый_ключ> – задаются по формату: %smartcard[<номер_слота_с_токеном>[@<название_модуля>]]:<идентификатор_объекта>
      - <название_модуля> – вышезаданное в настройках название модуля;
      - <идентификатор_объекта> – идентификатор закрытого ключа, хранящегося на токене.

    Пример описания для вышеприведённого Рутокена:
    : PIN %smartcard0@rutoken:45 12345678
  5. Перезапустить strongSwan для применения настроек:

    sudo ipsec restart