Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision | Last revisionBoth sides next revision | ||
linux_faq:ubuntu_18.04_setup_strongswan [2019/03/11 10:05] – [/etc/ipsec.conf] admin | linux_faq:ubuntu_18.04_setup_strongswan [2019/03/11 11:07] – [Не подключается] admin | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== Задача ====== | ||
+ | Настроить **IPSec VPN** сервер для подключения **Windows**-клиентов. | ||
+ | ====== Решение ====== | ||
+ | Решение по мотивам https:// | ||
+ | ===== Ставим софт ===== | ||
+ | < | ||
+ | sudo apt-get update && sudo apt-get upgrade | ||
+ | |||
+ | sudo apt-get install strongswan certbot libcharon-extra-plugins | ||
+ | </ | ||
+ | |||
+ | ===== Настраиваем firewall ===== | ||
+ | < | ||
+ | sudo ufw allow OpenSSH | ||
+ | sudo ufw allow http | ||
+ | sudo ufw allow https | ||
+ | sudo ufw allow 500, | ||
+ | |||
+ | sudo ufw enable | ||
+ | </ | ||
+ | ===== Получаем сертификат ===== | ||
+ | sudo certbot certonly --rsa-key-size 4096 --standalone --agree-tos --no-eff-email --email mikhail@xc360.ru -d testprivate.xc360.ru | ||
+ | копируем его в конфигурацию **ipsec** | ||
+ | sudo cp / | ||
+ | sudo cp / | ||
+ | sudo cp / | ||
+ | |||
+ | ===== Конфигурация сервера IPSec ===== | ||
+ | sudo mv / | ||
+ | | ||
+ | ==== / | ||
+ | https:// | ||
+ | < | ||
+ | #global configuration IPsec | ||
+ | #chron logger | ||
+ | config setup | ||
+ | # charondebug=" | ||
+ | # uniqueids=no | ||
+ | | ||
+ | |||
+ | conn %default | ||
+ | keyexchange=ikev2 | ||
+ | ike=aes128-sha1-modp1024, | ||
+ | esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024, | ||
+ | dpdaction=clear | ||
+ | dpddelay=300s | ||
+ | rekey=no | ||
+ | |||
+ | conn win7 | ||
+ | left=%any | ||
+ | leftsubnet=0.0.0.0/ | ||
+ | leftauth=pubkey | ||
+ | leftcert=fullchain.pem | ||
+ | leftid=@testprivate.xc360.ru | ||
+ | right=%any | ||
+ | rightsourceip=10.10.10.0/ | ||
+ | rightauth=eap-mschapv2 | ||
+ | # | ||
+ | eap_identity=%identity | ||
+ | auto=add | ||
+ | </ | ||
+ | |||
+ | ==== Прописываем пользователей - / | ||
+ | |||
+ | : RSA " | ||
+ | user : EAP " | ||
+ | |||
+ | ====== Выдаем клиентам DNS и WINS серверы ====== | ||
+ | **/ | ||
+ | < | ||
+ | charon { | ||
+ | dns1 = 4.2.2.4 | ||
+ | dns2 = 8.8.8.8 | ||
+ | } | ||
+ | </ | ||
+ | **/ | ||
+ | < | ||
+ | charon { | ||
+ | nbns1 = 10.10.1.1 | ||
+ | nbns2 = 10.10.0.1 | ||
+ | } | ||
+ | </ | ||
+ | ====== Контролируем работу ====== | ||
+ | sudo tail -f / | ||
+ | |||
+ | ====== Проблемы ====== | ||
+ | ===== подключение только со второй попытки ===== | ||
+ | https:// | ||
+ | Если при первой попытке подключения Windows-клиент сообщает, | ||
+ | < | ||
+ | user charon: 11[ENC] parsed IKE_AUTH request 2 [ EAP/ | ||
+ | user charon: 11[IKE] EAP-MS-CHAPv2 username: ' | ||
+ | user charon: 11[IKE] no EAP key found for hosts ' | ||
+ | user charon: 11[IKE] EAP-MS-CHAPv2 verification failed, retry (1) | ||
+ | </ | ||
+ | значит нужно установить **libcharon-extra-plugins**, | ||
+ | eap_identity=%identity | ||
+ | |||
+ | ===== Не подключается ===== | ||
+ | В логах сервера такое: | ||
+ | user charon: 07[IKE] received proposals inacceptable | ||
+ | Это значит, | ||
+ | ike=... | ||
+ | esp=... | ||
+ | в них прописаны разрешенные алгоритмы шифрования |