У меня возникли проблемы с настройкой клиента StrongSwan на Ubuntu.
Вот шаги, которым я следую:
Экспорт сертификата пользователя:
openssl pkcs12 -in [email protected] -out username-cert.pem -clcerts -nokeys
Экспортировать закрытый ключ пользователя:
openssl pkcs12 -in [email protected] -out username-key.pem -nocerts -nodes
Переименовать сертификат ЦС:
mv cert_export_CA.crt cacert.pem
Скопируйте сертификаты и файлы ключей в соответствующие каталоги:
cp имя_пользователя-cert.pem /etc/ipsec.d/certs
cp имя пользователя-ключ.pem /etc/ipsec.d/private
cp cacert.pem /etc/ipsec.d/cacerts
Отредактируйте файл /etc/ipsec.conf:
подключение% по умолчанию
ikelifetime=60м
ключевой жизни=20м
rekeymargin=3м
попытки ввода = 1
обмен ключами=ikev2
соединение "ДОМЕН"
leftsourceip=%config
leftcert=имя пользователя-cert.pem
leftid=имя пользователя@домен.com
левый брандмауэр = да
справа = vpn.domain.com
правильный идентификатор = cvpn.domain.com
правая подсеть = 0.0.0.0/0
авто=старт
Отредактируйте файл /etc/ipsec.secrets:
: RSA username-key.pem "фраза-пароль"
Перезапустите демон ipsec:
перезапуск sudo ipsec
Проверьте, установлено ли соединение:
статус sudo ipsec
возвращает: Ассоциации безопасности (0 вверх, 0 соединение):
никто
IP а
возвращает:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
ссылка/петля 00:00:00:00:00:00 брд 00:00:00:00:00:00
инет 127.0.0.1/8 область хоста lo
valid_lft навсегда
inet6 :: 1/128 узел области видимости
valid_lft навсегда
2: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel состояние DOWN группа по умолчанию qlen 1000
ссылка/эфир 8c:8c:aa:49:56:b0 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
ссылка/эфир b0:a4:60:d9:2c:a4 brd ff:ff:ff:ff:ff:ff
inet <ip>/24 brd <ip> область глобальная динамическая noprefixroute wlp3s0
valid_lft 168 сек. selected_lft 168 сек.
inet6 <ip>/64 ссылка на область видимости noprefixroute
valid_lft навсегда
Это означает, что я не могу подключиться.
Когда я запускаю ipsec up DOMAIN, я получаю этот вывод:
инициация IKE_SA DOMAIN[2] на xxx.xxx.xxx.xxx
генерация запроса IKE_SA_INIT 0 [SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP)]
отправка пакета: от xxx.xxx.xxx.xxx[500] до xxx.xxx.xxx.xxx[500] (936 байт)
полученный пакет: от xxx.xxx.xxx.xxx[500] до xxx.xxx.xxx.xxx[500] (38 байт)
проанализированный ответ IKE_SA_INIT 0 [ N (INVAL_KE) ]
одноранговый узел не принял группу DH ECP_256, он запросил MODP_2048
инициация IKE_SA DOMAIN[2] на xxx.xxx.xxx.xxx
генерация запроса IKE_SA_INIT 0 [SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP)]
отправка пакета: от xxx.xxx.xxx.xxx[500] до xxx.xxx.xxx.xxx[500] (1128 байт)
полученный пакет: от 1xxx.xxx.xxx.xxx[500] до xxx.xxx.xxx.xxx[500] (437 байт)
проанализированный ответ IKE_SA_INIT 0 [SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) CERTREQ]
выбранное предложение: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
отправка запроса сертификата для "O=domain.com, CN=vpn.domain.com"
аутентификация '[email protected]' (я) с подписью RSA прошла успешно
отправка сертификата конечного объекта "O=domain.com, CN=Template-User"
создание домена CHILD_SA{2}
генерация запроса IKE_AUTH 1 [IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP)]
разделение сообщения IKE (1536 байт) на 2 фрагмента
генерация запроса IKE_AUTH 1 [EF(1/2)]
генерация запроса IKE_AUTH 1 [EF(2/2)]
отправка пакета: от xxx.xxx.xxx.xxx[4500] до xxx.xxx.xxx.xxx[4500] (1236 байт)
отправка пакета: от xxx.xxx.xxx.xxx[4500] до xxx.xxx.xxx.xxx[4500] (372 байта)
полученный пакет: от xxx.xxx.xxx.xxx[4500] до xxx.xxx.xxx.xxx[4500] (1204 байта)
проанализированный ответ IKE_AUTH 1 [EF(1/2)]
получен фрагмент № 1 из 2, ожидание полного сообщения IKE
полученный пакет: от xxx.xxx.xxx.xxx[4500] до xxx.xxx.xxx.xxx[4500] (564 байта)
проанализированный ответ IKE_AUTH 1 [EF(2/2)]
получен фрагмент № 2 из 2, повторно собранное фрагментированное сообщение IKE (1408 байт)
проанализированный ответ IKE_AUTH 1 [ CERT IDr AUTH CPRP (ADDR MASK SUBNET) TSi TSr SA ]
получен сертификат конечного объекта "O=domain.com, CN=vpn.domain.com"
используя доверенный сертификат "O=domain.com, CN=vpn.domain.com"
проверка подписи не удалась, ищу другой ключ
используя сертификат "O=domain.com, CN=vpn.domain.com"
с использованием доверенного сертификата CA "O=domain.com, CN=vpn.domain.com"
проверка статуса сертификата "O=domain.com, CN=vpn.domain.com"
статус сертификата недоступен
достигнут самоподписанный корень ca с длиной пути 0
аутентификация 'vpn.domain.com' с подписью RSA прошла успешно
проверка ограничения не удалась: требуется идентификатор «cvpn.domain.com»
выбранная одноранговая конфигурация «ДОМЕН» неприемлема: проверка ограничения не удалась
альтернативный конфиг не найден
генерация ИНФОРМАЦИОННОГО запроса 2 [ N(AUTH_FAILED) ]
отправка пакета: от xxx.xxx.xxx.xxx[4500] до xxx.xxx.xxx.xxx[4500] (80 байт)
не удалось установить соединение "ДОМЕН"