Хвостат Хвостатыч (hvostat_hvostat) wrote,
Хвостат Хвостатыч
hvostat_hvostat

"Centos, StrongSwan и сертификаты"

Задача:
Построить защищенный канал связи IPsec типа "route-based". С аутентификацией по сертификатам X.509 на CentOS.

Решение:


0) Устанавливаем StrongSwan
1) Заполучаем X.509-сертификат для хоста а также CA-сертификат.
Сертификат хоста должен быть в виде двух файлов: host-cert.crt host-key.key
Отдельно СА-сертификат: ca-cert.crt

2) Файлы сертификатов и ключа размещаем в соответствующие папки:
/etc/strongswan/ipsec.d/cacerts
/etc/strongswan/ipsec.d/certs
/etc/strongswan/ipsec.d/private

3) Правим файл ipsec.secrets, дописываем строку:
: RSA host-key.key

4) Перечитываем ключи командой:
strongswan rereadsecrets

5) Правим ipsec.conf. Записываем туда примерно следующее:


Обратите внимание: в rightid надо добавлять всю строку "subject" целиком.

6) Правим strongswan.conf. Добавляем строку:
install_routes = no

9) Настраиваем роутинг и интерфейсы:
Для примера: локальный IP-адрес 1.2.3.4, удаленный 2.3.4.5. Удаленная подсеть 192.168.313.0/24.
Нюанс: безадресные тоннельные интерфейсы (в отличие от Juniper), насколько я смог выяснить после раскуривания мануалов и проведения экспериментов -
НЕ поддерживаются.
IP-адрес тоннельного интерфейса ip_vti1 может быть ЛЮБЫМ частным IP-адресом.

ip tunnel add ip_vti1 local 1.2.3.4 remote 2.3.4.5 mode vti key 42
ip link set mtu 1365 dev ip_vti1
sysctl -w net.ipv4.conf.ip_vti1.disable_policy=1
ip addr add 172.16.1.1/32 dev ip_vti1
ip link set ip_vti1 up
route add -net 192.168.313.0/24 dev ip_vti1

10) Стартуем:
systemctl start strongswan

11) "Прибиваем гвоздями":
systemctl enable strongswan

12) Настраиваем и стартуем IPsec с "противоположной" стороны.

13) Проверяем, как ходят пакеты.

14) На основе п.9 пишем юнит systemd:
...
[Unit]
Description=ip_vti1 tunnel if start.
After=network.target strongswan.service
...

15) ???

16) PROFIT !!!



__
Tags: centos, ipsec, linux, strongswan, x.509
Subscribe

  • "Неверный пароль при импорте *.pfx"

    Проблема: При попытке импортировать свежеэкспортированный файл сертификата PFX, получаем отлуп "неверный пароль". При этом имеется уверенность,…

  • "Ура, ура, в RDP дыра: BlueKeep-2"

    Коллеги, недоброе утро! Тут в RDP очередная уязвимость образовалась: CVE-2019-1182 Уязвимость ОЧЕНЬ серьезная - "Remote Code Execution" Уязвимы…

  • "Веселые обновляшки: первый - пошел!"

    Да!!! Я знал, что это рано или поздно произойдет! Вот тут, чуть меньше года назад я писал, что "десятка" научилась апдейтить UEFI и чем это опасно.…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments