Хвостат Хвостатыч (hvostat_hvostat) wrote,
Хвостат Хвостатыч
hvostat_hvostat

"Centos, StrongSwan и сертификаты"

Задача:
Построить защищенный канал связи IPsec типа "route-based". С аутентификацией по сертификатам X.509 на CentOS.

Решение:


0) Устанавливаем StrongSwan
1) Заполучаем X.509-сертификат для хоста а также CA-сертификат.
Сертификат хоста должен быть в виде двух файлов: host-cert.crt host-key.key
Отдельно СА-сертификат: ca-cert.crt

2) Файлы сертификатов и ключа размещаем в соответствующие папки:
/etc/strongswan/ipsec.d/cacerts
/etc/strongswan/ipsec.d/certs
/etc/strongswan/ipsec.d/private

3) Правим файл ipsec.secrets, дописываем строку:
: RSA host-key.key

4) Перечитываем ключи командой:
strongswan rereadsecrets

5) Правим ipsec.conf. Записываем туда примерно следующее:


Обратите внимание: в rightid надо добавлять всю строку "subject" целиком.

6) Правим strongswan.conf. Добавляем строку:
install_routes = no

9) Настраиваем роутинг и интерфейсы:
Для примера: локальный IP-адрес 1.2.3.4, удаленный 2.3.4.5. Удаленная подсеть 192.168.313.0/24.
Нюанс: безадресные тоннельные интерфейсы (в отличие от Juniper), насколько я смог выяснить после раскуривания мануалов и проведения экспериментов -
НЕ поддерживаются.
IP-адрес тоннельного интерфейса ip_vti1 может быть ЛЮБЫМ частным IP-адресом.

ip tunnel add ip_vti1 local 1.2.3.4 remote 2.3.4.5 mode vti key 42
ip link set mtu 1365 dev ip_vti1
sysctl -w net.ipv4.conf.ip_vti1.disable_policy=1
ip addr add 172.16.1.1/32 dev ip_vti1
ip link set ip_vti1 up
route add -net 192.168.313.0/24 dev ip_vti1

10) Стартуем:
systemctl start strongswan

11) "Прибиваем гвоздями":
systemctl enable strongswan

12) Настраиваем и стартуем IPsec с "противоположной" стороны.

13) Проверяем, как ходят пакеты.

14) На основе п.9 пишем юнит systemd:
...
[Unit]
Description=ip_vti1 tunnel if start.
After=network.target strongswan.service
...

15) ???

16) PROFIT !!!



__
Tags: centos, ipsec, linux, strongswan, x.509
Subscribe

  • "Stayin' alive!"

    По коридору бежал Мюллер. Штирлиц прижался к стене. Мюллер, совершенно не обращая внимания на Штирлица, пробежал мимо. - Пронесло! - подумал…

  • "Цыска - альтруиска"

    В эфире наша постоянная рубрика "ВПП" - ВладПоделилсяПрекрасным. Далее цитирую с примечаниями: Мы в офис провели нового провайдера. Прямая опта.…

  • "Закат солнца вручную. Метод отечественный, программный."

    Поступила задача - установить некую отечественную софтину. По заявлению производителя - "СТАВИЦЦА АДНИМ КЛИКАМ!!!11" (смех в зале) Как говорил…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments