Get best of the week

IPSec рд╕рд░реНрд╡рд╢рдХреНрддрд┐рдорд╛рди

рд╢реБрдн рджреЛрдкрд╣рд░ рдорд┐рддреНрд░реЛрдВред рдпрд╣ рдХреЛрдИ рд░рд╣рд╕реНрдп рдирд╣реАрдВ рд╣реИ рдХрд┐ рд╣рдо рдореЗрдВ рд╕реЗ рдмрд╣реБрдд рд╕реЗ рд▓реЛрдЧ рдХрдо рд╕реЗ рдХрдо рдПрдХ рдмрд╛рд░ рд╣реИрдВ, рд▓реЗрдХрд┐рди рд╡реАрдкреАрдПрди рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╕реЗ рдирд┐рдкрдЯрдирд╛ рдкрдбрд╝рд╛ рд╣реИред рд╣реИрдмрд░ рдХреЗ рдПрдХ рд╕рдХреНрд░рд┐рдп рдкрд╛рдардХ рд╣реЛрдиреЗ рдХреЗ рдирд╛рддреЗ, рдореИрдВрдиреЗ рджреЗрдЦрд╛ рдХрд┐ IPSec рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд▓реЗрдЦреЛрдВ рдХреА рдкреНрд░рдЪреБрд░рддрд╛ рдХреЗ рдмрд╛рд╡рдЬреВрдж, рдХрдИ рд▓реЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдпрд╣ рдЕрднреА рднреА рдХреБрдЫ рдЬрдЯрд┐рд▓ рдФрд░ рдЕрддрд┐рднрд╛рд░рд┐рдд рд▓рдЧрддрд╛ рд╣реИред рдЗрд╕ рд▓реЗрдЦ рдореЗрдВ рдореИрдВ рдПрдХ рдЙрджрд╛рд╣рд░рдг рдХреЗ рд░реВрдк рдореЗрдВ рдЕрдкрдиреЗ рд╕реНрд╡рдпрдВ рдХреЗ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдХрд╛рдо рдХрд░ рд░рд╣реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЗрди рдорд┐рдердХреЛрдВ рдХреЛ рджреВрд░ рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реВрдВрдЧрд╛ред рдЪрд╛рд░ рдЙрджрд╛рд╣рд░рдгреЛрдВ рдореЗрдВ, рд╣рдо рдкреВрд░реА рддрд░рд╣ рд╕реЗ рд╕рдмрд╕реЗ рд▓реЛрдХрдкреНрд░рд┐рдп рд▓рд┐рдирдХреНрд╕ (рд╕реНрдЯреНрд░реЙрдиреНрдЧреЗрд╡рд╛рди) рд╕рдорд╛рдзрд╛рди рдХреЗ рд╡рд┐рдиреНрдпрд╛рд╕ рд╕реЗ рдЧреБрдЬрд░реЗрдВрдЧреЗ, рдПрдХ рд╕рд╛рдзрд╛рд░рдг рд╕реБрд░рдВрдЧ рд╕реЗ рдЬрд┐рд╕рдореЗрдВ рдкреАрдПрд╕рдХреЗ рдХреБрдВрдЬреА рдХреЗ рд╕рд╛рде рд╕рд╛рдЗрдб-рдСрдереЗрдВрдЯрд┐рдХреЗрд╢рди рдХреЗ рд╕рд╛рде рдПрдХ рд╣реЛрд╕реНрдЯ-рдЯреВ-рд╣реЛрд╕реНрдЯ рдХрдиреЗрдХреНрд╢рди рд╣реИ рдЬреЛ рд▓реЗрдЯреНрд╕ рдПрдирдХреНрд░рд┐рдкреНрдЯ рд╕реЗ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рджреЛрдиреЛрдВ рдкрдХреНрд╖реЛрдВ рдХреЗ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд╕рд╛рде рд╣реИред рджрд┐рд▓рдЪрд╕реНрдк? рдмрд┐рд▓реНрд▓реА рдХреЗ рд▓рд┐рдП рдЖрдкрдХрд╛ рд╕реНрд╡рд╛рдЧрдд рд╣реИ!

рдкреГрд╖реНрдарднреВрдорд┐


рдкреНрд░рд╛рд░рдВрдн рдореЗрдВ, рд╡реАрдкреАрдПрди рдХреЛ рдХреЗрд╡рд▓ рдорд╛рддрд╛-рдкрд┐рддрд╛ рдФрд░ рдШрд░ рдХреЗ "рдмреЗрдбрд╕рд╛рдЗрдб" рд╕рд░реНрд╡рд░ рдХреЗ рдорд┐рдиреА-рд░рд╛рдЙрдЯрд░ рдХреЗ рдмреАрдЪ рдЪреИрдирд▓ рдХреЗ рд╕рдВрдЧрдарди рдХреЗ рд▓рд┐рдП рдпреЛрдЬрдирд╛рдмрджреНрдз рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛, рдЬреЛ рд╕рдорд╡рд░реНрддреА рд░реВрдк рд╕реЗ рдПрдХ рд░рд╛рдЙрдЯрд░ рдХреЗ рд░реВрдк рдореЗрдВ рдХрд╛рд░реНрдп рдХрд░рддрд╛ рд╣реИред

рдереЛрдбрд╝реЗ рд╕рдордп рдХреЗ рдмрд╛рдж, рджреЛ рдЙрдкрдХрд░рдгреЛрдВ рд╕реЗ рдЗрд╕ рдХрдВрдкрдиреА рдореЗрдВ рдХреАрдиреЗрдЯрд┐рдХ рдХреЛ рдЬреЛрдбрд╝рд╛ рдЧрдпрд╛ред
рд▓реЗрдХрд┐рди рдПрдХ рдмрд╛рд░ рд╢реБрд░реВ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдЗрд╕реЗ рд░реЛрдХрдирд╛ рдореБрд╢реНрдХрд┐рд▓ рд╣реЛ рдЧрдпрд╛, рдФрд░ рдЬрд▓реНрдж рд╣реА рдлреЛрди рдФрд░ рдПрдХ рд▓реИрдкрдЯреЙрдк рдЖрд░реЗрдЦ рдкрд░ рджрд┐рдЦрд╛рдИ рджрд┐рдпрд╛, рдЬреЛ MT_Free рдФрд░ рдЕрдиреНрдп рдЕрдирдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд╡рд╛рдИрдлрд╛рдИ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд╕рднреА-рджреЗрдЦрдиреЗ рд╡рд╛рд▓реЗ рд╡рд┐рдЬреНрдЮрд╛рдкрди рдЖрдВрдЦ рд╕реЗ рдЫрд┐рдкрд╛рдирд╛ рдЪрд╛рд╣рддреЗ рдереЗред

рддрдм рдкреНрдпрд╛рд░реЗ рдЖрдИрдПрд▓рд╡реА рдХреЛ рдЖрдЦрд┐рд░рдХрд╛рд░ рдмрд╛рдердореЗрд░ рдХреЛ рдФрд░ рдЕрдзрд┐рдХ рдордЬрдмреВрдд рдХрд┐рдпрд╛ рдЧрдпрд╛, рдЬрд┐рд╕реЗ рд╡рд╣ рдЕрд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рд░реВрдк рд╕реЗ рд╕рднреА рджрд┐рд╢рд╛рдУрдВ рдореЗрдВ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рд░реВрдк рд╕реЗ рдЭреВрд▓рддреЗ рд╣реБрдП рдкреНрдпрд╛рд░ рдореЗрдВ рдЧрд┐рд░ рдЧрдпрд╛, рдФрд░ рдХреЗрд╡рд▓ рдирд╢реНрд╡рд░ рд▓реЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдЕрдкрдиреА рдЪрд┐рдВрддрд╛ рдХреЛ рдмреЗрдЕрд╕рд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЙрдиреНрд╣реЗрдВ рд╡рд┐рджреЗрд╢ рдореЗрдВ рд╡реАрдкреАрдПрд╕ рд╣рд╛рд╕рд┐рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╡рд┐рджреЗрд╢реА рдЖрдИрдЯреА рдХреНрд╖реЗрддреНрд░ рдХрд╛ рд╕рдорд░реНрдерди рдХрд░рдирд╛ рдкрдбрд╝рд╛ ред
рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдПрдХ рдирд┐рд╢реНрдЪрд┐рдд рдирд╛рдЧрд░рд┐рдХ рдЬреЛ рд╢рд╛рдкреЛрдХрд┐рд▓рдХ рдХреА рддрд░рд╣ рджрд┐рдЦрддрд╛ рд╣реИ, рдкреИрдХреЗрдЬ рджреНрд╡рд╛рд░рд╛ рдЙрд╕рдХреЗ рд░реЗрдЯрд┐рдХреБрд▓ рдХреЗ рд╕рд╛рде рд╣рд░ рдЬрдЧрд╣ рдШреВрдо рд░рд╣рд╛ рд╣реИ , рдФрд░ рд╢рд╛рдпрдж рдпрд╣ рд╡рд┐рд╢реНрд╡рд╛рд╕ рдХрд░рддрд╛ рд╣реИ рдХрд┐ "рдХреМрди рд▓реЛрдЧреЛрдВ рдХреА рдорджрдж рдХрд░рддрд╛ рд╣реИ, рд╕рдордп рдмрд░реНрдмрд╛рдж рдХрд░ рд░рд╣рд╛ рд╣реИред рдЖрдк рдЕрдЪреНрдЫреЗ рдХрд╛рдореЛрдВ рдХреЗ рд▓рд┐рдП рдкреНрд░рд╕рд┐рджреНрдз рдирд╣реАрдВ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ, тАЬрдореИрдВ рдЪреБрдкрдХреЗ рд╕реЗ рдХрд┐рд╕реА рдФрд░ рдХреЗ рдЯреНрд░реИрдлрд╝рд┐рдХ рдореЗрдВ рдЭрд╛рдВрдХрдирд╛ рдЪрд╛рд╣рддрд╛ рдерд╛ рдФрд░ рдЙрд╕реЗ рдкреЗрдВрд╕рд┐рд▓ рдореЗрдВ рд▓реЗ рдЬрд╛рдирд╛ рдЪрд╛рд╣рддрд╛ рдерд╛ред рд╣рдореЗрдВ рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ рдЗрд╕ рддрд░рд╣ рдХреЗ рдЕрдирдЪрд╛рд╣реЗ рдкреНрдпрд╛рд░ рдФрд░ рд╡реАрдкреАрдПрди рдХреЗ рдЦрд┐рд▓рд╛рдл рдЦреБрдж рдХрд╛ рдмрдЪрд╛рд╡ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред

рд╕рдВрдХреНрд╖реЗрдк рдореЗрдВ рд╕рдВрдХреНрд╖реЗрдк рдореЗрдВ рдмрддрд╛рдПрдВред рдпрд╣ рдПрдХ рд╕рдорд╛рдзрд╛рди рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рдерд╛ рдЬреЛ рдЖрджрд░реНрд╢ рд░реВрдк рд╕реЗ рдПрдХ рд╕рд╛рде рдХрдИ рдХрд╛рд░реНрдпреЛрдВ рдХреЛ рдмрдВрдж рдХрд░ рд╕рдХреЗ:

  • рд▓рд┐рдирдХреНрд╕ рд░рд╛рдЙрдЯрд░ рдХреЗ рдмреАрдЪ рдЗрдВрдЯрд░рдХрдиреЗрдХреНрдЯ
  • рд▓рд┐рдирдХреНрд╕ рдФрд░ рдХреАрдиреЗрдЯрд┐рдХ рдШрд░реЗрд▓реВ рдХреЗ рдмреАрдЪ рдПрдХ рд╕реБрд░рдВрдЧ рдХрд╛ рдирд┐рд░реНрдорд╛рдг
  • рдЕрд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рд╕рдВрд╕рд╛рдзрдиреЛрдВ рд╕реЗ рдШрд░ рдХреЗ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдФрд░ рдкрд╣рдирдиреЗ рдпреЛрдЧреНрдп рдЙрдкрдХрд░рдгреЛрдВ (рдЯреЗрд▓реАрдлреЛрди, рд▓реИрдкрдЯреЙрдк) рдХреЛ рдЗрдВрдЯрд░рдиреЗрдЯ рдХреА рд╕реБрд╡рд┐рдзрд╛ рджреЗрдВ
  • рджреВрд░рд╕реНрде VPS рдХреЗ рд▓рд┐рдП рд╕реБрд░рдХреНрд╖рд┐рдд рд░реВрдк рд╕реЗ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд╕реБрд░рдВрдЧ рдмрдирд╛рдПрдВ

рдЕрджреНрднреБрдд KISS рд╕рд┐рджреНрдзрд╛рдВрдд рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рднреВрд▓ рди рдХрд░реЗрдВ - рдпрд╣ рдмреЗрд╡рдХреВрдл рд╕рд░рд▓ рд░рдЦреЗрдВ,ред рдХрдо рдШрдЯрдХ рд╢рд╛рдорд┐рд▓ рд╣реЛрдВрдЧреЗ рдФрд░ рдЙрдирдореЗрдВ рд╕реЗ рдкреНрд░рддреНрдпреЗрдХ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛ рдЬрд┐рддрдирд╛ рдЖрд╕рд╛рди рд╣реЛрдЧрд╛ - рдЙрддрдирд╛ рд╣реА рд╡рд┐рд╢реНрд╡рд╕рдиреАрдпред

рдореМрдЬреВрджрд╛ рд╕рдорд╛рдзрд╛рдиреЛрдВ рдХрд╛ рдЕрд╡рд▓реЛрдХрди


рд╕рдВрдХреНрд╖реЗрдк рдореЗрдВ рдЕрдм рдХреНрдпрд╛ рд╣реИ: рд╕рднреА рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреЗ

PPTP

рджрд╛рджрд╛рдЬреА рд▓реЗрдирд┐рдиред рдорд░ рдЧрдпрд╛, "рдореЛрд▓реНрдб рдФрд░ рд▓рд┐рдВрдбрди рд╢рд╣рдж рдкрд░ рдХреНрд╖рдпред"

L2TP

рдХреНрдпрд╛ рдХреЛрдИ рднреА рд▓реЗрдХрд┐рди рдПрдХ рдкреНрд░рджрд╛рддрд╛ рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ?

рд╡рд╛рдпрд░рдЧрд╛рд░реНрдб

рдкрд░рд┐рдпреЛрдЬрдирд╛ рд╡рд┐рдХрд╕рд┐рдд рд╣реЛ рд░рд╣реА рд╣реИред рд╕рдХреНрд░рд┐рдп рд░реВрдк рд╕реЗ рдЖрд░реАред рдПрдХ рд╕реНрдерд┐рд░ рдЖрдИрдкреА рд╡рд╛рд▓реЗ рджреЛ рд╕рд╛рдерд┐рдпреЛрдВ рдХреЗ рдмреАрдЪ рдПрдХ рд╕реБрд░рдВрдЧ рдмрдирд╛рдирд╛ рдЖрд╕рд╛рди рд╣реИред рдЕрдиреНрдп рдорд╛рдорд▓реЛрдВ рдореЗрдВ, рдЪреМрдХреЛрд░ рдкрд╣рд┐рдпреЛрдВ рдХреЗ рд╕рд╛рде рдмреИрд╕рд╛рдЦреА, рд╕рд╛рдЗрдХрд┐рд▓ рдФрд░ рдПрдХ рдиреАрд▓реЗ рдмрд┐рдЬрд▓реА рдХреЗ рдЯреЗрдк рдорджрдж рдХреЗ рд▓рд┐рдП рд╣рдореЗрд╢рд╛ рддреИрдпрд╛рд░ рд░рд╣рддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдпрд╣ рд╣рдорд╛рд░рд╛ рддрд░реАрдХрд╛ рдирд╣реАрдВ рд╣реИред

OpenVPN

рдкреЗрд╢реЗрд╡рд░реЛрдВ:

  • рдХрдИ рдкреНрд▓реЗрдЯрдлрд╛рд░реНрдореЛрдВ рдХреЗ рд▓рд┐рдП рд╕рдорд░реНрдерди - рд╡рд┐рдВрдбреЛрдЬ, рд▓рд┐рдирдХреНрд╕, рдУрдкрдирдбрдмреНрд▓реНрдпреВрдЖрд░рдЯреА рдФрд░ рдЗрд╕рдХреЗ рдбреЗрд░рд┐рд╡реЗрдЯрд┐рд╡, рдПрдВрдбреНрд░реЙрдЗрдб
  • рдордЬрдмреВрдд рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдФрд░ рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрдЯ рд╕рдкреЛрд░реНрдЯред
  • рдЕрдиреБрдХреВрд▓рди рдХреА рд▓рдЪреАрд▓рд╛рдкрдиред

рдФрд░ рд╡рд┐рдкрдХреНрд╖:

  • рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдЕрдВрддрд░рд┐рдХреНрд╖ рдореЗрдВ рдХрд╛рдо рдХрд░рддреЗ рд╣реИрдВред
  • рд╣реЛрдо рд░реВрдЯрд░реНрд╕ рд╕реЗ рд╕реАрдорд┐рдд рд╕рдорд░реНрдерди - рдорд┐рдХрд░реЛрдЯрд┐рдХ (рдЧреНрд░рдВрдерд┐рдпреЛрдВ рдХреЗ рдЕрдиреНрдп рд▓рд╛рднреЛрдВ рд╕реЗ рдЕрд▓рдЧ рдХрд┐рдП рдмрд┐рдирд╛) рдкрд░ рдХреНрд░реИрдиреЗрдВрдХреЛ-рдХреЛрд╕реЗрдиреНрдХреЛ рдФрд░ рдУрдкрдирдбрдмреНрд▓реНрдпреВрдЖрд░рдЯреА рдореЗрдВ рд╕рд╛рдорд╛рдиреНрдпред
  • рдореЛрдмрд╛рдЗрд▓ рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдореЗрдВ рдХрдард┐рдирд╛рдИ: рдЖрдкрдХреЛ рдЕрдкрдиреЗ рдЗрдВрд╕реНрдЯреЙрд▓рд░ рдХреЛ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдпрд╛ рдмрдирд╛рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдХрд╣реАрдВ рди рдХрд╣реАрдВ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рдкреНрд░рддрд┐рд▓рд┐рдкрд┐ рдмрдирд╛рдПрдБред
  • рдпрджрд┐ рдХрдИ рд╕реБрд░рдВрдЧреЗрдВ рд╣реИрдВ, рддреЛ рд╕рд░реНрд╡рд░ рдкрд░ рдПрдбрд┐рдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдордб рдпреВрдирд┐рдЯреНрд╕ рдХреЗ рд╕рд╛рде рдиреГрддреНрдп рдХрд╛ рдЗрдВрддрдЬрд╛рд░ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

OpenConnect (рд╕рд┐рд╕реНрдХреЛ Anyconnect рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХрд╛ рдУрдкрди-рд╕реЛрд░реНрд╕ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди)
рдЬрд┐рд╕рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдПрдХ рдмрд╣реБрдд рд╣реА рджрд┐рд▓рдЪрд╕реНрдк рд╕рдорд╛рдзрд╛рди, рджреБрд░реНрднрд╛рдЧреНрдп рд╕реЗ, рдмрд╣реБрдд рдХрдо рдЬрд╛рдирдХрд╛рд░реА рд╣реИред

рдкреЗрд╢реЗрд╡рд░реЛрдВ:

  • рд╡рд┐рднрд┐рдиреНрди рдкреНрд▓реЗрдЯрдлрд╛рд░реНрдореЛрдВ рдХреЗ рд▓рд┐рдП рдЕрдкреЗрдХреНрд╖рд╛рдХреГрдд рд╡реНрдпрд╛рдкрдХ рд╕рдорд░реНрдерди - рд╡рд┐рдВрдбреЛрдЬ, рдПрдВрдбреНрд░реЙрдЗрдб, рдореИрдХ рдЬреЛ рд╕реНрдЯреЛрд░ рд╕реЗ рд╕рд┐рд╕реНрдХреЛ рдПрдиреАрдХреЛрдиреЗрдХреНрдЯ рджреЗрд╢реА рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдкрд░ рдЖрдзрд╛рд░рд┐рдд рд╣реИ - рдкрд╣рдирдиреЗ рдпреЛрдЧреНрдп рдЙрдкрдХрд░рдгреЛрдВ рдХреЗ рдЖрдВрддрд░рд┐рдХ рдиреЗрдЯрд╡рд░реНрдХ рддрдХ рдкрд╣реБрдВрдЪ рдкреНрд░рджрд╛рди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдЖрджрд░реНрд╢ рд╡рд┐рдХрд▓реНрдк рд╣реИред
  • рдордЬрдмреВрдд рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди, рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрдЯ рд╕рдкреЛрд░реНрдЯ, 2FA рдХрдиреЗрдХреНрдЯрд┐рд╡рд┐рдЯреА
  • рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рд╕реНрд╡рдпрдВ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдЯреАрдПрд▓рдПрд╕-рдЖрдзрд╛рд░рд┐рдд рд╣реИ (рдУрдкрдирд╡реАрдкреАрдПрди рдХреЗ рд╡рд┐рдкрд░реАрдд, рдЬреЛ рдЖрд╕рд╛рдиреА рд╕реЗ рдкреЛрд░реНрдЯ 443 рдкрд░ рдкрд╛рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ)ред рдЯреАрдПрд▓рдПрд╕ рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдбреАрдЯреАрдПрд▓рдПрд╕ рднреА рд╕рдорд░реНрдерд┐рдд рд╣реИ - рд╕реНрдерд╛рдкрд┐рдд рд╕рддреНрд░ рдХреЗ рджреМрд░рд╛рди, рдЧреНрд░рд╛рд╣рдХ рдпреВрдбреАрдкреА рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдбреЗрдЯрд╛ рд╕рдВрдЪрд╛рд░рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╕реНрд╡рд┐рдЪ рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдЗрд╕рдХреЗ рд╡рд┐рдкрд░реАрддред
  • рдПрдХ рд╡реАрдкреАрдПрди рдФрд░ рд╕реНрдирд┐рдкреНрд░реЛрд╕реА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реБрдП рдПрдХ рдкреВрд░реНрдг рд╡реЗрдм рд╕рд░реНрд╡рд░ рджреЛрдиреЛрдВ рдХреЗ рдПрдХ рдмрдВрджрд░рдЧрд╛рд╣ рдкрд░ рдЙрддреНрдХреГрд╖реНрдЯ рд╕рд╣-рдЕрд╕реНрддрд┐рддреНрд╡ред
  • рд╕рд░реНрд╡рд░ рдФрд░ рдХреНрд▓рд╛рдЗрдВрдЯ рджреЛрдиреЛрдВ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛ рдЖрд╕рд╛рди рд╣реИред

рдпрд╣рд╛рдБ, рдмрд┐рдирд╛ рд╡рд┐рдкрдХреНрд╖ рдХреЗ рднреА рдирд╣реАрдВ рдереЗ:

  • рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдЕрдВрддрд░рд┐рдХреНрд╖ рдореЗрдВ рдХрд╛рдо рдХрд░рддреЗ рд╣реИрдВред
  • рдЯреАрд╕реАрдкреА рдХреЗ рд╢реАрд░реНрд╖ рдкрд░ рдЯреАрд╕реАрдкреА рдПрдХ рдмреБрд░рд╛ рд╡рд┐рдЪрд╛рд░ рд╣реИред
  • рдЧреНрд░рд╛рд╣рдХ-рдЧреНрд░реЗрдб рдЙрдкрдХрд░рдг рд╕реЗ рдХреЛрдИ рд╕рдорд░реНрдерди рдирд╣реАрдВ рд╣реИред
  • рджреЛ рд▓рд┐рдирдХреНрд╕ рдХреЗ рдмреАрдЪ рд╕реБрд░рдВрдЧреЛрдВ рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреА рдЬрдЯрд┐рд▓рддрд╛: рд╕реИрджреНрдзрд╛рдВрддрд┐рдХ рд░реВрдк рд╕реЗ рд╕рдВрднрд╡ рд╣реИ, рд╡реНрдпрд╛рд╡рд╣рд╛рд░рд┐рдХ рд░реВрдк рд╕реЗ - рдХреБрдЫ рдЕрдзрд┐рдХ рдЙрдкрдпреЛрдЧреА рдкрд░ рд╕рдордп рдмрд┐рддрд╛рдирд╛ рдмреЗрд╣рддрд░ рд╣реИред
  • рдпрджрд┐ рдХрдИ рд╕реБрд░рдВрдЧреЗрдВ рд╣реИрдВ, рддреЛ рдХрдИ рд╡рд┐рдиреНрдпрд╛рд╕ рдФрд░ рд╕рдВрдкрд╛рджрди рд╕рд┐рд╕реНрдЯрдордб рдЗрдХрд╛рдЗрдпреЛрдВ рдХреЗ рд╕рд╛рде рдиреГрддреНрдп рдЗрдВрддрдЬрд╝рд╛рд░ рдХрд░ рд░рд╣реЗ рд╣реИрдВред

рдпрд╣ рдПрдХ рдореГрдд рдЕрдВрдд рдХреА рддрд░рд╣ рдкреНрд░рддреАрдд рд╣реЛрдЧрд╛, рд▓реЗрдХрд┐рди рдереЛрдбрд╝рд╛ рд╕рдордп рд▓реЗрдиреЗ рдФрд░ рдЕрдзреНрдпрдпрди рдХрд░рдиреЗ рдореЗрдВ рдереЛрдбрд╝рд╛ рд╕рдордп рдмрд┐рддрд╛рдиреЗ рдХреЗ рдмрд╛рдж, рдореБрдЭреЗ рдПрд╣рд╕рд╛рд╕ рд╣реБрдЖ рдХрд┐ IKEv2 рдкрд░ рдЖрдзрд╛рд░рд┐рдд IPSec рдмрд╛рдХреА рд╕рднреА рдЪреАрдЬреЛрдВ рдХреЛ рдмрджрд▓рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реИред

IKEv2 IPSEC

рдкреЗрд╢реЗрд╡рд░реЛрдВ:

  • IKEv2 рдХреЗ рдЖрдЧрдорди рдХреЗ рд╕рд╛рде, рдкрд┐рдЫрд▓реЗ рд╕рдВрд╕реНрдХрд░рдг рдХреА рддреБрд▓рдирд╛ рдореЗрдВ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдЦреБрдж рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛ рдЖрд╕рд╛рди рд╣реЛ рдЧрдпрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдЖрд╡рдХ рдЕрдиреБрдХреВрд▓рддрд╛ рдЦреЛрдиреЗ рдХреА рдХреАрдордд рдкрд░ред
  • рдорд╛рдирдХреАрдХрд░рдг рдХреЗ рд▓рд┐рдП рдзрдиреНрдпрд╡рд╛рдж, рдХрд╛рдо рдХрд╣реАрдВ рднреА рдФрд░ рдХрд┐рд╕реА рднреА рдЪреАрдЬ рдкрд░ рдкреНрд░рджрд╛рди рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ - рд╕реВрдЪреА рдХреЛ рдЕрдирд┐рд╢реНрдЪрд┐рдд рдХрд╛рд▓ рддрдХ рдмрдирд╛рдП рд░рдЦрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рд▓рд┐рдирдХреНрд╕, рдорд┐рдХрд░реЛрдЯрд┐рдХ (рд░рд╛рдЙрдЯрд░рдУрдПрд╕ рдХреЗ рдирд╡реАрдирддрдо рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдореЗрдВ), рдУрдкрдирдбрдмреНрд▓реНрдпреВрдЖрд░рдЯреА, рдПрдВрдбреНрд░реЙрдЗрдб, рдЖрдИрдлреЛрдиред рд╡рд┐рдВрдбреЛрдЬ рдореЗрдВ рд╡рд┐рдВрдбреЛрдЬ 7 рдХреЗ рд╕рд╛рде рджреЗрд╢реА рд╕рдорд░реНрдерди рднреА рд╢реБрд░реВ рд╣реИред
  • рдЙрдЪреНрдЪ рдЧрддрд┐: рдЯреНрд░реИрдлрд╝рд┐рдХ рдкреНрд░реЛрд╕реЗрд╕рд┐рдВрдЧ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдХрд░реНрдиреЗрд▓-рд╕реНрдкреЗрд╕ рдореЗрдВред рдХрдиреЗрдХреНрд╢рди рдкреИрд░рд╛рдореАрдЯрд░ рд╕реЗрдЯ рдХрд░рдиреЗ рдФрд░ рдЪреИрдирд▓ рдХреЗ рд╕реНрд╡рд╛рд╕реНрдереНрдп рдХреА рдирд┐рдЧрд░рд╛рдиреА рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдЕрдВрддрд░рд┐рдХреНрд╖ рднрд╛рдЧ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред
  • рдХрдИ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рд╡рд┐рдзрд┐рдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреА рдХреНрд╖рдорддрд╛: PSK рдФрд░ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рджреЛрдиреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░, рдФрд░ рдХрд┐рд╕реА рднреА рд╕рдВрдпреЛрдЬрди рдореЗрдВред
  • рдХрдИ рдСрдкрд░реЗрдЯрд┐рдВрдЧ рдореЛрдб: рд╕реБрд░рдВрдЧ рдФрд░ рдкрд░рд┐рд╡рд╣рдиред рд╡реЗ рдХреИрд╕реЗ рдЕрд▓рдЧ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ, рдЬрд┐рд╕рдореЗрдВ рд╣реЗрдмреЗ рд╢рд╛рдорд┐рд▓ рд╣реИрдВред
  • рдордзреНрдпрд╡рд░реНрддреА рдиреЛрдбреНрд╕ рдХреЗ рд▓рд┐рдП рдЕрдирдЕрдЯреЗрдВрдбреЗрдбрд┐рдВрдЧ рд╕реЗрдЯрд┐рдВрдЧреНрд╕: рдпрджрд┐ рдЖрдИрдХреЗрдИ рдХреЗ рдкрд╣рд▓реЗ рд╕рдВрд╕реНрдХрд░рдг рдореЗрдВ рдПрдирдПрдЯреА рдХреЗ рдХрд╛рд░рдг рд╕рдорд╕реНрдпрд╛рдПрдВ рдереАрдВ, рддреЛ рдЖрдИрдХреЗрдИрд╡реА 2 рдореЗрдВ рдПрдирдПрдЯреА рдФрд░ рдореИрд╕реЗрдЬ рдХреЗ рджреЗрд╢реА рд╡рд┐рдЦрдВрдбрди рдкрд░ рдХрд╛рдмреВ рдкрд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд рддрдВрддреНрд░ рд╣реИрдВ, рдЬреЛ рдЖрдкрдХреЛ рдПрдордЯреАрдпреВ рд╡рдХреНрд░ рдХреЗ рд╕рд╛рде рдЪреИрдирд▓реЛрдВ рд╕реЗ рд╕рдВрдмрдВрдз рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред рдЖрдЧреЗ рджреЗрдЦрддреЗ рд╣реБрдП, рдореИрдВ рдХрд╣рддрд╛ рд╣реВрдВ рдХрд┐ рд╡реНрдпрд╡рд╣рд╛рд░ рдореЗрдВ рдореИрдВрдиреЗ рдХрднреА рднреА рд╡рд╛рдИрдлрд╛рдИ рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рд╕рд╛рдордирд╛ рдирд╣реАрдВ рдХрд┐рдпрд╛ рд╣реИ, рдЬрд╣рд╛рдВ рдХреЛрдИ рдХреНрд▓рд╛рдЗрдВрдЯ рдХрдиреЗрдХреНрд╢рди рд╕реНрдерд╛рдкрд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реИред

рд╡рд┐рдкрдХреНрд╖, рд╣рд╛рд▓рд╛рдВрдХрд┐, рдпрд╣ рднреА рд╣реИ:

  • рдЖрдкрдХреЛ рдЕрдзреНрдпрдпрди рдФрд░ рд╕рдордЭрдиреЗ рдореЗрдВ рдХреБрдЫ рд╕рдордп рдмрд┐рддрд╛рдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рдпрд╣ рдХреИрд╕реЗ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИред
  • рдПрдХ рд╕реБрд╡рд┐рдзрд╛ рдЬреЛ рдПрдХ рдиреМрд╕рд┐рдЦрд┐рдпрд╛ рдХреЛ рднреНрд░рдорд┐рдд рдХрд░ рд╕рдХрддреА рд╣реИ: IPSec, рдкрд╛рд░рдВрдкрд░рд┐рдХ рд╡реАрдкреАрдПрди рд╕рдорд╛рдзрд╛рдиреЛрдВ рдХреЗ рд╡рд┐рдкрд░реАрдд, рдиреЗрдЯрд╡рд░реНрдХ рдЗрдВрдЯрд░рдлреЗрд╕ рдирд╣реАрдВ рдмрдирд╛рддрд╛ рд╣реИред рдХреЗрд╡рд▓ рдЯреНрд░реИрдлрд╝рд┐рдХ рдкреНрд░рд╕рдВрд╕реНрдХрд░рдг рдиреАрддрд┐рдпрд╛рдВ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХреА рдЬрд╛рддреА рд╣реИрдВ, рдмрд╛рдХреА рд╕рдм рдХреБрдЫ рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╣рд▓ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

рд╕реЗрдЯрдЕрдк рдХреЗ рд╕рд╛рде рдЖрдЧреЗ рдмрдврд╝рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ, рд╣рдо рдорд╛рдирддреЗ рд╣реИрдВ рдХрд┐ рдкрд╛рдардХ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдмреБрдирд┐рдпрд╛рджреА рдЕрд╡рдзрд╛рд░рдгрд╛рдУрдВ рдФрд░ рд╢рд░реНрддреЛрдВ рд╕реЗ рдереЛрдбрд╝рд╛ рдкрд░рд┐рдЪрд┐рдд рд╣реИред рдПрдХ рд╢реБрд░реБрдЖрдд рдореЗрдВ рдорджрдж рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдк рдЦреБрдж рд╡рд┐рдХрд┐рдкреАрдбрд┐рдпрд╛ рдФрд░ рд╣реИрдмрд░ рд╕реЗ рдПрдХ рд▓реЗрдЦ рдХреА рд╕рд┐рдлрд╛рд░рд┐рд╢ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ , рдЬрд┐рд╕ рдкрд░ рдЗрд╕ рд╡рд┐рд╖рдп рдкрд░ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдХрд╛рдлреА рджрд┐рд▓рдЪрд╕реНрдк рдФрд░ рдЙрдкрдпреЛрдЧреА рд▓реЗрдЦ рд╣реИрдВред

рдЙрдардирд╛ рд╢реБрд░реВ рд╣реЛ рдЧрдпрд╛


рдирд┐рд░реНрдгрдп рд▓реЗрдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдо рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЗ рд▓рд┐рдП рдЖрдЧреЗ рдмрдврд╝рддреЗ рд╣реИрдВред рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдиреЗрдЯрд╡рд░реНрдХ рдЖрд░реЗрдЦ рдореЗрдВ рдирд┐рдореНрди рд░реВрдк рд╣реИ (рд╕реНрдкреЙрдЗрд▓рд░ рдХреЗ рддрд╣рдд рд╣рдЯрд╛ рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ)

рдиреЗрдЯрд╡рд░реНрдХ рдЖрд░реЗрдЦ

ipsecgw.example.com рд╣реЛрдо рд╕рд░реНрд╡рд░ рд╣реИ рдЬреЛ рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рдХреЗрдВрджреНрд░ рд╣реИред рдмрд╛рд╣рд░реА рдЖрдИрдкреА 1.1.1.1ред рдПрдХ рдЖрдВрддрд░рд┐рдХ рдиреЗрдЯрд╡рд░реНрдХ 10.0.0.0/23 рдФрд░ рджреВрд╕рд░рд╛ рдкрддрд╛ 10.255.255.1/30 рд╡реАрдкреАрдПрд╕ рдХреЗ рд╕рд╛рде рдПрдХ рдирд┐рдЬреА рдмреАрдЬреАрдкреА рд╕рддреНрд░ рдХреА рд╕реНрдерд╛рдкрдирд╛ рдХреЗ рд▓рд┐рдП;
рдорд╛рдБ рдорд╛рддрд╛-рдкрд┐рддрд╛ рджреНрд╡рд╛рд░рд╛ рд╕реНрдерд╛рдкрд┐рдд рдПрдХ рдЫреЛрдЯреЗ, рдореВрдХ рдЬрд╛рд▓ рдкрд░ рдЖрдзрд╛рд░рд┐рдд рдПрдХ рд▓рд┐рдирдХреНрд╕ рд░рд╛рдЙрдЯрд░ рд╣реИред рдЖрдИрдПрд╕рдкреА рдПрдХ рдЧрддрд┐рд╢реАрд▓ рдЖрдИрдкреА рдкрддрд╛ рдЬрд╛рд░реА рдХрд░рддрд╛ рд╣реИред рдЖрдВрддрд░рд┐рдХ рдиреЗрдЯрд╡рд░реНрдХ 10.0.3.0/24;
рдХреАрдиреЗрдЯрд┐рдХ - IPSec рдХреЗ рд╕рд╛рде рдХреАрдиреЗрдЯрд┐рдХ рд░рд╛рдЙрдЯрд░ рд╕реНрдерд╛рдкрд┐рддред рдЖрдИрдПрд╕рдкреА рдПрдХ рдЧрддрд┐рд╢реАрд▓ рдЖрдИрдкреА рдкрддрд╛ рдЬрд╛рд░реА рдХрд░рддрд╛ рд╣реИред рдЖрдВрддрд░рд┐рдХ рдиреЗрдЯрд╡рд░реНрдХ 10.0.4.0/24;
рд╕рдбрд╝рдХ-рдпреЛрджреНрдзрд╛рдУрдВ - рдЕрд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рдЙрдкрдХрд░рдгреЛрдВ рд╕реЗ рдХрдиреЗрдХреНрдЯ рд╣реЛрдиреЗ рд╡рд╛рд▓реЗ рдкреЛрд░реНрдЯреЗрдмрд▓ рдбрд┐рд╡рд╛рдЗрд╕ред рдЖрдВрддрд░рд┐рдХ рдкреВрд▓ (10.1.1.0/24) рд╕реЗ рдХрдиреЗрдХреНрдЯ рд╣реЛрдиреЗ рдкрд░ рдЧрддрд┐рд╢реАрд▓ рд░реВрдк рд╕реЗ рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЛ рдкрддреЗ рдЬрд╛рд░реА рдХрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВ;
rkn.example.com- рд╕рдореНрдорд╛рдирд┐рдд рдЖрдИрдПрд▓рд╡реА рдХреЗ рдЕрдзрд┐рдХрд╛рд░ рдХреНрд╖реЗрддреНрд░ рдХреЗ рдмрд╛рд╣рд░ рд╡реАрдкреАрдПрд╕ред рдмрд╛рд╣рд░реА рдЖрдИрдкреА - 5.5.5.5, рдирд┐рдЬреА рдмреАрдЬреАрдкреА рд╕рддреНрд░ рдХреА рд╕реНрдерд╛рдкрдирд╛ рдХреЗ рд▓рд┐рдП рдЖрдВрддрд░рд┐рдХ рдкрддрд╛ 10.255.255.2/30ред

рдкрд╣рд▓рд╛ рдХрджрдоред рд╕рд░рд▓ рд╕реЗ рдЬрдЯрд┐рд▓ рддрдХ: рдкреВрд░реНрд╡-рд╕рд╛рдЭрд╛ рдХреБрдВрдЬреА (PSK) рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реБрд░рдВрдЧреЗрдВ


рджреЛрдиреЛрдВ рд▓рд┐рдирдХреНрд╕-рдмреЙрдХреНрд╕ рдкрд░ рд╣рдо рдЖрд╡рд╢реНрдпрдХ рдкреИрдХреЗрдЬ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рддреЗ рд╣реИрдВ:

sudo yum install strongswan

рджреЛрдиреЛрдВ рдореЗрдЬрдмрд╛рдиреЛрдВ рдкрд░, рдмрдВрджрд░рдЧрд╛рд╣реЛрдВ рдХреЛ 500 / udp, 4500 / udp рдЦреЛрд▓реЗрдВ рдФрд░ ESP рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреЗ рдкрд╛рд░рд┐рдд рд╣реЛрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрдВред
рдлрд╝рд╛рдЗрд▓ рдХреЛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ /etc/strongswan/ipsec.secrects (рдореЗрдЬрдмрд╛рди рдкрдХреНрд╖ ipsecgw.example.com рдкрд░) рдФрд░ рдирд┐рдореНрди рдкрдВрдХреНрддрд┐ рдЬреЛрдбрд╝реЗрдВ:

mama@router.home.local: PSK "Very strong PSK"

рджреВрд╕рд░реА рддрд░рдл, рдЗрд╕реА рддрд░рд╣:

root@root.mama.local: PSK "Very strong PSK"

рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рдЖрдИрдбреА рдПрдХ рдХрд╛рд▓реНрдкрдирд┐рдХ рдИрдореЗрд▓ рдкрддрд╛ рд╣реИред рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рд╡рд┐рдХрд┐ рдкрд░ рдкрд╛рдИ рдЬрд╛ рд╕рдХрддреА рд╣реИ ред

рд░рд╛рдЬрд╝ рдмрдЪ рдЧрдпрд╛, рдЖрдЧреЗ рдмрдврд╝рддреЗ рд╣реБрдПред

Ipsecgw.example.com рд╣реЛрд╕реНрдЯ рдкрд░, /etc/strongswan/ipsec.conf рдлрд╝рд╛рдЗрд▓ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ:

config setup //   charon
    charondebug = "dmn 0, mgr 0, ike 0, chd 0, job 0, cfg 0, knl 0, net 0, asn 0, enc 0, lib 0, esp 0, tls 0, tnc 0, imc 0, imv 0, pts 0" //  
conn %default //    
    reauth = yes
    rekey = yes
    keyingtries = %forever
    keyexchange = ikev2 //      - IKEv2
    dpdaction = hold
    dpddelay = 5s // 5   DPD (Dead Peer Detection)   
    mobike = yes // Mobile IKE -     IP    
conn mama //  
    left = %defaultroute //Left -  .  %defaultroute       IKE- ,    default route
    right = %any //     IP-
    authby = psk //   -   
    leftid = mama@router.home.local // ID,   ipsec.secrets
    rightid = root@router.mama.local //ID  
    leftsubnet = 10.0.0.0/23,10.1.1.0/24 
    rightsubnet = 10.0.3.0/24
    type = tunnel 
    ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
    esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519! 
    auto = add //  charon

рдЗрд╕реА рддрд░рд╣, рд╣рдо рджреВрд░рд╕реНрде рд╕рд╣рдХрд░реНрдореА /etc/strongswan/ipsec.conf рдкрд░ рд╕рдВрдкрд╛рджрди рдХрд░рддреЗ рд╣реИрдВ:

config setup
    charondebug = "dmn 0, mgr 0, ike 0, chd 0, job 0, cfg 0, knl 0, net 0, asn 0, enc 0, lib 0, esp 0, tls 0, tnc 0, imc 0, imv 0, pts 0"
conn %default
    reauth = yes
    rekey = yes
    keyingtries = %forever
    keyexchange = ikev2
    dpdaction = restart
    dpddelay = 5s
    mobike = yes
conn mama
    left = %defaultroute
    right = ipsecgw.example.com
    authby = psk
    leftid = root@router.mama.local
    rightid = mama@router.home.local
    leftsubnet = 10.0.3.0/24
    rightsubnet = 10.0.0.0/23,10.1.1.0/24
    type = tunnel
    ike = aes128gcm16-sha384-x25519!
    esp = aes128gcm16-sha384-x25519!
    auto = route

рдпрджрд┐ рдЖрдк рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреА рддреБрд▓рдирд╛ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рд╡реЗ рд▓рдЧрднрдЧ рдкреНрд░рддрд┐рдмрд┐рдВрдмрд┐рдд рд╣реИрдВ, рдХреЗрд╡рд▓ рд╕рд╛рдерд┐рдпреЛрдВ рдХреА рдкрд░рд┐рднрд╛рд╖рд╛рдПрдВ рдХреНрд░реЙрд╕-рдПрдХреНрд╕рдЪреЗрдВрдЬ рдХреА рдЧрдИ рд╣реИрдВред рдСрдЯреЛ = рдорд╛рд░реНрдЧ

рдирд┐рд░реНрджреЗрд╢ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдЯреНрд░реИрдлрд╝рд┐рдХ рд╕реЗрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдмрд╛рдИрдВ / рд░рд╛рдЗрдЯрдмрдиреЗрдЯ (рдЯреНрд░реИрдлрд╝рд┐рдХ рдЪрдпрдирдХрд░реНрддрд╛рдУрдВ) рдХреЗ рдирд┐рд░реНрджреЗрд╢реЛрдВ рдореЗрдВ рдЧрд┐рд░рдиреЗ рдХрд╛ рдХрд╛рд░рдг рдмрдирддрд╛ рд╣реИред рд╕реБрд░рдВрдЧ рдорд╛рдкрджрдВрдбреЛрдВ рдФрд░ рдкреНрд░рдореБрдЦ рд╡рд┐рдирд┐рдордп рдХрд╛ рд╕рдордиреНрд╡рдп рдпрд╛рддрд╛рдпрд╛рдд рдХреА рдЙрдкрд╕реНрдерд┐рддрд┐ рдХреЗ рддреБрд░рдВрдд рдмрд╛рдж рд╢реБрд░реВ рд╣реЛрдЧрд╛ рдЬреЛ рджрд┐рдП рдЧрдП рд╢рд░реНрддреЛрдВ рдХреЗ рддрд╣рдд рдЖрддрд╛ рд╣реИред рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ ipsecgw.example.com рд╕рд░реНрд╡рд░ рдкрд░, рд╣рдо 10.0.3.0/24 рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд▓рд┐рдП рдорд╛рд╕реНрдХрд┐рдВрдЧ рдХрд░рдирд╛ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рддреЗ рд╣реИрдВред рдкреИрдХреЗрдЯ рдХреЛ 10.0.0.0/23 рдФрд░ 10.0.3.0/24 рдХреЗ рдмреАрдЪ рдФрд░ рдЗрд╕рдХреЗ рд╡рд┐рдкрд░реАрдд рдХреА рдЕрдиреБрдорддрд┐ рджреЗрдВред рджреВрд░рд╕реНрде рд╣реЛрд╕реНрдЯ рдкрд░, рд╣рдо 10.0.0.0/23 рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд▓рд┐рдП рдорд╛рд╕реНрдХрд┐рдВрдЧ рдХреЛ рдЕрдХреНрд╖рдо рдХрд░рдХреЗ рдФрд░ рдЕрдЧреНрд░реЗрд╖рдг рд╕реЗрдЯ рдХрд░рдХреЗ рд╕рдорд╛рди рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХрд░рддреЗ рд╣реИрдВред рд╣рдо рджреЛрдиреЛрдВ рд╕рд░реНрд╡рд░реЛрдВ рдкрд░ рдлрд┐рд░ рд╕реЗ рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рдХреЗрдВрджреНрд░реАрдп рдиреЛрдб рдХреЛ рдкрд┐рдВрдЧ рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░рддреЗ рд╣реИрдВ:





sudo systemctl restart strongswan
ping 10.0.0.1


рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВ рдХрд┐ рд╕рдм рдХреБрдЫ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ:
sudo strongswan status
Security Associations (1 up, 0 connecting):
        mama[53]: ESTABLISHED 84 minutes ago, 1.1.1.1[mama@router.home.local]...2.2.2.2[root@router.mama.local]
        mama{141}:  INSTALLED, TUNNEL, reqid 27, ESP in UDP SPIs: c4eb45fe_i ca5ec6ca_o
        mama{141}:   10.0.0.0/23 10.1.1.0/24 === 10.0.3.0/24


рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рднреА рдЙрдкрдпреЛрдЧреА рд╣реЛрдЧрд╛ рдХрд┐ Make_before_break рдкреИрд░рд╛рдореАрдЯрд░ рд╣рд╛рдБ /etc/strongswan/strongswan.d/charon.conf рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рд╕рднреА рд╕рд╛рдерд┐рдпреЛрдВ рдХреЗ рд▓рд┐рдП рд╕реЗрдЯ рд╣реИред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, IKEv2 рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреА рд╕реЗрд╡рд╛ рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рдЪрд╛рд░реЛрди рдбреЗрдорди рдкреНрд░рдореБрдЦ рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рджреМрд░рд╛рди рд╡рд░реНрддрдорд╛рди рд╕реБрд░рдХреНрд╖рд╛ рд╕рдВрдШ рдХреЛ рдирд╣реАрдВ рд╣рдЯрд╛рдПрдВрдЧреЗ, рд▓реЗрдХрд┐рди рдкрд╣рд▓реЗ рдПрдХ рдирдпрд╛ рдирд┐рд░реНрдорд╛рдг рдХрд░реЗрдВрдЧреЗред

рджреВрд╕рд░рд╛ рдЪрд░рдг рдХреАрдиреЗрдЯрд┐рдХ рдХреА рдЙрдкрд╕реНрдерд┐рддрд┐


рдПрдХ рд╕реБрдЦрдж рдЖрд╢реНрдЪрд░реНрдп рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рдХреАрдиреЗрдЯрд┐рдХ рдлрд░реНрдорд╡реЗрдпрд░ рдореЗрдВ рдирд┐рд░реНрдорд┐рдд IPSec рд╡реАрдкреАрдПрди рдерд╛ред рдЗрд╕реЗ рд╕рдХреНрд░рд┐рдп рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдмрд╕ рдХреАрдиреЗрдЯрд┐рдХреЛрдЬрд╝ рдХрдВрдкреЛрдиреЗрдВрдЯ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдкрд░ рдЬрд╛рдПрдВ рдФрд░ IPSec рд╡реАрдкреАрдПрди рдкреИрдХреЗрдЬ рдЬреЛрдбрд╝реЗрдВ ред

рд╣рдо рдХреЗрдВрджреНрд░реАрдп рдиреЛрдб рдкрд░ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рддреИрдпрд╛рд░ рдХрд░рддреЗ рд╣реИрдВ, рдЗрд╕рдХреЗ рд▓рд┐рдП:

рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ /etc/strongswan/ipsec.secrects рдФрд░ рдирдП рдкреАрд░ рдХреЗ рд▓рд┐рдП PSK рдЬреЛрдбрд╝реЗрдВ:

keenetic@router.home.local: PSK "Keenetic+PSK"

/Etc/strongswan/ipsec.conf рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ рдФрд░ рдЕрдВрдд рдореЗрдВ рджреВрд╕рд░рд╛ рдХрдиреЗрдХреНрд╢рди рдЬреЛрдбрд╝реЗрдВ:

conn keenetic
    left = %defaultroute
    right = %any
    authby = psk
    leftid = keenetic@router.home.local
    rightid = root@router.keenetic.local
    leftsubnet = 10.0.0.0/23
    rightsubnet = 10.0.4.0/24
    type = tunnel
    ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
    esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519!
    auto = add

рдХреАрдиреЗрдЯрд┐рдХ рдкрдХреНрд╖ рдкрд░, рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди WebUI рдореЗрдВ рдкрде рдХреЗ рд╕рд╛рде рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ: рдЗрдВрдЯрд░рдиреЗрдЯ -> рдХрдиреЗрдХреНрд╢рди ->
рдЕрдиреНрдп рдХрдиреЗрдХреНрд╢рди ред рдпрд╣ рдмрд╣реБрдд рдЖрд╕рд╛рди рд╣реИ
(3 рддрд╕реНрд╡реАрд░реЗрдВ)






рдпрджрд┐ рдЖрдк рд╕реБрд░рдВрдЧ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдпрд╛рддрд╛рдпрд╛рдд рдХреЗ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреЛ рдЪрд▓рд╛рдиреЗ рдХреА рдпреЛрдЬрдирд╛ рдмрдирд╛рддреЗ рд╣реИрдВ, рддреЛ рдЖрдк рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рддреНрд╡рд░рдг рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬреЛ рдХрдИ рдореЙрдбрд▓реЛрдВ рджреНрд╡рд╛рд░рд╛ рд╕рдорд░реНрдерд┐рдд рд╣реИред CLI рдореЗрдВ рдХреНрд░рд┐рдкреНрдЯреЛ рдЗрдВрдЬрди рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рдХрдорд╛рдВрдб рджреНрд╡рд╛рд░рд╛ рд╕рдХреНрд╖рдо ред рд╕рд╛рдорд╛рдиреНрдп-рдЙрджреНрджреЗрд╢реНрдп CPU рдирд┐рд░реНрджреЗрд╢реЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдФрд░ рд╣реИрд╢рд┐рдВрдЧ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЛ рдЕрдХреНрд╖рдо рдФрд░ рд╕рдВрд╕рд╛рдзрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП - рдХреНрд░рд┐рдкреНрдЯреЛ рдЗрдВрдЬрди рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░

рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рд╕рд╣реЗрдЬрдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдо рд╕реНрдЯреНрд░реЛрдВрдЧреНрд╕рд╡рди рдХреЛ рдкреБрдирд░реНрд╕реНрдерд╛рдкрд┐рдд рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рдХреАрдиреЗрдЯрд┐рдХ рдХреЛ рдЖрдзреЗ рдорд┐рдирдЯ рдХреЗ рд▓рд┐рдП рд╕реЛрдЪрдиреЗ рджреЗрддреЗ рд╣реИрдВред рддрдм рдЯрд░реНрдорд┐рдирд▓ рдореЗрдВ рд╣рдо рдПрдХ рд╕рдлрд▓ рдХрдиреЗрдХреНрд╢рди рджреЗрдЦрддреЗ рд╣реИрдВ:

рд╕рдм рдХреБрдЫ рдХрд╛рдо рдХрд░ рд░рд╣рд╛ рд╣реИ:
sudo strongswan status
Security Associations (2 up, 0 connecting):
    keenetic[57]: ESTABLISHED 39 minutes ago, 1.1.1.1[keenetic@router.home.local]...3.3.3.3[root@router.keenetic.local]
    keenetic{146}:  INSTALLED, TUNNEL, reqid 29, ESP SPIs: ca8f556e_i ca11848a_o
    keenetic{146}:   10.0.0.0/23 === 10.0.4.0/24
        mama[53]: ESTABLISHED 2 hours ago, 1.1.1.1[mama@router.home.local]...2.2.2.2[root@router.mama.local]
        mama{145}:  INSTALLED, TUNNEL, reqid 27, ESP in UDP SPIs: c5dc78db_i c7baafd2_o
        mama{145}:   10.0.0.0/23 10.1.1.0/24 === 10.0.3.0/24


рддреАрд╕рд░рд╛ рдХрджрдо рдореЛрдмрд╛рдЗрд▓ рдЙрдкрдХрд░рдгреЛрдВ рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдХрд░рдирд╛


рдореИрдиреБрдЕрд▓ рдХрд╛ рдПрдХ рдЧреБрдЪреНрдЫрд╛ рдФрд░ рд▓реЗрдЦреЛрдВ рдХреЗ рдПрдХ рд╕рдореВрд╣ рдХреЛ рдкрдврд╝рдиреЗ рдХреЗ рдмрд╛рдж, рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЗ рд▓рд┐рдП рд▓реЙрдЧрд┐рди рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рджреНрд╡рд╛рд░рд╛ рд╕рд░реНрд╡рд░ рдФрд░ рдХреНрд▓рд╛рд╕рд┐рдХ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреЛ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд▓реЗрдЯреНрд╕ рдПрдирдХреНрд░рд┐рдкреНрдЯ рд╕реЗ рдореБрдХреНрдд рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЗ рдПрдХ рдЧреБрдЪреНрдЫрд╛ рдкрд░ рд░реЛрдХрдирд╛ рддрдп рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдЗрд╕ рдкреНрд░рдХрд╛рд░, рд╣рдореЗрдВ рдЕрдкрдиреЗ рдкреАрдХреЗрдЖрдИ рдмреБрдирд┐рдпрд╛рджреА рдврд╛рдВрдЪреЗ рдХреЛ рдмрдирд╛рдП рд░рдЦрдиреЗ, рдЪрд╛рдмрд┐рдпреЛрдВ рдХреА рд╕рдорд╛рдкреНрддрд┐ рдХреА рдирд┐рдЧрд░рд╛рдиреА рдХрд░рдиреЗ рдФрд░ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рд╕реВрдЪреА рдореЗрдВ рд╕реНрд╡-рд╣рд╕реНрддрд╛рдХреНрд╖рд░рд┐рдд рдкреНрд░рдорд╛рдг рдкрддреНрд░ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдХреЗ рдореЛрдмрд╛рдЗрд▓ рдЙрдкрдХрд░рдгреЛрдВ рдХреЗ рд╕рд╛рде рдЕрдирд╛рд╡рд╢реНрдпрдХ рдЗрд╢рд╛рд░реЛрдВ рдХреЛ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╕реЗ рдЫреБрдЯрдХрд╛рд░рд╛ рдорд┐рд▓рддрд╛ рд╣реИред

рд▓рд╛рдкрддрд╛ рдкреИрдХреЗрдЬ рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВ:

sudo yum install epel-release
sudo yum install certbot

рд╣рдореЗрдВ рд╕реНрдЯреИрдВрдбрдЕрд▓реЛрди рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрдЯ рдорд┐рд▓рддрд╛ рд╣реИ (рдкрд╣рд▓реЗ iptables рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ 80 / tcp рдЦреЛрд▓рдиреЗ рдХреЗ рд▓рд┐рдП рдордд рднреВрд▓рдирд╛):

sudo certbot certonly --standalone -d ipsecgw.example.com

рд╕рд░реНрдмреЛрдЯ рдиреЗ рдЕрдкрдирд╛ рдХрд╛рдо рдкреВрд░рд╛ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдореЗрдВ рдЕрдкрдиреЗ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЛ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рд╕реНрдЯреНрд░рд╛рдВрдЧрд╕реНрд╡рд╛рди рдХреЛ рд╕рд┐рдЦрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП:

  • рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ /etc/strongswan/ipsec.d/cacerts 2 рдкреНрд░рддреАрдХрд╛рддреНрдордХ рд▓рд┐рдВрдХ рдмрдирд╛рддреЗ рд╣реИрдВ: рдПрдХ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЗ рдореВрд▓ рд╕реНрдЯреЛрд░ рдореЗрдВ / etc / pki / tls / certs; рдФрд░ рджреВрд╕рд░рд╛ рдирд╛рдо ca.pem рдХреЗ рд╕рд╛рде /etc/letsencrypt/live/ipsecgw.example.com/chain.pem рдХреА рдУрд░ рдЗрд╢рд╛рд░рд╛ рдХрд░рддрд╛ рд╣реИ
  • /Etc/strongswan/ipsec.d/certs рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рджреЛ рд╕рд┐рдорд▓рд┐рдВрдХ рднреА рдмрдирд╛рдП рдЧрдП рд╣реИрдВ: рдкрд╣рд▓рд╛, рдЬрд┐рд╕рдХрд╛ рдирд╛рдо certificate.pem рд╣реИ, рдлрд╝рд╛рдЗрд▓ /etc/letsencrypt/live/ipsecgw .example.com/cert.pem рдХреЛ рд╕рдВрджрд░реНрднрд┐рдд рдХрд░рддрд╛ рд╣реИред рдФрд░ рджреВрд╕рд░рд╛, fullchain.pem рдирд╛рдо, /etc/letsencrypt/live/ipsecgw.example.com/fullchain.pem рд╕реЗ рд▓рд┐рдВрдХ рдХрд░рдирд╛
  • /Etc/strongswan/ipsec.d/private рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ, key.pem рд╕рд┐рдорд┐рд▓рд┐рдВрдХ рдХреЛ рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрдЯ рджреНрд╡рд╛рд░рд╛ рдЙрддреНрдкрдиреНрди рдирд┐рдЬреА рдХреБрдВрдЬреА рдХреА рдУрд░ рдЗрдВрдЧрд┐рдд рдХрд░реЗрдВ рдФрд░ рдкрде /etc/letsencrypt/live/ipsecgw .example.com/privkey.pem рдХреЗ рд╕рд╛рде рд▓реЗрдЯреЗрдВред

RSA рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ ipsec.secrets рдореЗрдВ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдФрд░ рдирдП рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЗ рд▓рд┐рдП рд▓реЙрдЧрд┐рди / рдкрд╛рд╕рд╡рд░реНрдб рдХрд╛ рдПрдХ рдЧреБрдЪреНрдЫрд╛ рдЬреЛрдбрд╝реЗрдВ:

ipsecgw.example.com     : RSA key.pem
username phone          : EAP "Q1rkz*qt"
username notebook       : EAP "Zr!s1LBz"

рд╣рдо рд╕реНрдЯреНрд░рд╛рдВрдЧреНрд╕рд╡рди рдХреЛ рдкреБрдирдГ рдЖрд░рдВрдн рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рд╕реБрдбреЛ рд╕реНрдЯреНрд░реЙрдиреНрдЧреНрд╡рди рд╢реНрд░реЛрддрд╛рдУрдВ рдХреЛ рдХреЙрд▓ рдХрд░рддреЗ рд╕рдордп рд╣рдореЗрдВ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреА рдЬрд╛рдирдХрд╛рд░реА рджреЗрдЦрдиреА рдЪрд╛рд╣рд┐рдП:

List of X.509 End Entity Certificates

  subject:  "CN=ipsecgw.example.com"
  issuer:   "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3"
  validity:  not before May 23 19:36:52 2020, ok
             not after  Aug 21 19:36:52 2020, ok (expires in 87 days)
  serial:    04:c7:70:9c:a8:ce:57:cc:bf:6f:cb:fb:d3:a9:cf:06:b0:a8
  altNames:  ipsecgw.example.com
  flags:     serverAuth clientAuth
  OCSP URIs: http://ocsp.int-x3.letsencrypt.org
  certificatePolicies:
             2.23.140.1.2.1
             1.3.6.1.4.1.44947.1.1.1
             CPS: http://cps.letsencrypt.org

рдлрд┐рд░ рд╣рдо ipsec.conf рдореЗрдВ рдирдП рдХрдиреЗрдХреНрд╢рди рдХрд╛ рд╡рд░реНрдгрди рдХрд░рддреЗ рд╣реИрдВ :

conn remote-access
    dpddelay = 30s //   DPD ,     
    left = %defaultroute
    leftid = "CN=ipsecgw.example.com"
    leftcert = fullchain.pem //         
    leftsendcert = always
    leftsubnet = 0.0.0.0/0 //      
    right = %any
    rightid = %any
    rightauth = eap-mschapv2 // ,  EAP-MSCHAP2
    rightsendcert = never
    eap_identity = %identity 
    rightsourceip = 10.1.1.0/24 //Strongswan       
    rightdns = 10.0.0.1,10.0.0.3 //   DNS
    type = tunnel
    ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
    esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519!
    auto = add //      
    dpdaction = restart // ,      DPD

рдлрд╝рд╛рдЗрд▓ / etc / sysconfig / certbot рдХреЛ рдпрд╣ рдмрддрд╛рдирд╛ рди рднреВрд▓реЗрдВ рдХрд┐ рд╣рдо рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЛ рд╕реНрдЯреИрдВрдбрдЕрд▓реЛрди рдХреЗ рд░реВрдк рдореЗрдВ рднреА рдЕрдкрдбреЗрдЯ рдХрд░реЗрдВрдЧреЗ, CERTBOT_ARGS = "- рд╕реНрдЯреИрдВрдбрдЕрд▓реЛрди" рдХреЛ рдЗрд╕рдореЗрдВ рдЬреЛрдбрд╝ рджреЗрдВред

рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдирдП рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрдЯ рдЬрд╛рд░реА рдХрд░рдиреЗ рдХреЗ рдорд╛рдорд▓реЗ рдореЗрдВ рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрд╢рди-рд░рд┐рдиреНрдпреВрдПрдЯ.рдЯрд╛рдЗрдорд░ рдЯрд╛рдЗрдорд░ рдХреЛ рдЪрд╛рд▓реВ рдХрд░рдиреЗ рдФрд░ рд╕реНрдЯреНрд░реЙрдиреНрдЧреНрд╕рди рдХреЛ рдлрд┐рд░ рд╕реЗ рдЪрд╛рд▓реВ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╣реБрдХ рд╕реЗрдЯ рдХрд░рдирд╛ рди рднреВрд▓реЗрдВред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдпрд╛ рддреЛ / etc / letencrypt / рдирд╡реАрдХрд░рдг-рд╣реБрдХ / рдкрд░рд┐рдирд┐рдпреЛрдЬрди рдореЗрдВ рдПрдХ рд╕рд░рд▓ рдмреИрд╢ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд░рдЦреЗрдВ, рдпрд╛ / etc / sysconfig / certbot рдлрд╝рд╛рдЗрд▓ рдХреЛ рдлрд┐рд░ рд╕реЗ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВред

рд╣рдо рд╕реНрдЯреНрд░реЛрдВрдЧрд╕реНрд╡рд╛рди рдХреЛ рдлрд┐рд░ рд╕реЗ рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВ, 10.1.1.0/24 рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд▓рд┐рдП рдЖрдИрдкреАрдЯреИрдмрд▓реНрд╕ рдореЗрдВ рдЬреАрддрдирд╛ рдЪрд╛рд▓реВ рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рдореЛрдмрд╛рдЗрд▓ рдЙрдкрдХрд░рдгреЛрдВ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЪрд▓рддреЗ рд╣реИрдВред

рдПрдВрдбреНрд░реЙрдпрдб


Google Play рд╕реЗ рд╕рд╢рдХреНрдд рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдЗрдВрд╕реНрдЯреЙрд▓ рдХрд░реЗрдВ ред

рд╣рдо рд▓реЙрдиреНрдЪ рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рдПрдХ рдирдпрд╛ рдирд┐рд░реНрдорд╛рдг рдХрд░рддреЗ рд╣реИрдВ

рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓


рд╣рдо рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рдХреЛ рд╕рд╣реЗрдЬрддреЗ рд╣реИрдВ, рдХрдиреЗрдХреНрдЯ рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рдПрдХ рд╕реЗрдХрдВрдб рдХреЗ рдмрд╛рдж, рд╣рдореЗрдВ рдХрд┐рд╕реА рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЪрд┐рдВрддрд╛ рдХрд░рдиреЗ рдХреА рдЬрд╝рд░реВрд░рдд рдирд╣реАрдВ рд╣реИ, рдЬреЛ рд╣рдореЗрдВ рдЬрд╛рд╕реВрд╕реА рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рдмрдирд╛рддрд╛ рд╣реИред

рд╣рдо рдЬрд╛рдБрдЪ:
sudo strongswan statusall
Security Associations (3 up, 0 connecting):
remote-access[109]: ESTABLISHED 2 seconds ago, 1.1.1.1[CN=ipsecgw.example.com]...4.4.4.4[phone]
remote-access{269}:  INSTALLED, TUNNEL, reqid 55, ESP in UDP SPIs: c706edd1_i e5c12f1d_o
remote-access{269}:   0.0.0.0/0 ::/0 === 10.1.1.1/32
        mama[101]: ESTABLISHED 34 minutes ago, 1.1.1.1[mama@router.home.local]...2.2.2.2[root@router.mama.local]
        mama{265}:  INSTALLED, TUNNEL, reqid 53, ESP in UDP SPIs: c8c83342_i c51309db_o
        mama{265}:   10.0.0.0/23 10.1.1.0/24 === 10.0.3.0/24
    keenetic[99]: ESTABLISHED 36 minutes ago, 1.1.1.1[keenetic@router.home.local]...3.3.3.3[root@router.keenetic.local]
    keenetic{263}:  INSTALLED, TUNNEL, reqid 52, ESP SPIs: c3308f33_i c929d6f1_o
    keenetic{263}:   10.0.0.0/23 === 10.0.4.0/24


рдЦрд┐рдбрд╝рдХрд┐рдпрд╛рдБ


рд╡рд░реНрддрдорд╛рди рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреЗ рд╡рд┐рдВрдбреЛрдЬ рдХреЛ рд╕реБрдЦрдж рдЖрд╢реНрдЪрд░реНрдп рд╣реБрдЖред рдирдП рд╡реАрдкреАрдПрди рдХрд╛ рд╕рднреА рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рджреЛ рдкрд╛рд╡рд░рд╕реНрд▓реЗ cmdlets рдХреЛ рдХреЙрд▓ рдХрд░рдХреЗ рд╣реЛрддрд╛ рд╣реИ:

Add-VpnConnection -Name "IKEv2" -ServerAddress ipsecgw.example.com -TunnelType "IKEv2"
Set-VpnConnectionIPsecConfiguration -ConnectionName "IKEv2" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -DHGroup Group14 -PassThru -Force

рдФрд░ рдПрдХ рдФрд░ рдмрд╛рдд, рдЕрдЧрд░ рд╕реНрдЯреНрд░рд╛рдВрдЧрд╕реНрд╡рд╛рди рдХреЛ рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЗ рд▓рд┐рдП рдЖрдИрдкреАрд╡реА 6 рдкрддреЗ рдЬрд╛рд░реА рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ (рд╣рд╛рдБ, рд╡рд╣ рдРрд╕рд╛ рдХрд░ рд╕рдХрддрд╛ рд╣реИ):

Add-VpnConnectionRoute -ConnectionName "IKEv2" -DestinationPrefix "2000::/3"

рднрд╛рдЧ рдЪрд╛рд░, рдЕрдВрддрд┐рдоред рд╣рдордиреЗ рдпреВрд░реЛрдк рдХреЗ рд▓рд┐рдП рдПрдХ рдЦрд┐рдбрд╝рдХреА рдХрд╛рдЯ рджреА


рдкреНрд░рджрд╛рддрд╛ рдХреЗ рд╕реНрдЯрдмреНрд╕ рдХреЛ рджреЗрдЦрдиреЗ рдХреЗ рдмрд╛рдж, "рдмреЛрдЧреЛрдЬрд╝рдмрд╛рдпрдЯ рдХрд╛рдЙрдВрдЯреА рдХреЗ рдЧрд╛рдВрд╡ рдЯреНрд░реБрдбреЛрдпреЗ рдореЛрдЬрд╝реЛрд▓реА рдХреЗ рдкрд╛рдВрдЪрд╡реЗрдВ рдбрд┐рдкреНрдЯреА рдкреНрд░реЙрд╕реАрдХреНрдпреВрдЯрд░ рдХреЗ рдмрд╛рдИрдВ рдПрдбрд╝реА рдХреЗ рдлреИрд╕рд▓реЗ рд╕реЗ рд╕рд╛рдЗрдЯ рдХреЛ рдЕрд╡рд░реБрджреНрдз рдХрд░ рджрд┐рдпрд╛ рдЧрдпрд╛", рдПрдХ рдЫреЛрдЯрд╛, рдЕрдЧреЛрдЪрд░ рд╡реАрдкреАрдПрд╕ рджрд┐рдЦрд╛рдИ рджрд┐рдпрд╛ (рдЕрдЪреНрдЫреА рддрд░рд╣ рд╕реЗ рд▓рдЧрдиреЗ рд╡рд╛рд▓реЗ рдбреЛрдореЗрди рдирд╛рдо rkn.example.com рдХреЗ рд╕рд╛рде) рдПрдХ рд╣рдЬрд╝рд╛рд░ рдмрдВрджрд░реЛрдВ рд╕реЗ, рдЬрд┐рдиреНрд╣реЗрдВ рдПрдХ рдмреИрдирд╛рдорд░ рдФрд░ рдмреНрд▓реЙрдХ рдХреЗ рд╕рд╛рде рддрд░рдВрдЧ рдкрд╕рдВрдж рд╣реИред / 16 рдПрдХ рдмрд╛рд░ рдореЗрдВред рдФрд░ рдЗрд╕ рдЫреЛрдЯреЗ VPS рдкрд░ рдХрддрд╛рдИ NIC.CZ рд╕реЗ BIRD рдирд╛рдордХ рд╕рд╣рдХрд░реНрдорд┐рдпреЛрдВ рдХреА рдЕрджреНрднреБрдд рд░рдЪрдирд╛ рдереАред рдкрд╣рд▓реЗ рд╕рдВрд╕реНрдХрд░рдг рдХреЗ рдкрдХреНрд╖реА рд▓рдЧрд╛рддрд╛рд░ рдмреИрдЯрди рдХреЗ рд╕рд╛рде рдмрдВрджрд░реЛрдВ рдХреА рдЧрддрд┐рд╡рд┐рдзрд┐ рд╕реЗ рджрд╣рд╢рдд рдореЗрдВ рдорд░ рдЧрдП, рдЬрд┐рдиреНрд╣реЛрдВрдиреЗ рдЕрдкрдиреА рд╢реНрд░рдо рдЧрддрд┐рд╡рд┐рдзрд┐ рдХреЗ рдЪрд░рдо рдкрд░ рд▓рдЧрднрдЧ 4% рдЗрдВрдЯрд░рдиреЗрдЯ рдкрд░ рдкреНрд░рддрд┐рдмрдВрдз рд▓рдЧрд╛ рджрд┐рдпрд╛, рдЬреЛ рдХрд┐ рдкреБрди: рд╕рдВрдпреЛрдЬрди рдХреЗ рджреМрд░рд╛рди рдЧрд╣рди рд╡рд┐рдЪрд╛рд░рд╢реАрд▓рддрд╛ рдХреЗ рд▓рд┐рдП рдЫреЛрдбрд╝рдХрд░, рдЗрд╕рд▓рд┐рдП рдЗрд╕реЗ 2.0.7 рд╕рдВрд╕реНрдХрд░рдг рдореЗрдВ рдЕрджреНрдпрддрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдпрджрд┐ рдкрд╛рдардХ рд░реБрдЪрд┐ рд░рдЦрддреЗ рд╣реИрдВ, рддреЛ рдореИрдВ BIRD рд╕реЗ BIRD2 рдореЗрдВ рдкрд░рд┐рд╡рд░реНрддрди рдкрд░ рдПрдХ рд▓реЗрдЦ рдкреНрд░рдХрд╛рд╢рд┐рдд рдХрд░реВрдВрдЧрд╛, рдЬрд┐рд╕рдореЗрдВ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдкреНрд░рд╛рд░реВрдк рдирд╛рдЯрдХреАрдп рд░реВрдк рд╕реЗ рдмрджрд▓ рдЧрдпрд╛ рд╣реИ,рд▓реЗрдХрд┐рди рдирдпрд╛ рд╕рдВрд╕реНрдХрд░рдг рдмрд╣реБрдд рддреЗрдЬ рд╣реЛ рдЧрдпрд╛ рд╣реИ рдФрд░ рдмрдбрд╝реА рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рдорд╛рд░реНрдЧреЛрдВ рдХреЗ рд╕рд╛рде рдкреБрди: рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдореЗрдВ рдХреЛрдИ рд╕рдорд╕реНрдпрд╛ рдирд╣реАрдВ рд╣реИред рдФрд░ рдЬрдм рд╕реЗ рд╣рдо рдбрд╛рдпрдиреЗрдорд┐рдХ рд░реВрдЯрд┐рдВрдЧ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВ, рддрдм рдПрдХ рдиреЗрдЯрд╡рд░реНрдХ рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП, рдЬрд┐рд╕рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЖрдкрдХреЛ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рд░реВрдЯ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, IPSec рдЗрдВрдЯрд░рдлреЗрд╕ рдирд╣реАрдВ рдмрдирд╛рддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдЗрд╕рдХреЗ рд▓рдЪреАрд▓реЗрдкрди рдХреЗ рдХрд╛рд░рдг, рд╣рдо рдХреНрд▓рд╛рд╕рд┐рдХ GRE рд╕реБрд░рдВрдЧреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬрд┐рдиреНрд╣реЗрдВ рд╣рдо рднрд╡рд┐рд╖реНрдп рдореЗрдВ рд╕рдВрд░рдХреНрд╖рд┐рдд рдХрд░реЗрдВрдЧреЗред рдПрдХ рдмреЛрдирд╕ рдХреЗ рд░реВрдк рдореЗрдВ, ipsecgw.example.com рдФрд░ rkn.example.com рдореЗрдЬрд╝рдмрд╛рди рдПрдХ-рджреВрд╕рд░реЗ рдХреЛ Lets Encrypt рдЖрддреНрдо-рдирд╡реАрдиреАрдХрд░рдг рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░реЗрдВрдЧреЗред рдХреЛрдИ рдкреАрдПрд╕рдХреЗ, рдХреЗрд╡рд▓ рдкреНрд░рдорд╛рдг рдкрддреНрд░, рдХреЗрд╡рд▓ рдХрдЯреНрдЯрд░, рдмрд╣реБрдд рд╕реБрд░рдХреНрд╖рд╛ рдирд╣реАрдВ рд╣реИредрдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, IPSec рдЗрдВрдЯрд░рдлреЗрд╕ рдирд╣реАрдВ рдмрдирд╛рддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдЗрд╕рдХреЗ рд▓рдЪреАрд▓реЗрдкрди рдХреЗ рдХрд╛рд░рдг, рд╣рдо рдХреНрд▓рд╛рд╕рд┐рдХ GRE рд╕реБрд░рдВрдЧреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬрд┐рдиреНрд╣реЗрдВ рд╣рдо рднрд╡рд┐рд╖реНрдп рдореЗрдВ рд╕рдВрд░рдХреНрд╖рд┐рдд рдХрд░реЗрдВрдЧреЗред рдПрдХ рдмреЛрдирд╕ рдХреЗ рд░реВрдк рдореЗрдВ, ipsecgw.example.com рдФрд░ rkn.example.com рдореЗрдЬрд╝рдмрд╛рди рдПрдХ-рджреВрд╕рд░реЗ рдХреЛ Lets Encrypt рдЖрддреНрдо-рдирд╡реАрдиреАрдХрд░рдг рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░реЗрдВрдЧреЗред рдХреЛрдИ рдкреАрдПрд╕рдХреЗ, рдХреЗрд╡рд▓ рдкреНрд░рдорд╛рдг рдкрддреНрд░, рдХреЗрд╡рд▓ рдХрдЯреНрдЯрд░, рдмрд╣реБрдд рд╕реБрд░рдХреНрд╖рд╛ рдирд╣реАрдВ рд╣реИредрдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, IPSec рдЗрдВрдЯрд░рдлреЗрд╕ рдирд╣реАрдВ рдмрдирд╛рддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдЗрд╕рдХреЗ рд▓рдЪреАрд▓реЗрдкрди рдХреЗ рдХрд╛рд░рдг, рд╣рдо рдХреНрд▓рд╛рд╕рд┐рдХ GRE рд╕реБрд░рдВрдЧреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬрд┐рдиреНрд╣реЗрдВ рд╣рдо рднрд╡рд┐рд╖реНрдп рдореЗрдВ рд╕рдВрд░рдХреНрд╖рд┐рдд рдХрд░реЗрдВрдЧреЗред рдПрдХ рдмреЛрдирд╕ рдХреЗ рд░реВрдк рдореЗрдВ, ipsecgw.example.com рдФрд░ rkn.example.com рдореЗрдЬрд╝рдмрд╛рди рдПрдХ-рджреВрд╕рд░реЗ рдХреЛ Lets Encrypt рдЖрддреНрдо-рдирд╡реАрдиреАрдХрд░рдг рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░реЗрдВрдЧреЗред рдХреЛрдИ рдкреАрдПрд╕рдХреЗ, рдХреЗрд╡рд▓ рдкреНрд░рдорд╛рдг рдкрддреНрд░, рдХреЗрд╡рд▓ рдХрдЯреНрдЯрд░, рдмрд╣реБрдд рд╕реБрд░рдХреНрд╖рд╛ рдирд╣реАрдВ рд╣реИред

рд╣рдо рдорд╛рдирддреЗ рд╣реИрдВ рдХрд┐ рд╡реАрдкреАрдПрд╕ рддреИрдпрд╛рд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рд╕реНрдЯреНрд░реЙрдиреНрдЧреЗрд╕реНрд╡рд╛рди рдФрд░ рд╕рд░реНрдмреЛрдЯ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рд╕реНрдерд╛рдкрд┐рдд рд╣реИрдВред

Ipsecgw.example.com рд╣реЛрд╕реНрдЯ рдкрд░ (рдЗрд╕рдХрд╛ IP 1.1.1.1 рд╣реИ), рд╣рдо рдирдП gif0 рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХрд╛ рд╡рд░реНрдгрди рдХрд░рддреЗ рд╣реИрдВ:
sudo vi /etc/sysconfig/network-scripts/ifcfg-gif0
DEVICE="gif0"
MY_OUTER_IPADDR="1.1.1.1"
PEER_OUTER_IPADDR="5.5.5.5"
MY_INNER_IPADDR="10.255.255.1/30"
PEER_INNER_IPADDR="10.255.255.2/30"
TYPE="GRE"
TTL="64"
MTU="1442"
ONBOOT="yes"

рд╣реЛрд╕реНрдЯ vps.example.com рдкрд░ рдкреНрд░рддрд┐рдмрд┐рдВрдмрд┐рдд (рдЗрд╕рдХрд╛ IP 5.5.5.5 рд╣реИ):

sudo vi /etc/sysconfig/network-scripts/ifcfg-gif0
DEVICE="gif0"
MY_OUTER_IPADDR="5.5.5.5"
PEER_OUTER_IPADDR="1.1.1.1"
MY_INNER_IPADDR="10.255.255.2/30"
PEER_INNER_IPADDR="10.255.255.1/30"
TYPE="GRE"
TTL="64"
MTU="1442"
ONBOOT="yes"

рд╣рдо рдЗрдВрдЯрд░рдлреЗрд╕ рдмрдврд╝рд╛рддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдЪреВрдВрдХрд┐ iptables рдореЗрдВ рдПрдХ рдирд┐рдпрдо рдирд╣реАрдВ рд╣реИ рдЬреЛ GRE рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдЯреНрд░реИрдлрд╝рд┐рдХ рдирд╣реАрдВ рдЬрд╛рдПрдЧрд╛ (рдЬреЛ рд╣рдореЗрдВ рдЪрд╛рд╣рд┐рдП, рдХреНрдпреЛрдВрдХрд┐ рдХрд┐рд╕реА рднреА рдкреНрд░рдХрд╛рд░ рдХреЗ рд╡рд┐рдзрд╛рдпреА "рдкреИрдХреЗрдЬ" рдХреЗ рдкреНрд░рд╢рдВрд╕рдХреЛрдВ рдХреЗ рдЦрд┐рд▓рд╛рдл GRE рдХреЗ рдЕрдВрджрд░ рдХреЛрдИ рд╕реБрд░рдХреНрд╖рд╛ рдирд╣реАрдВ рд╣реИ)ред

рдкрд╛рдХ рдХрд▓рд╛ рд╡реА.рдкреА.рдПрд╕.


рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рд╣рдореЗрдВ рдбреЛрдореЗрди рдирд╛рдо rkn.example.com рдХреЗ рд▓рд┐рдП рдПрдХ рдФрд░ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдорд┐рд▓рддрд╛ рд╣реИред рдкрд┐рдЫрд▓реЗ рдЕрдиреБрднрд╛рдЧ рдореЗрдВ рд╡рд░реНрдгрд┐рдд рдХреЗ рд░реВрдк рдореЗрдВ /etc/strongswan/ipsec.d рдореЗрдВ рд╕реАрдорд▓рд┐рдВрдХ рдмрдирд╛рдПрдВред

Ipsec.secrets рдХреЛ рдЗрд╕рдореЗрдВ рдПрдХ рдкрдВрдХреНрддрд┐ рдЬреЛрдбрд╝рдХрд░ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ:

rkn.example.com     : RSA key.pem

Ipsec.conf рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ:

config setup
    charondebug = "dmn 0, mgr 0, ike 0, chd 0, job 0, cfg 0, knl 0, net 0, asn 0, enc 0, lib 0, esp 0, tls 0, tnc 0, imc 0, imv 0, pts 0"
    strictcrlpolicy = yes
conn %default
    reauth = yes
    rekey = yes
    keyingtries = %forever
    keyexchange = ikev2
    dpdaction = restart
    dpddelay = 5s
    mobike = yes
conn rkn
    left = %defaultroute
    right = ipsecgw.example.com
    authby = pubkey
    leftcert = fullchain.pem
    leftsendcert = always
    leftauth = pubkey
    rightauth = pubkey
    leftid = "CN=rkn.example.com"
    rightid = "CN=ipsecgw.example.com"
    rightrsasigkey = /etc/strongswan/ipsec.d/certs/ipsecgw.example.com.pem
    leftsubnet = %dynamic
    rightsubnet = %dynamic
    type = transport
    ike = aes256gcm16-sha384-x25519!
    esp = aes256gcm16-sha384-x25519!
    auto = route

рд╣реЛрд╕реНрдЯ рдХреА рдУрд░, ipsecgw.example.com рдХреЛ рд╕реЗрдЯрдЕрдк рдЕрдиреБрднрд╛рдЧ рдореЗрдВ ipsec.conf рдореЗрдВ рднреА рдЬреЛрдбрд╝рд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬреЛ рдХрд┐ рдХрдбрд╝реЗ рд╕рд░реНрдХреЛрд▓рд╕реНрдкрд╛рдИ = рд╣рд╛рдВ рдкреИрд░рд╛рдореАрдЯрд░ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рд╕рдЦреНрдд CRL рдЬрд╛рдБрдЪ рд╢рд╛рдорд┐рд▓ рд╣реИред рдФрд░ рдПрдХ рдЕрдиреНрдп рдХрдиреЗрдХреНрд╢рди рдХрд╛ рд╡рд░реНрдгрди рдХрд░реЗрдВ:

conn rkn
    left = %defaultroute
    right = rkn.example.com
    leftcert = fullchain.pem
    leftsendcert = always
    leftauth = pubkey
    rightauth = pubkey
    rightrsasigkey = /etc/strongswan/ipsec.d/certs/rkn.exapmle.com.pem
    leftid = "CN=ipsecgw.example.com"
    rightid = "CN=rkn.example.com"
    leftsubnet = %dynamic
    rightsubnet = %dynamic
    type = transport
    ike = aes256gcm16-sha384-x25519!
    esp = aes256gcm16-sha384-x25519!
    auto = route
    dpdaction = restart

рдХрдиреНрдлрд╝рд┐рдЧрд▓реНрд╕ рд▓рдЧрднрдЧ рдорд┐рд░рд░ рдХрд┐рдП рдЧрдП рд╣реИрдВред рдЪреМрдХрд╕ рдкрд╛рдардХ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдХреБрдЫ рдмрд┐рдВрджреБрдУрдВ рдкрд░ рдзреНрдпрд╛рди рджреЗ рд╕рдХрддрд╛ рд╣реИ:

  • рдмрд╛рдпрд╛рдВ / рд░рд╛рдЗрдЯреНрд╕рдмрдиреЗрдЯ =% рдбрд╛рдпрдиреЗрдорд┐рдХ - рд╕реНрдЯреНрд░рд╛рдВрдЧреНрд╕рд╡рд╛рди рдХреЛ рдирд┐рд░реНрджреЗрд╢ рджреЗрддрд╛ рд╣реИ рдХрд┐ рд╕рд╛рдерд┐рдпреЛрдВ рдХреЗ рдмреАрдЪ рд╕рднреА рдкреНрд░рдХрд╛рд░ рдХреЗ рдпрд╛рддрд╛рдпрд╛рдд рдХреЗ рд▓рд┐рдП рдиреАрддрд┐рдпрд╛рдВ рд▓рд╛рдЧреВ рдХрд░реЗрдВ
  • rightrsasigkey. IKE SA IKE AUTH ERROR , Strongswan RSA- . openssl. (ipsecgw RKN) sudo /usr/bin/openssl rsa -in /etc/letsencrypt/live/ipsecgw.example.com/privkey.pem -pubout > ~/ipsecgw.example.com.pem sudo /usr/bin/openssl rsa -in /etc/letsencrypt/live/rkn.example.com/privkey.pem -pubout > ~/rkn.example.com.pem, scp ,

рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдФрд░ рдСрдЯреЛ-рдирд╡реАрдиреАрдХрд░рдг рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛ рди рднреВрд▓реЗрдВред рджреЛрдиреЛрдВ рд╕рд░реНрд╡рд░реЛрдВ рдкрд░ рд╕реНрдЯреНрд░реЛрдВрдЧрд╕реНрд╡рд╛рди рдХреЛ рдлрд┐рд░ рд╕реЗ рд╢реБрд░реВ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдЬреАрдЖрд░рдИ рд╕реБрд░рдВрдЧ рдХреЗ рджреВрд░ рдХрд┐рдирд╛рд░реЗ рдХреЛ рд╢реБрд░реВ рдХрд░реЗрдВ рдФрд░ рдПрдХ рд╕рдлрд▓ рдХрдиреЗрдХреНрд╢рди рджреЗрдЦреЗрдВред VPS (rkn) рдкрд░:

sudo strongswan status
Routed Connections:
         rkn{1}:  ROUTED, TRANSPORT, reqid 1
         rkn{1}:   5.5.5.5/32 === 1.1.1.1/32
Security Associations (1 up, 0 connecting):
         rkn[33]: ESTABLISHED 79 minutes ago, 5.5.5.5[CN=rkn.example.com]...1.1.1.1[CN=ipsecgw.example.com]
         rkn{83}:  INSTALLED, TRANSPORT, reqid 1, ESP SPIs: cb4bc3bb_i c4c35a5a_o
         rkn{83}:   5.5.5.5/32 === 1.1.1.1/32


рдФрд░ рдореЗрдЬрдмрд╛рди рдХреА рддрд░рдл ipsecgw
рдмрд┐рдЧрд╛рдбрд╝рдиреЗ рд╡рд╛рд▓рд╛
Routed Connections:
         rkn{1}:  ROUTED, TRANSPORT, reqid 1
         rkn{1}:   1.1.1.1/32 === 5.5.5.5/32
Security Associations (4 up, 0 connecting):
remote-access[10]: ESTABLISHED 5 seconds ago, 1.1.1.1[CN=ipsecgw.example.com]...4.4.4.4[phone]
remote-access{12}:  INSTALLED, TUNNEL, reqid 7, ESP in UDP SPIs: c7a31be1_i a231904e_o
remote-access{12}:   0.0.0.0/0 === 10.1.1.1/32
    keenetic[8]: ESTABLISHED 22 minutes ago, 1.1.1.1[keenetic@router.home.local]...3.3.3.3[root@router.keenetic.local]
    keenetic{11}:  INSTALLED, TUNNEL, reqid 6, ESP SPIs: cfc1b329_i c01e1b6e_o
    keenetic{11}:   10.0.0.0/23 === 10.0.4.0/24
        mama[4]: ESTABLISHED 83 minutes ago, 1.1.1.1[mama@router.home.local]...2.2.2.2[root@router.mama.local]
        mama{8}:  INSTALLED, TUNNEL, reqid 3, ESP in UDP SPIs: c4a5451a_i ca67c223_o
        mama{8}:   10.0.0.0/23 10.1.1.0/24 === 10.0.3.0/24
         rkn[3]: ESTABLISHED 83 minutes ago, 1.1.1.1[CN=ipsecgw.example.com]...5.5.5.5[CN=rkn.example.com]
         rkn{7}:  INSTALLED, TRANSPORT, reqid 1, ESP SPIs: c4c35a5a_i cb4bc3bb_o
         rkn{7}:   1.1.1.1/32 === 5.5.5.5/32


рд╕реБрд░рдВрдЧ рд╕реНрдерд╛рдкрд┐рдд рд╣реИ, рдкрд┐рдВрдЧ рдЪрд▓рддреЗ рд╣реИрдВ, tcpdump рдореЗрдВ рдпрд╣ рджрд┐рдЦрд╛рдИ рджреЗрддрд╛ рд╣реИ рдХрд┐ рдХреЗрд╡рд▓ рдИрдПрд╕рдкреА рдореЗрдЬрдмрд╛рдиреЛрдВ рдХреЗ рдмреАрдЪ рдЬрд╛рддрд╛ рд╣реИред рдРрд╕рд╛ рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реЛрдЧрд╛ред рд▓реЗрдХрд┐рди рдЖрдк рдЕрдВрдд рддрдХ рд╕рдм рдХреБрдЫ рдЬрд╛рдВрдЪреЗ рдмрд┐рдирд╛ рдЖрд░рд╛рдо рдирд╣реАрдВ рдХрд░ рд╕рдХрддреЗред рд╣рдо VPS рдФрд░ ... рдХреЗ рд▓рд┐рдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдлрд┐рд░ рд╕реЗ рдЬрд╛рд░реА рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд░рд╣реЗ рд╣реИрдВ

рдорд╣рд╛рд░рд╛рдЬ, рдпрд╣ рд╕рдм рдЯреВрдЯ рдЧрдпрд╛ рд╣реИ


рд╣рдо рд▓реЗрдЯреНрд╕ рдПрдирдХреНрд░рд┐рдкреНрдЯ рдХреА рдПрдХ рдЕрдкреНрд░рд┐рдп рд╡рд┐рд╢реЗрд╖рддрд╛ рдХреЛ рд╕рдордЭрдирд╛ рдФрд░ рдареЛрдХрд░ рдЦрд╛рдирд╛ рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВ, рдЬреЛ рдХрд┐ рдмрд╛рдХреА рд╕рдм рдореЗрдВ рд╕реБрдВрджрд░ рд╣реИ - рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЗ рдХрд┐рд╕реА рднреА рдкреБрдирд░реНрдЬрд╛рдЧрд░рдг рдХреЗ рд╕рд╛рде, рдЗрд╕рд╕реЗ рдЬреБрдбрд╝реА рдирд┐рдЬреА рдХреБрдВрдЬреА рднреА рдмрджрд▓ рдЬрд╛рддреА рд╣реИред рдирд┐рдЬреА рдХреБрдВрдЬреА рдмрджрд▓ рдЧрдИ рд╣реИ - рдФрд░ рдЬрдирддрд╛ рдмрджрд▓ рдЧрдИ рд╣реИред рдкрд╣рд▓реА рдирдЬрд╝рд░ рдореЗрдВ, рд╕реНрдерд┐рддрд┐ рд╣рдорд╛рд░реЗ рд▓рд┐рдП рдирд┐рд░рд╛рд╢рд╛рдЬрдирдХ рд╣реИ: рднрд▓реЗ рд╣реА рд╣рдо рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрдЯ рдореЗрдВ рд╣реБрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЛ рдлрд┐рд░ рд╕реЗ рдЬрд╛рд░реА рдХрд░рдиреЗ рдХреЗ рджреМрд░рд╛рди рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдВрдЬреА рдХреЛ рдЖрд╕рд╛рдиреА рд╕реЗ рдирд┐рдХрд╛рд▓ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдПрд╕рдПрд╕рдПрдЪ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рджреВрд░рд╕реНрде рдкрдХреНрд╖ рдореЗрдВ рдЗрд╕реЗ рдкрд╛рд░рд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдпрд╣ рд╕реНрдкрд╖реНрдЯ рдирд╣реАрдВ рд╣реИ рдХрд┐ рджреВрд░рд╕реНрде рд╕реНрдЯреНрд░реЗрдВрдерди рдХреЛ рдЗрд╕реЗ рдХреИрд╕реЗ рдкрдврд╝рд╛ рдЬрд╛рдПред рд▓реЗрдХрд┐рди рдорджрдж рд╡рд╣рд╛рдВ рд╕реЗ рдЖрдИ рдЬрд╣рд╛рдВ рдЙрдиреНрд╣реЛрдВрдиреЗ рдЗрдВрддрдЬрд╛рд░ рдирд╣реАрдВ рдХрд┐рдпрд╛ - рд╕рд┐рд╕реНрдЯрдордб рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдмрджрд▓рд╛рд╡ рдХреА рдирд┐рдЧрд░рд╛рдиреА рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдШрдЯрдирд╛ рд╕реЗ рдЬреБрдбрд╝реА рд╕реЗрд╡рд╛рдУрдВ рдХреЛ рдЪрд▓рд╛ рд╕рдХрддрд╛ рд╣реИред рд╣рдо рдЗрд╕рдХрд╛ рдлрд╛рдпрджрд╛ рдЙрдард╛рдПрдВрдЧреЗред

рд╣рдо рдкреНрд░рддреНрдпреЗрдХ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдореЗрдЬрдмрд╛рдиреЛрдВ рдкрд░ рд╕рдмрд╕реЗ рдЕрдзрд┐рдХ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рдПрдХ рдХреАрд╡рд╛рдЪрд░ рд╕реЗрд╡рд╛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдмрдирд╛рдПрдВрдЧреЗ, рдЙрдирдореЗрдВ рд╕реЗ рдкреНрд░рддреНрдпреЗрдХ рдХреЗ рд▓рд┐рдП SSH рдХреБрдВрдЬрд┐рдпрд╛рдБ рдмрдирд╛рдПрдВрдЧреЗ рдФрд░ рдЙрдиреНрд╣реЗрдВ рдореЗрдЬрдмрд╛рди рдХреЗ рдмреАрдЪ рдЖрджрд╛рди-рдкреНрд░рджрд╛рди рдХрд░реЗрдВрдЧреЗред

Ipsecgw.example.com рд╣реЛрд╕реНрдЯ рдкрд░, / рдСрдкреНрдЯ / ipsec-pubkey рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдмрдирд╛рдПрдБ рдЬрд┐рд╕рдореЗрдВ рд╣рдо 2 рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд░рдЦрддреЗ рд╣реИрдВред

sudo vi /opt/ipsec-pubkey/pubkey-copy.sh

#!/bin/sh
if [ ! -f /home/keywatcher/ipsecgw.example.com.pem ]; then
  /usr/bin/openssl rsa -in /etc/letsencrypt/live/ipsecgw.example.com/privkey.pem -pubout > /home/keywatcher/ipsecgw.example.com.pem;
  /usr/bin/chown keywatcher:keywatcher /home/keywatcher/ipsecgw.example.com.pem;
  /usr/bin/chmod 0600 /home/keywatcher/ipsecgw.example.com.pem;
  sudo -u keywatcher /usr/bin/scp /home/keywatcher/ipsecgw.example.com.pem rkn.example.com:/home/keywatcher/ipsecgw.example.com.pem;
  status=$?;
  if [ $status -eq 0 ]; then
    rm -f /home/keywatcher/ipsecgw.example.com.pem;
    logger "Public key ipsecgw.example.com.pem has been successfully uploaded to remote host";
  else
    logger "Public key ipsecgw.example.com.pem has not been uploaded to remote host due to error";
  fi
  else
    logger "Public key ipsecgw.example.com.pem already exist on /home/keywatcher directory, something went wrong";
fi
exit 0

sudo vi /opt/ipsec-pubkey/key-updater.sh

#!/bin/sh
/usr/bin/cp /home/keywatcher/rkn.example.com.pem /etc/strongswan/ipsec.d/certs/rkn.example.com.pem
/usr/bin/chown root:root /etc/strongswan/ipsec.d/certs/rkn.example.com.pem
/usr/bin/chmod 0600 /etc/strongswan/ipsec.d/certs/rkn.example.com.pem
logger "Public key of server rkn.example.com has been updated, restarting strongswan daemon to re-read it"
/usr/bin/systemctl restart strongswan
exit 0

VPS (рд╣реЛрд╕реНрдЯ rkn.example.com) рдкрд░, рд╣рдо рдЗрд╕реА рддрд░рд╣ рдЙрд╕реА рдирд╛рдо рд╕реЗ рдПрдХ рдбрд╛рдпрд░реЗрдХреНрдЯрд░реА рдмрдирд╛рддреЗ рд╣реИрдВ, рдЬрд┐рд╕рдореЗрдВ рд╣рдо рд╕рдорд╛рди рд╕реНрдХреНрд░рд┐рдкреНрдЯ рднреА рдмрдирд╛рддреЗ рд╣реИрдВ, рдЬрд┐рд╕рд╕реЗ рдХреЗрд╡рд▓ рдХреА рдХрд╛ рдирд╛рдо рдмрджрд▓ рдЬрд╛рддрд╛ рд╣реИред рдХреЛрдб, рдХреЗ рддрд╣рдд рд▓реЗрдЦ рдХреЛ рдЕрд╡реНрдпрд╡рд╕реНрдерд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдирд╣реАрдВ

рд╕реНрдкреЙрдЗрд▓рд░
sudo vi /opt/ipsec-pubkey/pubkey-copy.sh
#!/bin/sh
if [ ! -f /home/keywatcher/rkn.example.com.pem ]; then
  /usr/bin/openssl rsa -in /etc/letsencrypt/live/rkn.example.com/privkey.pem -pubout > /home/keywatcher/rkn.example.com.pem;
  /usr/bin/chown keywatcher:keywatcher /home/keywatcher/rkn.example.com.pem;
  /usr/bin/chmod 0600 /home/keywatcher/rkn.example.com.pem;
  sudo -u keywatcher /usr/bin/scp /home/keywatcher/rkn.example.com.pem ipsecgw.example.com:/home/keywatcher/rkn.example.com.pem;
  status=$?;
  if [ $status -eq 0 ]; then
    rm -f /home/keywatcher/rkn.example.com.pem;
    logger "Public key rkn.example.com.pem has been successfully uploaded to remote host";
  else
    logger "Public key rkn.example.com.pem has not been uploaded to remote host";
  fi
  else
    logger "Public key rkn.example.com.pem already exist on /home/keywatcher directory, something went wrong";
fi
exit 0


sudo vi /opt/ipsec-pubkey/key-updater.sh


#!/bin/bash
/usr/bin/cp /home/keywatcher/ipsecgw.example.com.pem /etc/strongswan/ipsec.d/certs/ipsecgw.example.com.pem;
/usr/bin/chown root:root /etc/strongswan/ipsec.d/certs/ipsecgw.example.com.pem
/usr/bin/chmod 0600 /etc/strongswan/ipsec.d/certs/ipsecgw.example.com.pem
logger "Public key of server ipsecgw.example.com has been updated, restarting connection"
/usr/bin/systemctl restart strongswan
exit 0


рдирдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЬрд╛рд░реА рдХрд░рддреЗ рд╕рдордп рдХреБрдВрдЬреА рдХреЗ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рднрд╛рдЧ рдХреЛ рдирд┐рдХрд╛рд▓рдиреЗ рдФрд░ рджреВрд░рд╕реНрде рд╣реЛрд╕реНрдЯ рдореЗрдВ рдХреЙрдкреА рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП pubkey-copy.sh рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рджреЛрдиреЛрдВ рд╕рд░реНрд╡рд░ рдкрд░ / etc / letencrypt / рдирд╡реАрдиреАрдХрд░рдг-рд╣реБрдХ / рдкрд░рд┐рдирд┐рдпреЛрдЬрд┐рдд рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ, рдПрдХ рдФрд░ рдорд╛рдЗрдХреНрд░реЛрд╕реНрдХреНрд░рд┐рдкреНрдЯ рдмрдирд╛рдПрдБ:


#!/bin/sh
/opt/ipsec-pubkey/pubkey-copy.sh > /dev/null 2>&1
/usr/bin/systemctl restart strongswan
exit 0

рд╕рдорд╕реНрдпрд╛ рдХрд╛ рдЖрдзрд╛ рд╣рд▓ рд╣реЛ рдЧрдпрд╛ рд╣реИ, рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдлрд┐рд░ рд╕реЗ рдЬрд╛рд░реА рдХрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВ, рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдВрдЬрд┐рдпреЛрдВ рдХреЛ рд╕рд░реНрд╡рд░ рдХреЗ рдмреАрдЪ рдирд┐рдХрд╛рд▓рд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдХреЙрдкреА рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдФрд░ рд╕рдордп рдЖ рдЧрдпрд╛ рд╣реИ рдХрд┐ рдЗрд╕рдХреА рдкрде рдЗрдХрд╛рдЗрдпреЛрдВ рдХреЗ рд╕рд╛рде рд╕рд┐рд╕реНрдЯрдореИрдб рдХрд┐рдпрд╛ рдЬрд╛рдПред

/ Etc / systemd / system рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ ipsecgw.example.com рд╕рд░реНрд╡рд░ рдкрд░, keyupdater.pp рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рдПрдВ

[Unit]
Wants=strongswan.service
[Path]
PathChanged=/home/keywatcher/rkn.example.com.pem
[Install]
WantedBy=multi-user.target

рдЗрд╕реА рддрд░рд╣ VPS рд╣реЛрд╕реНрдЯ рдкрд░:

[Unit]
Wants=strongswan.service
[Path]
PathChanged=/home/keywatcher/ipsecgw.example.com.pem
[Install]
WantedBy=multi-user.target

рдФрд░ рдЕрдВрдд рдореЗрдВ, рдкреНрд░рддреНрдпреЗрдХ рд╕рд░реНрд╡рд░ рдкрд░ рд╣рдо рдЗрд╕ рдЗрдХрд╛рдИ рд╕реЗ рдЬреБрдбрд╝реА рдПрдХ рд╕реЗрд╡рд╛ рдмрдирд╛рддреЗ рд╣реИрдВ, рдЬрд┐рд╕реЗ рддрдм рд▓реЙрдиреНрдЪ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ рдЬрдм рд╢рд░реНрдд (PathChanged) рдкреВрд░реА рд╣реЛ рдЬрд╛рдПрдЧреА - рдлрд╝рд╛рдЗрд▓ рдХреЛ рдмрджрд▓рдирд╛ рдФрд░ рд░рд┐рдХреЙрд░реНрдбрд┐рдВрдЧ рдХреЗ рдмрд╛рдж рдЗрд╕реЗ рдмрдВрдж рдХрд░рдирд╛ред рд╣рдо рдлрд╛рдЗрд▓ /etc/systemd/system/keyupdater.service рдмрдирд╛рддреЗ рд╣реИрдВ рдФрд░ рд▓рд┐рдЦрддреЗ рд╣реИрдВ:

[Unit]
Description= Starts the IPSec key updating script
Documentation= man:systemd.service
[Service]
Type=oneshot
ExecStart=/opt/ipsec-pubkey/key-updater.sh
[Install]
WantedBy=multi-user.target

Sudo systemctl daemon-reload рдХреЗ рд╕рд╛рде systemd рд╡рд┐рдиреНрдпрд╛рд╕ рдХреЛ рдлрд┐рд░ рд╕реЗ рдкрдврд╝рдирд╛ рди рднреВрд▓реЗрдВ рдФрд░ sudo systemctl рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрде рдЗрдХрд╛рдЗрдпреЛрдВ рдХреЛ autostart рдЕрд╕рд╛рдЗрди рдХрд░реЗрдВ keyupdater.path && sudo systemctl start keyupdater рд╕рдХреНрд╖рдо рдХрд░реЗрдВред

рдЬреИрд╕реЗ рд╣реА рджреВрд░рд╕реНрде рд╣реЛрд╕реНрдЯ keywatcher рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╣реЛрдо рдбрд╛рдпрд░реЗрдХреНрдЯрд░реА рдХреЗ рд▓рд┐рдП рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдВрдЬреА рд╡рд╛рд▓реА рдлрд╝рд╛рдЗрд▓ рд▓рд┐рдЦрддрд╛ рд╣реИ рдФрд░ рдлрд╝рд╛рдЗрд▓ рдбрд┐рд╕реНрдХреНрд░рд┐рдкреНрдЯрд░ рдмрдВрдж рд╣реЛ рдЬрд╛рддрд╛ рд╣реИ, systemd рдЕрдкрдиреЗ рдЖрдк рд╕рдВрдмрдВрдзрд┐рдд рд╕реЗрд╡рд╛ рд╢реБрд░реВ рдХрд░ рджреЗрдЧрд╛, рдЬреЛ рдХреБрдВрдЬреА рдХреЛ рд╡рд╛рдВрдЫрд┐рдд рд╕реНрдерд╛рди рдкрд░ рдХреЙрдкреА рдХрд░ рджреЗрдЧрд╛ рдФрд░ рд╕реНрдЯреНрд░рд╛рдВрдЧрд╕реНрд╡рд╛рди рдХреЛ рдкреБрдирдГ рдЖрд░рдВрдн рдХрд░реЗрдЧрд╛ред рд╕реБрд░рдВрдЧ рдХреЛ рджреВрд╕рд░реА рддрд░рдл рдХреА рд╕рд╣реА рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдВрдЬреА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред

рдЖрдк рд╕рд╛рдБрд╕ рдЫреЛрдбрд╝рддреЗ рдФрд░ рдкрд░рд┐рдгрд╛рдо рдХрд╛ рдЖрдирдВрдж рд▓реЗ рд╕рдХрддреЗ рд╣реИрдВред

рдПрдХ рдирд┐рд╖реНрдХрд░реНрд╖ рдХреЗ рдмрдЬрд╛рдп


рдЬреИрд╕рд╛ рдХрд┐ рд╣рдордиреЗ рдЕрднреА рджреЗрдЦрд╛ рдирд░рдХ IPSec рдЙрддрдирд╛ рдбрд░рд╛рд╡рдирд╛ рдирд╣реАрдВ рд╣реИ рдЬрд┐рддрдирд╛ рдХрд┐ рдЗрд╕реЗ рдЪрд┐рддреНрд░рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рд╡рд░реНрдгрд┐рдд рд╕рднреА рдХреЛ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдкрд░рд┐рдЪрд╛рд▓рди рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╣реИ рдЬреЛ рд╡рд░реНрддрдорд╛рди рдореЗрдВ рдЙрдкрдпреЛрдЧ рдореЗрдВ рд╣реИред рдмрд╣реБрдд рдЕрдзрд┐рдХ рдЬреНрдЮрд╛рди рдХреЗ рдмрд┐рдирд╛ рднреА, рдЖрдк рдПрдХ рд╡реАрдкреАрдПрди рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдордЬрд╝рдмреВрддреА рд╕реЗ рдЕрдкрдиреЗ рдбреЗрдЯрд╛ рдХреА рд░рдХреНрд╖рд╛ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рдмреЗрд╢рдХ, iptables рд╕реЗрдЯрдЕрдк рдХреЗ рдХреНрд╖рдг рд▓реЗрдЦ рдХреЗ рджрд╛рдпрд░реЗ рдХреЗ рдмрд╛рд╣рд░ рдмрдиреЗ рд░рд╣реЗ, рд▓реЗрдХрд┐рди рд▓реЗрдЦ рдЦреБрдж рд╣реА рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдирд┐рдХрд▓рд╛ рд╣реБрдЖ рдерд╛, рдФрд░ iptables рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдмрд╣реБрдд рдХреБрдЫ рд▓рд┐рдЦрд╛ рдЬрд╛ рдЪреБрдХрд╛ рд╣реИред

рд▓реЗрдЦ рдореЗрдВ рдРрд╕реЗ рдмрд┐рдВрджреБ рд╣реИрдВ рдЬреЛ рд╕реБрдзрд╛рд░ рдХрд┐рдП рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВ, рдпрд╣ рд╕реНрдЯреНрд░рд╛рдВрдЧреНрд╕рд╡рди рдбреЗрдореЙрди рдХреЛ рдлрд┐рд░ рд╕реЗ рд╢реБрд░реВ рдХрд░рдиреЗ рд╕реЗ рдЗрдирдХрд╛рд░ рдХрд░ рд╕рдХрддрд╛ рд╣реИ, рдЗрд╕рдХреЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдФрд░ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЛ рдлрд┐рд░ рд╕реЗ рдкрдврд╝рдирд╛, рд▓реЗрдХрд┐рди рдореИрдВ рдЗрд╕реЗ рд╣рд╛рд╕рд┐рд▓ рдирд╣реАрдВ рдХрд░ рд╕рдХрд╛ред

рд╣рд╛рд▓рд╛рдБрдХрд┐, рдбреЗрдореЙрди рдХреЗ рдкреБрдирд░рд╛рд░рдВрдн рдореЗрдВ рдбрд░ рдирд╣реАрдВ рд╣реИ: рд╕рд╛рдерд┐рдпреЛрдВ рдХреЗ рдмреАрдЪ рдПрдХ рдпрд╛ рджреЛ рдкрд┐рдВрдЧ рдЦреЛ рдЬрд╛рддреЗ рд╣реИрдВ, рдореЛрдмрд╛рдЗрд▓ рдХреНрд▓рд╛рдЗрдВрдЯ рдХрдиреЗрдХреНрд╢рди рдХреЛ рд╕реНрд╡рдпрдВ рдкреБрдирд░реНрд╕реНрдерд╛рдкрд┐рдд рдХрд░рддреЗ рд╣реИрдВред

рдореБрдЭреЗ рдЖрд╢рд╛ рд╣реИ рдХрд┐ рдЯрд┐рдкреНрдкрдгреА рдореЗрдВ рд╕рд╣рдХрд░реНрдореА рд╕рд╣реА рд╕рдорд╛рдзрд╛рди рдХрд╛ рд╕рдВрдХреЗрдд рджреЗрдВрдЧреЗред

More articles:


All Articles