IPSec - Public - Redmine by JustNet.pl

Proces instalacji¶

Instalacja na Debian GNU Linux Pokaż Ukryj

apt-get install strongswan strongswan-swanctl libstrongswan-standard-plugins libstrongswan-extra-plugins

Lokalizacja certyfikatów Pokaż Ukryj

Certyfikaty zapisujemy w strukturze /etc/swanctl, zgodnie z informacja konfogiracja przez /etc/ipsec.conf nie jest już wspierana

ROOT CA uzyskane z:

przekazane w instrukcji(plik DOC)
pobrane z strony https://sou1.plicbd.gov.pl/, knowlage base
zapisujemy wkatalogu */etc/swanctl/x509ca/

# ls /etc/swanctl/x509ca/
PLI-CBD-ISSUE-TWO-CA.pem
PLI-CBD-ROOT-CA.pem

Wygenerowany klucz RSA network.key zapisujemy w /etc/swanctl/private/

# ls -l /etc/swanctl/private/
network.key

Wygenerowany certyfikat na podstawie przesłanego pliku CSR zapisujemy w /etc/swanctl/x509/

# ls -l /etc/swanctl/x509/
network.crt

Aby klucze zostały załadowane należy wykonać restart strongswan

systemctl stop strongswan; \
systemctl start strongswan;

W logach /var/log/syslog powinniśmy widzieć informacje

loaded certificate from '/etc/swanctl/x509/network.crt'
loaded certificate from '/etc/swanctl/x509ca/PLI-CBD-ISSUE-TWO-CA.pem'
loaded certificate from '/etc/swanctl/x509ca/PLI-CBD-ROOT-CA.pem'
loaded private key from '/etc/swanctl/private/network.key'

w komenda swanctl --list-certs, dla network.crt powinna zwrócić

pubkey:    RSA 2048 bits, has private key

Konfiguracja Tunelu Pokaż Ukryj

cat plicbd.conf 
connections {

    siemianowice {
        local_addrs = x.x.x.x # ip serwera
        remote_addrs = 91.217.24.14
        version = 1

        local {
            auth = pubkey
            certs = network.crt
            id = @plicbd.x.y.pl  # Domena wpisana w certyfikat
        }

        remote {
            auth = pubkey
#            certs = PLI-CBD-ISSUE-TWO-CA.pem
            id = S-DMZ-FWL-1201.plicbd.pl
        }

        children {
            c-siemianowice {
                local_ts = 10.104.x.204/30, 10.104.x.144/28 # lokalne sieci do routingu z dostarczonej dokumentacji w DOC
                remote_ts = 91.217.24.10, 91.217.24.19, 91.217.24.35, 91.217.24.100
                start_action = trap
                esp_proposals = aes256-sha1-modp1024
            }
        }

        # Poniżej dodany algorymt na szytno ponieważ używany MODP-1024 przez PLICBD jest usunięty w 2017 roku 
        # https://wiki.strongswan.org/versions/67
        proposals = aes256-sha1-modp1024

    }

    borucz {
        local_addrs = x.x.x.x # ip serwera
        remote_addrs = 91.217.25.14
        version = 1

        local {
            auth = pubkey
            certs = network.crt
            id = @plicbd.x.y.pl  # Domena wpisana w certyfikat
        }

        remote {
            auth = pubkey
#            certs = PLI-CBD-ISSUE-TWO-CA.pem
            id = B-DMZ-FWL-2201.plicbd.pl
        }

        children {
            c-borucz {
                local_ts = 10.104.x.204/30, 10.104.x.144/28 # lokalne sieci do routingu z dostarczonej dokumentacji w DOC
                remote_ts = 91.217.25.10, 91.217.25.19, 91.217.25.35, 91.217.25.100
                start_action = trap
                esp_proposals = aes256-sha1-modp1024
            }
        }

        # Poniżej dodany algorymt na szytno ponieważ używany MODP-1024 przez PLICBD jest usunięty w 2017 roku 
        # https://wiki.strongswan.org/versions/67
        proposals = aes256-sha1-modp1024

    }

Diagnostyka

jeśli chcemy wykluczyć problem z certyfikatem dla remote można użyć auth = xauth-noauth Pokaż

        remote {
            auth = xauth-noauth
            id = S-DMZ-FWL-1201.plicbd.pl
        }

Pliki (0)

Projekt

Ogólne

Profil

Public

Wiki

Proces instalacji¶