LINUX.ORG.RU

История изменений

Исправление Ruslan, (текущая версия) :

Отвечу как себе (ох уж этот LOR :))

Настраивается так:

Сервер:

config setup
        charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn s1
        keyexchange=ikev2
        left=%defaultroute
        leftcert=pool1.cer
        leftauth=pubkey
#       leftsubnet=0.0.0.0/0
        leftsubnet=192.168.1.0/24

        right=%any
        rightid="C=UA, SN=777, CN=computer, O=SSS LLC, OU=CA, L=Kyiv, S=comp1, G=ccc"
        rightsourceip=10.0.0.0/24
        rightdns=8.8.8.8

       rightauth2=eap-tls
       rightid2="C=UA, SN=38, CN=vasya, O=SSS LLC, OU=CA, L=Kyiv, S=vvvasya, G=vas"

        ike=aes256-sha384-ecp384-prfsha384
        esp=aes256gcm16

        keyingtries=0

Как видим тут указаны данные двух сертификатов в rightid, rightid2. Соответственно это сертификат компьютера на котором работает пользователь, и сертификат самого пользователя.

Со стороны клиента настройки похожие:

                                                                                   
config setup
	charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn pool1
	keyexchange=ikev2
        left=%defaultroute
        leftsourceip=%config
        leftcert=comp_sert.cer
        leftauth=pubkey
        leftsubnet=10.0.0.0/24

        leftauth2=eap-tls
        leftcert2=/var/www/certs_and_key/users_crt_key/vasya_cert.cer

        right=192.168.0.5
        rightid=%any
        rightsubnet=192.168.1.0/24
        rightauth=pubkey


        ike=aes256-sha384-ecp384-prfsha384
        esp=aes256gcm16

        keyingtries=0
        ikelifetime=1h
        lifetime=8h
        dpddelay=10
        dpdtimeout=10
        dpdaction=restart
        auto=start

Исходная версия Ruslan, :

Отвечу как себе (ох уж этот LOR :))

Настраивается так:

Сервер:

config setup
        charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn s1
        keyexchange=ikev2
        left=%defaultroute
        leftcert=pool1.cer
        leftauth=pubkey
#       leftsubnet=0.0.0.0/0
        leftsubnet=192.168.1.0/24

        right=%any
        rightid="C=UA, SN=777, CN=computer, O=SSS LLC, OU=CA, L=Kyiv, S=comp1, G=ccc"
        rightsourceip=10.0.0.0/24
        rightdns=8.8.8.8

#       rightauth2=eap-tls
#       rightid2="C=UA, SN=38, CN=vasya, O=SSS LLC, OU=CA, L=Kyiv, S=vvvasya, G=vas"
#       rightallowany=yes

        ike=aes256-sha384-ecp384-prfsha384
        esp=aes256gcm16

        keyingtries=0

Как видим тут указаны данные двух сертификатов в rightid, rightid2. Соответственно это сертификат компьютера на котором работает пользователь, и сертификат самого пользователя.

Со стороны клиента настройки похожие:

                                                                                   
config setup
	charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn pool1
	keyexchange=ikev2
        left=%defaultroute
        leftsourceip=%config
        leftcert=comp_sert.cer
        leftauth=pubkey
        leftsubnet=10.0.0.0/24

        leftauth2=eap-tls
        leftcert2=/var/www/certs_and_key/users_crt_key/vasya_cert.cer

        right=192.168.0.5
        rightid=%any
        rightsubnet=192.168.1.0/24
        rightauth=pubkey


        ike=aes256-sha384-ecp384-prfsha384
        esp=aes256gcm16

        keyingtries=0
        ikelifetime=1h
        lifetime=8h
        dpddelay=10
        dpdtimeout=10
        dpdaction=restart
        auto=start