есть eth0 - интернет 
eth1 - локалка 


#этот модуль позволяет работать с ftp в пассивном режиме
modprobe nf_conntrack_ftp
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#включение логов iptables
#iptables -I OUTPUT -o eth0 -j LOG
#префиксы сообщений iptables
#iptables -A INPUT -p tcp  -j LOG --log-prefix "input tcp"
#iptables -A INPUT -p icmp -j LOG --log-prefix "input icmp"
#логи входящих tcp udp icmp
#iptables -A INPUT -j LOG --log-level 4


#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT
#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT
#разрешаем любые входящие и исходящие по icmp
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#разрешаем доступ из сети на порты #21(ftp),22(ssh),53(dns),9999(внутрисетевой репозитраий),110 #и 143 - pop3 smtp, 995 и 993 - pops smtps
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 25,80,8080,22,110,143,995,993,3128 -j ACCEPT

#заварачиваем веб трафик на проксик
iptables -t nat -A PREROUTING -s 192.168.3.0/24 -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

#Включаем маскарадинг трафика 

iptables -A FORWARD -s 192.168.3.0/24 -j ACCEPT 
#(этой командой вы разрешили прохождение пакетов между #сетевыми интерфейсами из локальной сети 192.168.0.0/24) 
iptables -A FORWARD -d 192.168.3.0/24 -j ACCEPT 
#(этой командой вы разрешили прохождение пакетов между #сетевыми интерфейсами в локальную сеть 192.168.3.0/24) 
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.3.0/24 -j MASQUERADE 
#(и последняя команда - ей вы включили маскарад для сети #192.168.3.0/24). 

gate:/etc/dhcp# service dhcpd restart
dhcpd: unrecognized service

root cmd service halt stop

1) имеем сервер куда нужно попадать
2)Клиентская тачка с которой хотим ходить на сервер без пароля 

на сервере делаем ssh-keygen -t rsa
root@debian:/etc/ssh# 
root@debian:/etc/ssh# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
/root/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
10:6a:d6:67:d6:9f:18:1f:a6:e1:65:b7:b2:7f:92:fa root@debian
The key's randomart image is:
+--[ RSA 2048]----+
|      .          |
|     o . .       |
|    + o + + = .  |
|   o   = . @ + . |
|        S + = .  |
|             o   |
|            .  . |
|             .o .|
|            .oEo |
+-----------------+
root@debian:/etc/ssh# 

получаем два ключика 

id_rsa id_rsa.pub - первый секретный второй публичный , копируем публичный на рабочую станцию с которой будем конектится на сервер 
в каталог имя пользвателя/.ssh  c именем  с именем authorized_keys

Теперь по идее при попытке зайти на сервер во ssh имя пользователя@ip сервака меня должно пустить без пароля !

root@debtest:~# ssh root@192.168.3.15
The authenticity of host '192.168.3.15 (192.168.3.15)' can't be established.
RSA key fingerprint is 46:a6:35:68:c5:be:cc:fd:14:fc:a7:01:bc:9e:56:0b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.3.15' (RSA) to the list of known hosts.
Permission denied (publickey).



что не так сделал ? 

####################################################################

[ CA_default ]
#Правим это кусок 
dir             = /1            # Где все находится
certs           = $dir          # Где хранятся выпущенные сертификаты 
crl_dir         = $dir          # Где хранится выданый clr
database        = $dir/index.txt        #Индексные файлы базы данных
#unique_subject = no                    # Set to 'no' to allow creation of
                                        # several ctificates with same subject.
new_certs_dir   = $dir/         #Куда помещать новые сертификаты 

certificate     = $dir/strongswanCert.pem       # Где лежит корневой сертификат 
serial          = $dir/serial           # В настоящее время серийный номер 
crlnumber       = $dir  # Текущий crl номер
                                        # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/strongswanKey.pem # The private key
RANDFILE        = $dir/private/.rand    # private random number file

подписую запрос на сертификат openssl ca -in moonsrc.pem -days 730 -out mooncert.pem -notext


в /1 появляются 
01.pem 
index.txt - base
index.txt.attr
index.txt.old  
mooncert.pem - подпис сертификат
moonkey.pem - ключ
moonsrc.pem - csr
serial - serial
serial.old  
strongswanCert.pem - ca 
strongswanKey.pem -key ca

root@debtest:/1# openssl ca -gencrl -crldays 15 -out crl.pem
Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for /1/strongswanKey.pem:
unable to load number from /1
error while loading CRL number
4662:error:0D066096:asn1 encoding routines:a2i_ASN1_INTEGER:short line:f_int.c:215:

1) Создаю корневой сертификат 
openssl req -x509 -days 1460 -newkey rsa:2048 \
             -keyout strongswanKey.pem -out strongswanCert.pem
2)
оздаём 1024 bit RSA  приватный ключ moonkey.pem и запрос на сертификат mooncert.pem

openssl req -newkey rsa:1024 -keyout moonkey.pem
             -out mooncert.pem

3)
openssl ca -in moonkey.pem -days 730 -out mooncert.pem
            -notext

Получаю 

root@debtest:/# openssl ca -in moonkey.pem -days 730 -out mooncert.pem
Using configuration from /usr/lib/ssl/openssl.cnf
Error opening CA private key ./demoCA/private/cakey.pem
13062:error:02001002:system library:fopen:No such file or directory:bss_file.c:356:fopen('./demoCA/private/cakey.pem','r')
13062:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:358:
unable to load CA private key

openssl req -x509 -days 1460 -newkey rsa:2048 \
             -keyout /1/strongswanKey.pem -out /1/strongswanCert.pem


просматриваю
openssl x509 -in strongswanCert.pem -noout -text

openssl req -newkey rsa:1024 -keyout /1/moonkey.pem
             -out /1/mooncert.pem

пробую смотреть

root@debtest:/1# openssl rsa -in mooncert.pem -noout -text
unable to load Private Key
2010:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: ANY PRIVATE KEY


 

conn net-net
      left=%defaultroute
      leftsubnet=10.1.0.0/16
      leftcert=moonCert.pem
      right=192.168.0.2
      rightsubnet=10.2.0.0/16
      rightid="C=CH, O=Linux strongSwan, CN=sun.strongswan.org"

port 1194
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.4.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

настройки фаервола 

#!/bin/bash
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe nf_conntrack_ftp
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#включение логов iptables
#iptables -I OUTPUT -o eth0 -j LOG
#префиксы сообщений iptables
#iptables -A INPUT -p tcp  -j LOG --log-prefix "input tcp"
#iptables -A INPUT -p icmp -j LOG --log-prefix "input icmp"
#логи входящих tcp udp icmp
#iptables -A INPUT -j LOG --log-level 4


#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT
#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT
#разрешаем любые входящие и исходящие по icmp
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#Разрешаем доступ по tcp  порт 1194 - vpn совсех интерфейсов 
iptables -A INPUT  -p tcp  --dport 1194 -j ACCEPT
#Разрешаем маскарадинг
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 85.26.185.8
#разрешаем  транзитные  пакеты с vpn сервака в нет 
iptables -A FORWARD -i ppp0 -o tun0 -p tcp --dport 1194 -j ACCEPT

client
dev tun
proto tcp
remote белыйip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3

echo 1 > /proc/sys/net/ipv4/ip_forward
либо 

Для этого пишем в /etc/sysctl следующее:
net.ipv4.ip_forward = 1
После чего выполняем sysctl -a