TOC

Как настроить VPN-сервер IKEv2 с помощью StrongSwan в Ubuntu 18.04

Вступление

Виртуальная частная сеть или VPN позволяет вам безопасно шифровать трафик, проходящий через ненадежные сети, например, в кафе, на конференции или в аэропорту.

IKEv2, или Internet Key Exchange v2, - это протокол, который позволяет осуществлять прямое туннелирование IPSec между сервером и клиентом. В реализациях IKEv2 VPN IPSec обеспечивает шифрование сетевого трафика. IKEv2 изначально поддерживается на некоторых платформах (OS X 10.11+, iOS 9.1+ и Windows 10) без каких-либо дополнительных приложений, и он довольно легко обрабатывает клиентские ошибки.

В этом руководстве вы настроите сервер IKEv2 VPN с помощьюStrongSwan на сервере Ubuntu 18.04 и подключитесь к нему из клиентов Windows, macOS, Ubuntu, iOS и Android.

Предпосылки

Для завершения этого урока вам понадобится:

  • Один сервер Ubuntu 18.04, настроенный следующим образом:the Ubuntu 18.04 initial server setup guide, включая пользователя без полномочий rootsudo и брандмауэр.

[[step-1 -—- install-strongswan]] == Шаг 1. Установка StrongSwan

Во-первых, мы установим StrongSwan, демон IPSec с открытым исходным кодом, который мы настроим как наш VPN-сервер. Мы также установим компонент инфраструктуры открытого ключа, чтобы мы могли создать центр сертификации для предоставления учетных данных для нашей инфраструктуры.

Обновите локальный кеш пакетов и установите программное обеспечение, набрав: 

sudo apt update
sudo apt install strongswan strongswan-pki

Теперь, когда все установлено, давайте перейдем к созданию наших сертификатов.

[[step-2 -—- Creating-a-certificate-author]] == Шаг 2 - Создание центра сертификации

Серверу IKEv2 требуется сертификат, чтобы идентифицировать себя для клиентов. Чтобы помочь нам создать требуемый сертификат, пакетstrongswan-pki поставляется с утилитой для создания центра сертификации и сертификатов сервера. Для начала давайте создадим несколько каталогов для хранения всех ресурсов, над которыми мы будем работать. Структура каталогов соответствует некоторым каталогам в/etc/ipsec.d, куда мы в конечном итоге переместим все созданные нами элементы. Мы заблокируем разрешения, чтобы другие пользователи не могли видеть наши личные файлы: 

mkdir -p ~/pki/{cacerts,certs,private}
chmod 700 ~/pki

Теперь, когда у нас есть структура каталогов для хранения всего, мы можем сгенерировать корневой ключ. Это будет 4096-битный ключ RSA, который будет использоваться для подписи нашего корневого центра сертификации.

Выполните эти команды для генерации ключа: 

ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/ca-key.pem

Теперь, когда у нас есть ключ, мы можем перейти к созданию нашего корневого центра сертификации, используя ключ для подписи корневого сертификата: 

ipsec pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
    --type rsa --dn "CN=VPN root CA" --outform pem > ~/pki/cacerts/ca-cert.pem

Вы можете изменить значенияdistinguished name (DN) на что-то другое, если хотите. Общее название здесь - просто индикатор, поэтому оно не должно совпадать с чем-либо в вашей инфраструктуре.

Теперь, когда наш корневой центр сертификации запущен и работает, мы можем создать сертификат, который будет использовать сервер VPN.

[[шаг-3 -—- генерация-сертификата-для-vpn-сервера]] == Шаг 3 - Генерация сертификата для VPN-сервера

Теперь мы создадим сертификат и ключ для VPN-сервера. Этот сертификат позволит клиенту проверять подлинность сервера, используя только что сгенерированный сертификат CA.

Сначала создайте закрытый ключ для VPN-сервера с помощью следующей команды: 

ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/server-key.pem

Теперь создайте и подпишите сертификат сервера VPN с помощью ключа центра сертификации, который вы создали на предыдущем шаге. Выполните следующую команду, но измените поля Common Name (CN) и Subject Alternate Name (SAN) на DNS-имя или IP-адрес вашего VPN-сервера: 

ipsec pki --pub --in ~/pki/private/server-key.pem --type rsa \
    | ipsec pki --issue --lifetime 1825 \
        --cacert ~/pki/cacerts/ca-cert.pem \
        --cakey ~/pki/private/ca-key.pem \
        --dn "CN=server_domain_or_IP" --san "server_domain_or_IP" \
        --flag serverAuth --flag ikeIntermediate --outform pem \
    >  ~/pki/certs/server-cert.pem

Теперь, когда мы сгенерировали все файлы TLS / SSL, необходимые StrongSwan, мы можем переместить файлы на место в каталоге/etc/ipsec.d, набрав: 

sudo cp -r ~/pki/* /etc/ipsec.d/

На этом этапе мы создали пару сертификатов, которая будет использоваться для защиты связи между клиентом и сервером. Мы также подписали сертификаты ключом CA, чтобы клиент мог проверить подлинность VPN-сервера с помощью сертификата CA. Теперь, когда все сертификаты готовы, мы перейдем к настройке программного обеспечения.

[[step-4 -—- configuring-strongswan]] == Шаг 4. Настройка StrongSwan

StrongSwan имеет файл конфигурации по умолчанию с некоторыми примерами, но большую часть конфигурации нам придется делать самостоятельно. Давайте сделаем резервную копию файла для справки, прежде чем начинать с нуля: 

sudo mv /etc/ipsec.conf{,.original}

Создайте и откройте новый пустой файл конфигурации, набрав: 

sudo nano /etc/ipsec.conf

Во-первых, мы скажем StrongSwan регистрировать состояния демонов для отладки и разрешать дублирование соединений. Добавьте эти строки в файл:

/etc/ipsec.conf

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

Затем мы создадим раздел конфигурации для нашего VPN. Мы также скажем StrongSwan создать VPN-туннели IKEv2 и автоматически загружать этот раздел конфигурации при запуске. Добавьте следующие строки в файл:

/etc/ipsec.conf

. . .
conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes

Мы также настроим обнаружение мертвых узлов, чтобы очистить любые «висячие» подключения в случае неожиданного отключения клиента. Добавьте эти строки:

/etc/ipsec.conf

. . .
conn ikev2-vpn
    . . .
    dpdaction=clear
    dpddelay=300s
    rekey=no

Затем мы настроим параметры IPSec сервера (слева). Добавьте это в файл:

/etc/ipsec.conf

. . .
conn ikev2-vpn
    . . .
    left=%any
    leftid=@server_domain_or_IP
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0

[.Примечание]##

Note: при настройке идентификатора сервера (leftid) включайте символ@ только в том случае, если ваш VPN-сервер будет идентифицироваться по имени домена: 

    [email protected]

Если сервер будет идентифицирован по его IP-адресу, просто введите IP-адрес в: 

    leftid=203.0.113.7

Затем мы можем настроить параметры IPSec на стороне клиента (справа), такие как диапазоны частных IP-адресов и DNS-серверы:

/etc/ipsec.conf

. . .
conn ikev2-vpn
    . . .
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never

Наконец, мы сообщим StrongSwan запросить у клиента учетные данные пользователя при подключении:

/etc/ipsec.conf

. . .
conn ikev2-vpn
    . . .
    eap_identity=%identity

Файл конфигурации должен выглядеть так:

/etc/ipsec.conf

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_domain_or_IP
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    eap_identity=%identity

Сохраните и закройте файл, как только вы убедитесь, что настроили все как показано.

Теперь, когда мы настроили параметры VPN, давайте перейдем к созданию учетной записи, чтобы наши пользователи могли подключаться к серверу.

[[step-5 -—- configuring-vpn-authentication]] == Шаг 5. Настройка проверки подлинности VPN

Наш VPN-сервер теперь настроен на прием клиентских подключений, но у нас еще не настроены учетные данные. Нам нужно будет настроить пару вещей в специальном файле конфигурации с именемipsec.secrets:

  • Нам нужно сообщить StrongSwan, где найти закрытый ключ для нашего сертификата сервера, чтобы сервер мог проходить проверку подлинности для клиентов.

  • Нам также необходимо настроить список пользователей, которым будет разрешено подключаться к VPN.

Давайте откроем файл секретов для редактирования: 

sudo nano /etc/ipsec.secrets

Сначала мы сообщим StrongSwan, где найти ваш закрытый ключ:

/etc/ipsec.secrets

: RSA "server-key.pem"

Затем мы определим учетные данные пользователя. Вы можете составить любую комбинацию имени пользователя или пароля, которая вам нравится:

/etc/ipsec.secrets

your_username : EAP "your_password"

Сохраните и закройте файл. Теперь, когда мы закончили работу с параметрами VPN, мы перезапустим службу VPN, чтобы применить нашу конфигурацию: 

sudo systemctl restart strongswan

Теперь, когда VPN-сервер полностью настроен с использованием параметров сервера и учетных данных пользователя, пришло время перейти к настройке наиболее важной части: брандмауэра.

[[step-6 -—- configuring-the-firewall-amp-kernel-ip-forwarding]] == Шаг 6. Настройка межсетевого экрана и IP-переадресации ядра

После завершения настройки StrongSwan нам необходимо настроить брандмауэр для пересылки и пропуска трафика VPN.

Если вы следовали обязательному руководству, у вас должен быть включен базовый брандмауэр UFW. Если вы еще не настроили UFW, вы можете создать базовую конфигурацию и включить ее, набрав: 

sudo ufw allow OpenSSH
sudo ufw enable

Теперь добавьте правило, разрешающее UDP-трафик на стандартные порты IPSec, 500 и 4500: 

sudo ufw allow 500,4500/udp

Далее мы откроем один из файлов конфигурации UFW, чтобы добавить несколько низкоуровневых политик для маршрутизации и пересылки пакетов IPSec. Прежде чем мы это сделаем, нам нужно выяснить, какой сетевой интерфейс на нашем сервере используется для доступа в Интернет. Мы можем найти это, запросив интерфейс, связанный с маршрутом по умолчанию: 

ip route | grep default

Ваш общедоступный интерфейс должен следовать за словом «dev». Например, этот результат показывает интерфейс с именемeth0, который выделен ниже: 

Outputdefault via 203.0.113.7 dev eth0 proto static

Когда у вас есть общедоступный сетевой интерфейс, откройте файл/etc/ufw/before.rules в текстовом редакторе: 

sudo nano /etc/ufw/before.rules

В верхней части файла (перед строкой*filter) добавьте следующий блок конфигурации:

/etc/ufw/before.rules

*nat
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
COMMIT

*mangle
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT

*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
. . .

Измените каждый экземплярeth0 в приведенной выше конфигурации, чтобы он соответствовал имени интерфейса, которое вы нашли с помощьюip route. Строки*nat создают правила, чтобы брандмауэр мог правильно маршрутизировать и управлять трафиком между клиентами VPN и Интернетом. Линия*mangle регулирует максимальный размер сегмента пакета, чтобы предотвратить возможные проблемы с некоторыми клиентами VPN.

Затем после строк*filter и определения цепочки добавьте еще один блок конфигурации:

/etc/ufw/before.rules

. . .
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]

-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.10.0/24 -j ACCEPT

Эти строки говорят брандмауэру пересылать трафикESP (инкапсуляция полезной нагрузки), чтобы клиенты VPN могли подключиться. ESP обеспечивает дополнительную безопасность для наших пакетов VPN, поскольку они пересекают ненадежные сети.

Когда вы закончите, сохраните и закройте файл.

Прежде чем перезапустить брандмауэр, мы изменим некоторые параметры сетевого ядра, чтобы разрешить маршрутизацию от одного интерфейса к другому. Откройте файл конфигурации параметров ядра UFW: 

sudo nano /etc/ufw/sysctl.conf

Нам нужно настроить несколько вещей здесь:

  • Во-первых, мы включим пересылку пакетов IPv4.

  • Мы отключим обнаружение Path MTU для предотвращения проблем фрагментации пакетов.

  • Мы также не принимаем перенаправления ICMP и не отправляем перенаправления ICMP для предотвращения атакman-in-the-middle.

Изменения, которые нужно внести в файл, выделены в следующем коде:

/etc/ufw/sysctl.conf

. . .

# Enable forwarding
# Uncomment the following line
net/ipv4/ip_forward=1

. . .

# Do not accept ICMP redirects (prevent MITM attacks)
# Ensure the following line is set
net/ipv4/conf/all/accept_redirects=0

# Do not send ICMP redirects (we are not a router)
# Add the following lines
net/ipv4/conf/all/send_redirects=0
net/ipv4/ip_no_pmtu_disc=1

Сохраните файл, когда вы закончите. UFW применит эти изменения при следующем запуске.

Теперь мы можем включить все наши изменения, отключив и повторно включив брандмауэр: 

sudo ufw disable
sudo ufw enable

Вам будет предложено подтвердить процесс. ВведитеY, чтобы снова включить UFW с новыми настройками.

[[step-7 -–- testing-the-vpn-connection-on-windows-ios-and-macos]] == Шаг 7. Тестирование VPN-подключения в Windows, iOS и macOS

Теперь, когда у вас все настроено, пришло время попробовать это. Во-первых, вам необходимо скопировать созданный сертификат CA и установить его на клиентское устройство (а), которое будет подключаться к VPN. Самый простой способ сделать это - войти на сервер и вывести содержимое файла сертификата: 

cat /etc/ipsec.d/cacerts/ca-cert.pem

Вы увидите вывод, похожий на этот: 

Output-----BEGIN CERTIFICATE-----
MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE

. . .

EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQ
BayqOb/Q
-----END CERTIFICATE-----

Скопируйте этот вывод на свой компьютер, включая строки-----BEGIN CERTIFICATE----- и-----END CERTIFICATE-----, и сохраните его в файл с узнаваемым именем, напримерca-cert.pem. Убедитесь, что создаваемый файл имеет расширение.pem.

В качестве альтернативыuse SFTP to transfer the file to your computer.

После того, как вы загрузили файлca-cert.pem на свой компьютер, вы можете настроить подключение к VPN.

Подключение из Windows

Сначала импортируйте корневой сертификат, выполнив следующие действия:

  1. НажмитеWINDOWS+R, чтобы открыть диалоговое окноRun, и введитеmmc.exe, чтобы запустить консоль управления Windows.

  2. В менюFile перейдите кAdd or Remove Snap-in, выберитеCertificates из списка доступных оснасток и щелкнитеAdd.

  3. Мы хотим, чтобы VPN работал с любым пользователем, поэтому выберитеComputer Account и щелкнитеNext.

  4. Мы настраиваем что-то на локальном компьютере, поэтому выберитеLocal Computer, затем нажмитеFinish.

  5. Под узломConsole Root разверните записьCertificates (Local Computer), развернитеTrusted Root Certification Authorities, а затем выберите записьCertificates:
    Certificates view

  6. В менюAction выберитеAll Tasks и щелкнитеImport, чтобы отобразить мастер импорта сертификатов. ЩелкнитеNext, чтобы пропустить введение.

  7. На экранеFile to Import нажмите кнопкуBrowse и выберите файл сертификата, который вы сохранили. Затем щелкнитеNext.

  8. Убедитесь, что дляCertificate Store установлено значениеTrusted Root Certification Authorities, и щелкнитеNext.

  9. ЩелкнитеFinish, чтобы импортировать сертификат.

Затем настройте VPN с помощью этих шагов:

  1. ЗапуститеControl Panel, затем перейдите кNetwork and Sharing Center.

  2. ЩелкнитеSet up a new connection or network, затем выберитеConnect to a workplace.

  3. ВыберитеUse my Internet connection (VPN).

  4. Введите данные VPN-сервера. Введите доменное имя или IP-адрес сервера в полеInternet address, затем заполнитеDestination name тем, что описывает ваше VPN-соединение. Затем щелкнитеDone.

Ваше новое VPN-соединение будет отображаться под списком сетей. Выберите VPN и щелкнитеConnect. Вам будет предложено ввести имя пользователя и пароль. Введите их, нажмитеOK, и вы подключитесь.

Подключение из macOS

Выполните следующие действия, чтобы импортировать сертификат:

  1. Дважды щелкните файл сертификата. Keychain Access появится диалоговое окно с сообщением: «Связка ключей пытается изменить системную связку ключей. Введите свой пароль, чтобы разрешить это ».

  2. Введите свой пароль, затем нажмитеModify Keychain

  3. Дважды щелкните новый импортированный сертификат VPN. Это вызывает небольшое окно свойств, где вы можете указать уровни доверия. УстановитеIP Security (IPSec) наAlways Trust, и вам снова будет предложено ввести пароль. Этот параметр автоматически сохраняется после ввода пароля.

Теперь, когда сертификат важен и надежен, настройте VPN-соединение, выполнив следующие действия:

  1. Перейдите кSystem Preferences и выберитеNetwork.

  2. Нажмите на маленькую кнопку «плюс» в левом нижнем углу списка сетей.

  3. В появившемся всплывающем окне установите дляInterface значениеVPN, установите дляVPN Type значениеIKEv2 и дайте соединению имя.

  4. В полеServer иRemote ID введите доменное имя или IP-адрес сервера. Оставьте полеLocal ID пустым.

  5. НажмитеAuthentication Settings, выберитеUsername и введите свое имя пользователя и пароль, которые вы настроили для своего пользователя VPN. Затем щелкнитеOK.

Наконец, нажмитеConnect, чтобы подключиться к VPN. Теперь вы должны быть подключены к VPN.

Подключение из Ubuntu

Чтобы подключиться с компьютера с Ubuntu, вы можете настроить и управлять StrongSwan в качестве службы или использовать однократную команду при каждом подключении. Инструкции предоставляются для обоих.

Управление StrongSwan как сервисом

  1. Обновите локальный кеш пакетов:sudo apt update

  2. Установите StrongSwan и соответствующее программное обеспечениеsudo apt install strongswan libcharon-extra-plugins

  3. Скопируйте сертификат CA в каталог/etc/ipsec.d/cacerts:sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts

  4. Отключите StrongSwan, чтобы VPN не запускался автоматически:sudo systemctl disable --now strongswan

  5. Настройте имя пользователя и пароль VPN в файле/etc/ipsec.secrets:your_username : EAP "your_password"

  6. Отредактируйте файл/etc/ipsec.conf, чтобы определить вашу конфигурацию.

/etc/ipsec.conf

config setup

conn ikev2-rw
    right=server_domain_or_IP
    # This should match the `leftid` value on your server's configuration
    rightid=server_domain_or_IP
    rightsubnet=0.0.0.0/0
    rightauth=pubkey
    leftsourceip=%config
    leftid=username
    leftauth=eap-mschapv2
    eap_identity=%identity
    auto=start

Чтобы подключиться к VPN, введите: 

sudo systemctl start strongswan

Чтобы снова отключиться, введите: 

sudo systemctl stop strongswan

Использование простого клиента для одноразовых подключений

  1. Обновите локальный кеш пакетов:sudo apt update

  2. Установитеcharon-cmd и соответствующее программное обеспечениеsudo apt install charon-cmd libcharon-extra-plugins

  3. Перейдите в каталог, в который вы скопировали сертификат CA:cd <^>/path/to/ca-cert.pem

  4. Подключитесь к VPN-серверу с помощьюcharon-cmd, используя сертификат CA сервера, IP-адрес VPN-сервера и настроенное вами имя пользователя:sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username

  5. При появлении запроса укажите пароль пользователя VPN.

Теперь вы должны быть подключены к VPN. Для отключения нажмитеCTRL+C и дождитесь закрытия соединения.

Подключение с iOS

Чтобы настроить VPN-подключение на устройстве iOS, выполните следующие действия.

  1. Отправьте себе электронное письмо с приложенным корневым сертификатом.

  2. Откройте электронное письмо на своем устройстве iOS и нажмите на прикрепленный файл сертификата, затем нажмитеInstall и введите свой пароль. После установки нажмитеDone.

  3. Перейдите кSettings,General,VPN и нажмитеAdd VPN Configuration. Откроется экран настройки VPN-подключения.

  4. Нажмите наType и выберитеIKEv2.

  5. В полеDescription введите короткое имя для VPN-подключения. Это может быть что угодно.

  6. В полеServer иRemote ID введите доменное имя или IP-адрес сервера. ПолеLocal ID можно оставить пустым.

  7. Введите свое имя пользователя и пароль в разделеAuthentication, затем нажмитеDone.

  8. Выберите VPN-соединение, которое вы только что создали, коснитесь переключателя в верхней части страницы, и вы будете подключены.

Подключение с Android

Выполните следующие действия, чтобы импортировать сертификат:

  1. Отправьте себе электронное письмо с приложенным сертификатом CA. Сохраните сертификат CA в папку загрузок.

  2. ЗагрузитеStrongSwan VPN client из Play Store.

  3. Откройте приложение. Коснитесь“more” icon в правом верхнем углу (значок с тремя точками) и выберитеCA certificates.

  4. Снова нажмите“more” icon в правом верхнем углу. ВыберитеImport certificate.

  5. Перейдите к файлу сертификата CA в папке загрузок и выберите его, чтобы импортировать в приложение.

Теперь, когда сертификат импортирован в приложение StrongSwan, вы можете настроить VPN-соединение с помощью следующих шагов:

  1. В приложении коснитесьADD VPN PROFILE вверху.

  2. ЗаполнитеServer доменным именем вашего VPN-сервера или общедоступным IP-адресом.

  3. Убедитесь, чтоIKEv2 EAP (Username/Password) выбран в качестве типа VPN.

  4. ЗаполнитеUsername иPassword учетными данными, которые вы определили на сервере.

  5. Снимите выделениеSelect automatically в разделеCA certificate и щелкнитеSelect CA certificate.

  6. Коснитесь вкладкиIMPORTED вверху экрана и выберите импортированный ЦС (он будет называться «Корневой ЦС VPN», если вы не меняли «DN» ранее).

  7. Если хотите, введите вProfile name (optional) более понятное имя.

Если вы хотите подключиться к VPN, нажмите на профиль, который вы только что создали в приложении StrongSwan.

Устранение неисправностей соединений

Если вы не можете импортировать сертификат, убедитесь, что файл имеет расширение.pem, а не.pem.txt.

Если вы не можете подключиться к VPN, проверьте имя сервера или IP-адрес, который вы использовали. Доменное имя или IP-адрес сервера должны совпадать с тем, которое вы настроили как общее имя (CN) при создании сертификата. Если они не совпадают, VPN-соединение не будет работать. Если вы настроили сертификат с CNvpn.example.com, выmust используетеvpn.example.com при вводе данных сервера VPN. Дважды проверьте команду, которую вы использовали для создания сертификата, и значения, которые вы использовали при создании вашего VPN-соединения.

Наконец, дважды проверьте конфигурацию VPN, чтобы убедиться, что значениеleftid настроено с символом@, если вы используете доменное имя: 

    [email protected]

А если вы используете IP-адрес, убедитесь, что символ@ опущен.

Заключение

В этом руководстве вы создали VPN-сервер, использующий протокол IKEv2. Теперь вы можете быть уверены, что ваши действия в Интернете будут оставаться безопасными, куда бы вы ни шли!

Чтобы добавить или удалить пользователей, просто посмотрите на шаг 5 еще раз. Каждая строка предназначена для одного пользователя, поэтому добавить или удалить пользователя так же просто, как редактировать файл.

Отсюда вы можете захотеть настроить анализатор файла журнала, потому что StrongSwan выдает свои журналы в системный журнал. В руководствеHow To Install and Use Logwatch Log Analyzer and Reporter on a VPS есть дополнительная информация об этом.

Вас также может заинтересоватьthis guide from the EFF about online privacy.

Related