Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Side A
- Instalar: strongswan-pki
- cd /etc/ipsec.d/
- # Generación de clave y cert de la CA:
- # clave:
- ipsec pki --gen --type rsa --size 4096 --outform pem > private/ca_key.pem
- # cert:
- ipsec pki --self --ca --lifetime 3650 --in private/ca_key.pem --type rsa --dn "C=CH, O=strongSwan, CN=Root CA" --outform pem > cacerts/ca_cert.pem
- # Generación declave y cert del client1
- # clave:
- ipsec pki --gen --type rsa --size 2048 --outform pem > private/client1Key.pem
- chmod 600 private/client1Key.pem
- # cert firmado por la CA:
- ipsec pki --pub --in private/client1Key.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert cacerts/ca_cert.pem --cakey private/ca_key.pem --dn "C=CH, O=strongSwan, CN=device1" --san device1 --flag serverAuth --flag ikeIntermediate --outform pem > certs/client1Cert.pem
- # clave y cert del client2
- # clave:
- ipsec pki --gen --type rsa --size 2048 --outform pem > private/client2Key.pem
- chmod 600 private/client2Key.pem
- # cert firmado por la CA
- ipsec pki --pub --in private/client2Key.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert cacerts/ca_cert.pem --cakey private/ca_key.pem --dn "C=CH, O=strongSwan, CN=device2" --san device2 --flag serverAuth --flag ikeIntermediate --outform pem > certs/client2Cert.pem
- #### Configs:
- /etc/ipsec.conf
- ############################ Side A:
- config setup
- charondebug="all"
- uniqueids=yes
- strictcrlpolicy=no
- conn %default
- conn tunnel #
- left=10.0.0.10
- leftsubnet=192.168.10.0/24
- right=10.0.0.20
- rightsubnet=192.168.20.0/24
- ike=aes256-sha2_256-modp1024!
- esp=aes256-sha2_256!
- keyingtries=0
- ikelifetime=1h
- lifetime=8h
- dpddelay=30
- dpdtimeout=120
- dpdaction=restart
- #authby=secret
- auto=start
- keyexchange=ikev2
- type=tunnel
- leftcert=client1Cert.pem
- rightcert=client2Cert.pem
- leftid="C=CH, O=strongSwan, CN=device1"
- rightid="C=CH, O=strongSwan, CN=device2"
- # en el /etc/ipsec.secrets
- : RSA client1Key.pem
- ############################ Side B:
- config setup
- charondebug="all"
- uniqueids=yes
- strictcrlpolicy=no
- conn %default
- conn tunnel #
- left=10.0.0.10
- leftsubnet=192.168.10.0/24
- right=10.0.0.20
- rightsubnet=192.168.20.0/24
- ike=aes256-sha2_256-modp1024!
- esp=aes256-sha2_256!
- keyingtries=0
- ikelifetime=1h
- lifetime=8h
- dpddelay=30
- dpdtimeout=120
- dpdaction=restart
- #authby=secret
- auto=start
- keyexchange=ikev2
- type=tunnel
- leftcert=client1Cert.pem
- rightcert=client2Cert.pem
- leftid="C=CH, O=strongSwan, CN=device1"
- rightid="C=CH, O=strongSwan, CN=device2"
- # en el /etc/ipsec.secrets
- : RSA client2Key.pem
- ============================================================================= DOC
- ike=aes256-sha2_256-modp1024! cipher-suite en formato cifrado | auth/integr | grupo DH
- esp=aes256-sha2_256! cipher-suite en formato cifrado | auth/integr
- keyingtries=0
- ikelifetime=1h tiempo de la renegociación isakmp
- lifetime=8h tiempo de la renegociacion de la SA's
- dpddelay=30 cada cuanto enviar mensaje informacional si no hay trafico
- para detectar los peers muertos (dead peers detect)
- el mensaje depende de la versión de Ike:
- ikev1: el mensaje se llama R_U_THERE
- ikev2: el mensaje se llama empty informational message
- dpdtimeout=120 timeout luego del cual un dead peer es eliminado
- dpdaction=restart qué hacer cuando se detecta un peer muerto
- las opciones son: clear (limpio), restart, o hold (mantener como está)
- #authby=secret Tipo de auth:
- secret para psk
- pubkey para x509 (default)
- auto=start start, add, ignore
- keyexchange=ikev2
- type=tunnel
- leftcert=client1Cert.pem
- rightcert=client2Cert.pem
- leftid="C=CH, O=strongSwan, CN=device1"
- rightid="C=CH, O=strongSwan, CN=device2"
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
