Установка и настройка IPsec без l2tp + radius на Ubuntu 14.04

Задача: настроить ipsec без использования l2tp. Для этого будем использовать strongswan.

  1. Устанавливаем:
  2. apt-get install strongswan radiusclient1
    strongswan-plugin-eap-radius
    strongswan-plugin-xauth-generic
    
  3. В конфиге nano /etc/ipsec.conf прописываем следующее содержимое:
  4. config setup
    conn ios
      authby=secret
      rekeymargin=3m
      keyingtries=1
      keyexchange=ikev1
      leftfirewall=yes
      rekey=no
      left=SERVER_IP
      leftsubnet=0.0.0.0/0
      leftauth=psk
      rightsubnet=10.8.4.0/24
      rightsourceip=10.8.4.2/24
      rightdns=8.8.8.8
      right=%any
      rightauth=psk
      rightauth2=xauth-radius
      dpdaction=clear
      dpdtimeout = 5s
      auto=add
    
  5. Далее в файле nano /etc/ipsec.secrets прописываем:
  6. SERVER_IP %any : PSK "password"
  7. В файле nano /etc/radiusclient/radiusclient.conf прописываем:
  8. auth_order radius,local
    login_tries 4
    login_timeout 60
    nologin /etc/nologin
    issue /etc/radiusclient/issue
    authserver server_radius_ip:1812
    acctserver server_radius_ip:1813
    servers /etc/radiusclient/servers
    dictionary /etc/radiusclient/dictionary
    login_radius /usr/sbin/login.radius
    seqfile /var/run/radius.seq
    mapfile /etc/radiusclient/port-id-map
    default_realm
    radius_timeout 10
    radius_retries 3
    login_local /bin/login
    
  9. В файле nano /etc/radiusclient/servers нужно ввести secret phrase от радиус сервера и IP радиус сервера
  10. SERVER_IP yoursecrethere
  11. В конец файла nano /etc/radiusclient/dictionary добавляем:
  12. INCLUDE /etc/radiusclient/dictionary.microsoft

    Cкачиваем отсюда и распаковываем в /etc/radiusclient/.

  13. Настраиваем на брандмауэре подмену IP (маскируем IP):
  14. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  15. В файле nano /etc/strongswan.d/charon/eap-radius.conf указываем:
  16. address =SERVER_IP_RADIUS
    secret =secretword
    

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *