Пер­вый шаг стан­дар­тный для уста­нов­ки чего угод­но:

Те­перь ста­вим нуж­ные пакеты:

Ког­да все ска­чает­ся, перей­дем к нас­трой­ке.

Генерируем сертификаты

Соз­даем катало­ги для сер­тифика­тов и клю­чей:

Уби­раем у этой пап­ки лиш­ние пра­ва — для надеж­ности:

Ге­нери­руем кор­невой ключ RSA:

И кор­невой сер­тификат:

Чис­ло 3650 — это десять лет (в днях), которые будет работать сер­тификат. Можешь изме­нить это зна­чение на свое усмотре­ние.

Кор­невые сер­тифика­ты готовы, теперь нам нужен сер­тификат для нашего сер­вера.

Де­лаем при­ват­ный ключ:

И сам сер­тификат. Обра­ти вни­мание, что IP в трех мес­тах нуж­но изме­нить на IP тво­его сер­вака.

С этим закон­чили, можем переме­щать клю­чи и сер­тифика­ты из домаш­него катало­га в пап­ку нас­тро­ек strongSwan:

Настраиваем strongSwan

На вся­кий слу­чай пере­име­нуем ста­рый файл с нас­трой­ками, если он есть:

От­кро­ем его /etc/ipsec.conf в nano:

До­бав­ляем раз­дел config setup:

Даль­ше добав­ляем нас­трой­ки тун­неля IKEv2 (не забудь под­ста­вить свой IP):

Здесь забиты адре­са гуг­лов­ско­го DNS (8.8.8.8 и 8.8.4.4), ты можешь исполь­зовать их или заменить, нап­ример, адре­сом сво­его роуте­ра (его мож­но узнать, наб­рав ip route show default).

Сох­раня­ем кон­фиг и выходим из nano (Ctrl-X, Y, Enter).

Сер­вер VPN мы нас­тро­или, оста­лось соз­дать кре­ды, с которы­ми кли­ент смо­жет авто­ризо­вать­ся. За них отве­чает файл /etc/ipsec.secrets. Откры­ваем его в nano:

До­бав­ляем в него строч­ку

Дво­ето­чие и про­бел пос­ле него важ­ны, не уби­рай их!

Даль­ше зада­ем логин и пароль поль­зовате­ля. Замени их сво­ей ком­бинаци­ей. Хороший стой­кий пароль можешь соз­дать в пароль­ном менед­жере.

Сох­раняй файл, и переза­пус­тим strongSwan, что­бы он про­читал новые кон­фиги:

Настраиваем сеть

Наш VPN уже работа­ет и готов при­нимать соеди­нения, но сетевой тра­фик до него пока не доходит. Нуж­но нас­тро­ить фай­рвол и IP-фор­вардинг.

Раз­реша­ем про­пус­кать тра­фик OpenSSH, а так­же UDP на пор­тах 500 и 4500:

Ос­талось сде­лать так, что­бы вхо­дящие пакеты IPSec обра­баты­вались нашей служ­бой. Узна­ем адрес нашего сетево­го интерфей­са:

Пос­мотри, что будет написа­но пос­ле сло­ва dev. Это может быть, нап­ример, eth0 или ens2 либо еще что‑нибудь в таком духе. Запом­ни или запиши куда‑нибудь эти бук­вы.

От­кры­ваем файл с нас­трой­ками пра­вил фай­рво­ла:

В самом начале фай­ла, до сек­ции *filter, нам надо добавить два бло­ка. Замени в трех мес­тах ИНТЕРФЕЙС тем, что мы наш­ли выше.

А в кон­це *filter — такие две стро­ки:

Зак­рыва­ем, сох­раня­ем. Теперь откры­ваем файл с нас­трой­ками служ­бы фай­рво­ла:

До­бав­ляем в конец вот такие стро­ки:

Вык­люча­ем и вклю­чаем фай­рвол для при­мене­ния нас­тро­ек:

Ес­ли сис­тема зап­росит под­твержде­ние, жми Y.

Настраиваем подключение

Нам нуж­но заб­рать с сер­вера свой сер­тификат, с которым мы будем под­клю­чать­ся. Он лежит в фай­ле по такому пути:

Мо­жешь вывес­ти его коман­дой cat, ско­пиро­вать и сох­ранить в файл на сво­ем компь­юте­ре либо заб­рать, под­клю­чив­шись по SFTP.

Для под­клю­чения к VPN тебе понадо­бят­ся три вещи: IP тво­его сер­вера, файл с сер­тифика­том и пара из логина и пароля, которые ты задал в фай­ле /etc/ipsec.secrets. Все это у тебя есть!

Нас­трой­ки в раз­ных ОС выпол­няют­ся нем­ного по‑раз­ному.

В macOS тебе нуж­но:

1. Дваж­ды клик­нуть на файл с сер­тифика­том и под­твер­дить его добав­ление в цепоч­ку клю­чей, вве­дя пароль.
   


2. От­крыть цепоч­ку (Keychain Access), най­ти VPN root CA и задать нуж­ные раз­решения. Дваж­ды клик­ни по нему, рас­крой раз­дел «Доверять» (Trust) и выбери «Доверять всег­да» (Always Trust) нап­ротив стро­ки IPSec.
   


3. Соз­дать соеди­нение в нас­трой­ках сети. Нажимай плю­сик вни­зу, выбирай VPN, IKEv2 и жми «Соз­дать» (Create), впи­сывай IP сер­вера в стро­ки «Адрес сер­вера» и «Уда­лен­ный ID».
   


4. В нас­трой­ках соеди­нения выбирай «Имя поль­зовате­ля» и ука­жи свои логин и пароль.
   

В Windows про­цесс нем­ного дру­гой:

1. От­кры­вай «Кон­соль управле­ния», выбирай «Файл → Добавить или уда­лить оснас­тку → Сер­тифика­ты → Добавить».
   


2. Что­бы VPN работал для любого поль­зовате­ля, выбирай «Учет­ная запись компь­юте­ра» и жми «Далее». Затем жми «Локаль­ный компь­ютер» и «Закон­чить».
   


3. В «Кор­не кон­соли» выбирай «Доверен­ные кор­невые цен­тры сер­тифика­ции для доверия федера­ции» и «Сер­тифика­ты».
   


4. В меню «Дей­ствия» в пра­вой панели наж­ми «Все задачи» и «Импорти­ровать».
   


5. Вы­зови меню выбора фай­ла, выс­тавь тип X.509 и импорти­руй свой сер­тификат.
   


6. Те­перь нуж­но соз­дать под­клю­чение к VPN. Зай­ди в «Панель управле­ния → Сеть интернет». В Windows 7 может понадо­бить­ся соз­дать новое под­клю­чение к рабоче­му мес­ту, в Windows 10 и 11 дол­жен быть спе­циаль­ный раз­дел VPN. В любом слу­чае впи­сывай адрес сер­вера, логин и пароль.
   


7. Мо­жешь под­клю­чать­ся!
   

На iOS уста­нов­ка схо­жа с тем, что мы делали на macOS. Но пос­коль­ку я обе­щал про­демонс­три­ровать воз­можность авто­мати­чес­ки вклю­чать и вык­лючать VPN, мы вмес­то это­го соз­дадим файл с про­филем, который заод­но будет содер­жать и все нас­трой­ки.

На Android, увы, strongSwan не под­держи­вает­ся на уров­не ОС, поэто­му тебе при­дет­ся ска­чать кли­ент­ское при­ложе­ние и нас­тро­ить его. Впро­чем, эта статья ори­енти­рова­на на поль­зовате­лей iOS, так что я не пред­полагаю, что речь о тво­ем основном телефо­не.

Куем профиль для iOS

А теперь самая важ­ная часть нашего прик­лючения, ради которой все и затева­лось. Мы соз­дадим кас­томный про­филь для iOS, где про­пишем, при каких усло­виях устрой­ство дол­жно под­клю­чать­ся к VPN. Не вол­нуй­ся — пол­ностью полагать­ся на авто­мати­зацию необя­затель­но, и при желании ты смо­жешь деак­тивиро­вать такое поведе­ние в нас­трой­ках, что­бы вклю­чать и вык­лючать VPN вруч­ную.

Теги: CSS