рдХрдИ рдХрд╛рд░рдгреЛрдВ рд╕реЗ, VMWare рдХреНрд▓рд╛рдЙрдб рдбрд╛рдпрд░реЗрдХреНрдЯрд░ рдореЗрдВ рдиреЗрдЯрд╡рд░реНрдХ рдФрд░ рдХреНрд▓рд╛рдЙрдб рдореЗрдВ рдПрдХ рдЕрд▓рдЧ рдЙрдмрдВрдЯреВ рдорд╢реАрди рдХреЗ рдмреАрдЪ рдПрдХ рд╡реАрдкреАрдПрди рдХрдиреЗрдХреНрд╢рди рд╡реНрдпрд╡рд╕реНрдерд┐рдд рдХрд░рдирд╛ рдЖрд╡рд╢реНрдпрдХ рдерд╛ред рдиреЛрдЯ рдореЗрдВ рдкреВрд░реНрдг рд╡рд┐рд╡рд░рдг рд╣реЛрдиреЗ рдХрд╛ рджрд╛рд╡рд╛ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдпрд╣ рдХреЗрд╡рд▓ рдПрдХ рдЫреЛрдЯрд╛ рд╕рд╛ рддрд░реАрдХрд╛ рд╣реИред
рдЗрд╕ рд╡рд┐рд╖рдп рдкрд░ 2015 рдХрд╛ рдПрдХрдорд╛рддреНрд░ рд▓реЗрдЦ рдЗрдВрдЯрд░рдиреЗрдЯ рдкрд░ рдкрд╛рдпрд╛ рдЧрдпрд╛ "'.
рджреБрд░реНрднрд╛рдЧреНрдп рд╕реЗ, рдЗрд╕рдХрд╛ рд╕реАрдзреЗ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╕рдВрднрд╡ рдирд╣реАрдВ рдерд╛, рдХреНрдпреЛрдВрдХрд┐... рдореИрдВ рдЕрдзрд┐рдХ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдЪрд╛рд╣рддрд╛ рдерд╛, рд╕реНрд╡-рд╣рд╕реНрддрд╛рдХреНрд╖рд░рд┐рдд рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдирд╣реАрдВ, рдФрд░ рд╡рд░реНрдгрд┐рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди NAT рдХреЗ рдкреАрдЫреЗ рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддрд╛ред
рдЗрд╕рд▓рд┐рдП, рдореБрдЭреЗ рдмреИрдардирд╛ рдкрдбрд╝рд╛ рдФрд░ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝реАрдХрд░рдг рдореЗрдВ рдЧрд╣рд░рд╛рдИ рд╕реЗ рдЬрд╛рдирд╛ рдкрдбрд╝рд╛ред
рдЖрдзрд╛рд░ рдХреЗ рд░реВрдк рдореЗрдВ, рдореИрдВрдиреЗ рдПрдХ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд▓рд┐рдпрд╛ рдЬрд┐рд╕реЗ рдореИрдВ рд▓рдВрдмреЗ рд╕рдордп рд╕реЗ рдЙрдкрдпреЛрдЧ рдХрд░ рд░рд╣рд╛ рдерд╛, рдЬреЛ рдореБрдЭреЗ рд▓рдЧрднрдЧ рдХрд┐рд╕реА рднреА рдУрдПрд╕ рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдФрд░ рдмрд╕ рдЗрд╕рдореЗрдВ рдПрдХ рдЯреБрдХрдбрд╝рд╛ рдЬреЛрдбрд╝рд╛ рдЬреЛ рдореБрдЭреЗ рдПрдирдПрд╕рдПрдХреНрд╕ рдПрдЬ рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
рдЪреВрдБрдХрд┐ рд╕реНрдЯреНрд░рд╛рдВрдЧрд╕реНрд╡рд╛рди рд╕рд░реНрд╡рд░ рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рдФрд░ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛ рдЗрд╕ рдиреЛрдЯ рдХреЗ рджрд╛рдпрд░реЗ рд╕реЗ рдмрд╛рд╣рд░ рд╣реИ, рдореИрдВ рдЗрд╕рдХрд╛ рдЙрд▓реНрд▓реЗрдЦ рдХрд░рддрд╛ рд╣реВрдБ .
рддреЛ, рдЪрд▓рд┐рдП рд╕реАрдзреЗ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдкрд░ рдЪрд▓рддреЗ рд╣реИрдВред
рд╣рдорд╛рд░рд╛ рдХрдиреЗрдХреНрд╢рди рдЖрд░реЗрдЦ рдЗрд╕ рддрд░рд╣ рджрд┐рдЦреЗрдЧрд╛:
╤Б╨╛ ╤Б╤В╨╛╤А╨╛╨╜╤Л VMWare ╨▓╨╜╨╡╤И╨╜╨╕╨╣ ╨░╨┤╤А╨╡╤Б 33.33.33.33 ╨╕ ╨▓╨╜╤Г╤В╤А╨╡╨╜╨╜╤П╤П ╤Б╨╡╤В╤М 192.168.1.0/24
╤Б╨╛ ╤Б╤В╨╛╤А╨╛╨╜╤Л Linux ╨▓╨╜╨╡╤И╨╜╨╕╨╣ ╨░╨┤╤А╨╡╤Б 22.22.22.22 ╨╕ ╨▓╨╜╤Г╤В╤А╨╡╨╜╨╜╤П╤П ╤Б╨╡╤В╤М 10.10.10.0/24
╤В╨░╨║╨╢╨╡ ╨┐╨╛╨╜╨░╨┤╨╛╨▒╨╕╤В╤Б╤П ╨╜╨░╤Б╤В╤А╨╛╨╕╤В╤М Let's encrypt ╤Б╨╡╤А╤В╨╕╤Д╨╕╨║╨░╤В ╨┤╨╗╤П ╨░╨┤╤А╨╡╤Б╨░ vpn.linux.ext
PSK ╤Б ╨╛╨▒╨╡╨╕╤Е ╤Б╤В╨╛╤А╨╛╨╜: ChangeMeNow!рдПрдирдПрд╕рдПрдХреНрд╕ рдПрдЬ рд╕реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди:
рдкрд╛рда
Enabled: yes
Enable perfect forward secrecy (PFS): yes
Name: VPN_strongswan (╨╗╤О╨▒╨╛╨╡, ╨┐╨╛ ╨▓╨░╤И╨╡╨╝╤Г ╨▓╤Л╨▒╨╛╤А╤Г)
Local Id: 33.33.33.33
Local Endpoint: 33.33.33.33
Local Subnets: 192.168.1.0/24
Peer Id: vpn.linux.ext
Peer Endpoint: 22.22.22.22
Peer Subnets: 10.10.10.0/24
Encryption Algorithm: AES256
Authentication: PSK
Pre-Shared Key: ChangeMeNow!
Diffie-Hellman Group: 14 (2048 bit тАФ ╨┐╤А╨╕╨╡╨╝╨╗╨╡╨╝╤Л╨╣ ╨║╨╛╨╝╨┐╤А╨╛╨╝╨╕╤Б╤Б ╨╝╨╡╨╢╨┤╤Г ╤Б╨║╨╛╤А╨╛╤Б╤В╤М╤О ╨╕ ╨▒╨╡╨╖╨╛╨┐╨░╤Б╨╜╨╛╤Б╤В╤М╤О. ╨Э╨╛ ╨╡╤Б╨╗╨╕ ╤Е╨╛╤В╨╕╤В╨╡, ╨╝╨╛╨╢╨╡╤В╨╡ ╨┐╨╛╤Б╤В╨░╨▓╨╕╤В╤М ╨▒╨╛╨╗╤М╤И╨╡)
Digest Algorithm: SHA256
IKE Option: IKEv2
IKE Responder Only: no
Session Type: Policy Based Session рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ
рд╕реНрдЯреНрд░рд╛рдВрдЧрд╕реНрд╡рд╛рди рд╕реЗ рд╕реЗрдЯрдЕрдк:
ipsec.conf
# /etc/ipsec.conf
config setup
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!
left=%any
leftsubnet=10.10.10.0/24
leftcert=certificate.pem
leftfirewall=yes
leftsendcert=always
right=%any
rightsourceip=192.168.1.0/24
rightdns=77.88.8.8,8.8.4.4
eap_identity=%identity
# IKEv2
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
# macOS, iOS
conn IKEv2-MSCHAPv2-Apple
also="IPSec-IKEv2"
rightauth=eap-mschapv2
leftid=vpn.linux.ext
# Android IPsec Hybrid RSA
conn IKEv1-Xauth
keyexchange=ikev1
rightauth=xauth
auto=add
# VMWare IPSec VPN
conn linux-nsx-psk
authby=secret
auto=start
leftid=vpn.linux.ext
left=10.10.10.10
leftsubnet=10.10.10.0/24
rightid=33.33.33.33
right=33.33.33.33
rightsubnet=192.168.1.0/24
ikelifetime=28800
keyexchange=ikev2
lifebytes=0
lifepackets=0
lifetime=1hipsec.рдЧреБрдкреНрдд
# /etc/ipsec.secrets
: RSA privkey.pem
# Create VPN users accounts
# ╨Т╨Э╨Ш╨Ь╨Р╨Э╨Ш╨Х! ╨Я╨╛╤Б╨╗╨╡ ╨╗╨╛╨│╨╕╨╜╨░ ╤Б╨╜╨░╤З╨░╨╗╨░ ╨┐╤А╨╛╨▒╨╡╨╗, ╨┐╨╛╤В╨╛╨╝ ╨┤╨▓╨╛╨╡╤В╨╛╤З╨╕╨╡.
user1 : EAP "stongPass1"
user2 : EAP "stongPass2"
%any 33.33.33.33 : PSK "ChangeMeNow!"рдЙрд╕рдХреЗ рдмрд╛рдж, рдмрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рджреЛрдмрд╛рд░рд╛ рдкрдврд╝реЗрдВ, рдХрдиреЗрдХреНрд╢рди рд╢реБрд░реВ рдХрд░реЗрдВ рдФрд░ рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдпрд╣ рд╕реНрдерд╛рдкрд┐рдд рд╣реИ:
ipsec update
ipsec rereadsecrets
ipsec up linux-nsx-psk
ipsec status
рдореБрдЭреЗ рдЖрд╢рд╛ рд╣реИ рдХрд┐ рдпрд╣ рдЫреЛрдЯрд╛ рд╕рд╛ рдиреЛрдЯ рдорджрджрдЧрд╛рд░ рд╣реЛрдЧрд╛ рдФрд░ рдХрд┐рд╕реА рдХреЗ рдХреБрдЫ рдШрдВрдЯреЗ рдмрдЪрд╛рдПрдЧрд╛ред
рд╕реНрд░реЛрдд: www.habr.com