@yellowmew
Cloud infrastructure, monitoring engineer. SRE

Конфигурация linux клиента strongswan или что я делаю не так?

strongswan server ipsec.conf
conn %default
        ikelifetime=3h
        keylife=20m
        rekeymargin=3m
        keyingtries=2
        mobike=no
conn win_ike2_domain
        left=%defaultroute
        leftauth=pubkey
        leftcert=vpnhost.pem                        # the host cert
        leftid=@san.domain.name            # the SAN (Alt name) in the Cert
        leftsubnet=0.0.0.0/0                        # The internal subnet the remote user wants to access
        right=%any                                  # Connections can come from anywhere
        rightauth=eap-radius
        rightsendcert=never
        rightsourceip=10.10.10.0/24                  # Use this pool of IPs to assign to these inbound connections
        auto=add
        eap_identity=%any
        keyexchange=ikev2
        fragmentation=yes
        dpdaction=clear

Радиус - Windows 2012 Network Policy Server
Сертификат сервера содержит SAN для данного хоста выдан на хост dns.domain.name, отличающийся от dns данного хоста
Маководы мои и Windows клиенты подключаются без проблем.
Появилось целых два :D пользователя Linux которые не смогли.
Как должна выглядеть конфигурация ipsec.conf у strongswan с клиентской стороны в случае моей конфигурации?
сервер представляется сертификатом. клиент представляется EAP-ом(доменной учеткой), прописанным в секретах.
Как ipsec.secrets должен выглядеть?
логин : EAP "пароль"
или
domain\login : EAP "пароль"
или
login@domain.name : EAP "пароль"

Кто сталкивался с похожей конфигурацией, может, подскажете правильную конфигурацию клиентской части
P.S. интересует, в первую очередь, консольные настройки, интеграция с network manager пока не нужна.
Может быть что-то еще кроме strongswan надо поставить в линукс, о чем я не подозреваю?
  • Вопрос задан
  • 770 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы