с логикой апач незнаком и она мне трудно очень даётся
CustomLog /var/log/httpd/undrcon/ssl-access common
ErrorLog /var/log/httpd/undrcon/ssl-httpd
На линуксе в фаерволе исходящий трафик по протоколу ESP нужно было разрешить (проглядел).
По поводу документации strongswan - есть ли рускоязычная?
Возможно ли реализовать следующее: между микротиком и линуксом тоннель "сеть-сеть", а мобильные клиенты к линуксу "хост-хост" + выход в интернет через линукс?
conn any-deltahwCA-rsa-tegra
auto=add
left=1.2.3.4
leftid="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Linux servers/CN=noname.ru/emailAdd
ress=root@noname.ru"
leftauth=pubkey
leftcert=noname.crt
leftsubnet=10.87.1.0/24
leftca="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Certificate Authority/CN=Root CA/emailAddress=certmgr@noname.ru"
leftfirewall=yes
leftdns=10.87.1.3,10.87.1.34
right=%any
rightallowany=yes
rightsourceip=10.87.1.28-10.87.1.30
rightid="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Mobile devices/CN=tegra.noname.ru/emailA
ddress=root@noname.ru"
rightcert=tegra_noname.crt
rightauth=pubkey
rightca="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Certificate Authority/CN=Root CA/emailAddress=certmgr@noname.ru"
ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024,aes128-sha-modp1536,aes192-sha-modp1536,aes256-sha-modp1536!
esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024,aes128-sha-modp1536,aes192-sha-modp1536,aes256-sha-modp1536!
Здесь не только часто "набигают" нубы, здесь ещё часто "набигают" знатоки которые пытаются самоутвердиться сами ничего не умея
Такие призывы в наше время наказуемы.
/ip ipsec peer add address=1.2.3.4/32 auth-method=rsa-signature certificate="RB450G cert with key" dpd-interval=disable-dpd enc-algorithm=aes-128,aes-192,aes-256 nat-traversal=no proposal-check=strict remote-certificate="Logsrv"
/ip ipsec policy add dst-address=10.87.1.0/24 level=unique proposal=proposal1 sa-dst-address=1.2.3.4 sa-src-address=1.3.4.5 src-address=172.16.1.0/24 tunnel=yes
/ip ipsec proposal add name=proposal1
conn a-rb450g-rsa
auto=route
left=1.2.3.4
leftid="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Linux servers/CN=logsrv.ktoto.ru/emailAddress=mylo@ktoto.ru"
leftauth=pubkey
leftcert=logsrv.crt
leftsubnet=10.87.1.0/24
right=1.3.4.5
rightid="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Routers/CN=rb450g.ktoto.ru/emailAddress=mylo2@ktoto.ru"
rightcert=rb450g.crt
rightsubnet=172.16.1.0/24
rightauth=pubkey
keyexchange=ikev1
ike=aes128-sha-modp1024,aes256-sha-modp1024,aes512-sha-modp1024
esp=aes128-sha-modp1024,aes256-sha-modp1024,aes512-sha-modp1024
/ip firewall nat
add chain=srcnat ipsec-policy=out,ipsec out-interface=ether1
Насчет "отдельных клиентов" не совсем понял. Либо идет соединение "сеть-сеть" и тогда просто сцепляются две подсетки, либо "хост-сеть" и тогда сервер швана выдает клиенту IP. Может быть конечно и другие варианты есть, в доке там много чего написано, но мне они в голову не приходят...