Я установил экземпляр Algo VPN на AWS Lightsail с помощью официального руководства по Ansible. Я могу установить VPN-соединение с помощью Wireguard, но не могу заставить его работать с strongSwan.
Я настроил два разных клиента Ubuntu в соответствии с этими официальными инструкциями: https://github.com/trailofbits/algo/blob/master/docs/client-linux-ipsec.md
Я всегда получаю сообщение об ошибке «Сертификат эмитента для« CN = »не найден, даже если я предоставил открытый ключ сервера в /etc/ipsec.d/cacerts. Этот сертификат кажется самоподписанным.
$ cat /etc/ipsec.d/cacerts/cacert.pem
-----BEGIN CERTIFICATE----- <...> -----END CERTIFICATE-----
$ ipsec listcacerts
<no output>
Вот что произошло, когда я попытался запустить туннель:
$ ipsec up algovpn-35.180.123.456
initiating IKE_SA algovpn-35.180.123.456[1] to 35.180.123.456
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 192.168.5.196[500] to 35.180.123.456[500] (294 bytes)
received packet: from 35.180.123.456[500] to 192.168.5.196[500] (319 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
selected proposal: IKE:AES_GCM_16_256/PRF_HMAC_SHA2_512/ECP_384
local host is behind NAT, sending keep alives
remote host is behind NAT
received 1 cert requests for an unknown ca
authentication of 'CN=remote1' (myself) with ECDSA_WITH_SHA384_DER successful
sending end entity cert "CN=remote1"
establishing CHILD_SA algovpn-35.180.123.456{1}
generating IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) IDr AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from 192.168.5.196[4500] to 35.180.123.456[4500] (973 bytes)
received packet: from 35.180.123.456[4500] to 192.168.5.196[4500] (883 bytes)
parsed IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) ]
received end entity cert "CN=35.180.123.456"
using certificate "CN=35.180.123.456"
no issuer certificate found for "CN=35.180.123.456"
issuer is "CN=35.180.123.456"
no trusted ECDSA public key found for '35.180.123.456'
generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
sending packet: from 192.168.5.196[4500] to 35.180.123.456[4500] (65 bytes)
establishing connection 'algovpn-35.180.123.456' failed
Кто-нибудь знает, как я могу заставить это работать?
С уважением,
Йона
Только сертификаты ЦС автоматически загружаются из /etc/ipsec.d/cacerts
(сертификаты с базовым набором ограничений CA), сертификаты конечных объектов / серверов отсутствуют (если только вы не инсульт плагин, чтобы сделать это через ignore_missing_ca_basic_constraint
вариант, но я бы не рекомендовал это делать).
Если вы хотите использовать (самоподписанный) сертификат сервера напрямую, поместите его в /etc/ipsec.d/certs
и загрузите его через rightcert
вариант в вашем разделе conn.
В конечном итоге это сводится к несовместимости между тем, как алгоритм настраивает сертификат CA и strongswan. Видеть https://github.com/trailofbits/algo/issues/1758 для обходного пути.