Назад | Перейти на главную страницу

Аутентификация открытого ключа с помощью strongswan

У меня есть две системы r1 и r2, и я хочу установить между ними туннель ESP с помощью Strongswan с использованием аутентификации с открытым ключом. Я сгенерировал открытые ключи, которые хранятся в r1-pub.pem и r2-pub.pem соответственно, в обеих системах, использующих openssl.

Теперь мой файл ipsec.conf выглядит так в системе r1

conn host-host-rsa

left=1.1.1.1
leftsubnet=192.168.10.0/24
leftid=@moon.strongswan.org
leftauth=pubkey
leftrsasigkey=/root/r1-pub.pem
right=2.2.2.2
rightsubnet=192.168.20.0/24
rightid=@sun.strongswan.org
rightauth=pubkey
rightrsasigkey=/root/r2-pub.pem
type=tunnel
auto=add

а в системе r2 конфигурация

conn host-host-rsa
left=2.2.2.2
leftsubnet=192.168.20.0/24
leftid=@sun.strongswan.org
leftauth=pubkey
leftrsasigkey=/root/r2-pub.pem
right=1.1.1.1
rightsubnet=192.168.10.0/24
rightid=@moon.strongswan.org
rightauth=pubkey
rightrsasigkey=/root/r1-pub.pem
type=tunnel
auto=add

Теперь при запуске ipsec на r1 я получаю эту ошибку

Starting strongSwan 5.1.2 IPsec [starter]...
00[DMN] Starting IKE charon daemon (strongSwan 5.1.2, Linux 3.13.0-32-generic, x86_64)
00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
00[CFG] loading crls from '/etc/ipsec.d/crls'
00[CFG] loading secrets from '/etc/ipsec.secrets'
00[LIB] loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 pkcs12 pem openssl xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity addrblock
00[LIB] unable to load 5 plugin features (5 due to unmet dependencies)
00[LIB] dropped capabilities, running as uid 0, gid 0
00[JOB] spawning 16 worker threads
charon (607) started after 300 ms
04[CFG] received stroke: add connection 'host-host-rsa'
04[LIB] building CRED_CERTIFICATE - TRUSTED_PUBKEY failed, tried 0 builders
04[CFG]   loading public key for "moon.strongswan.org" from '/root/r1-pub.pem' failed
04[LIB] building CRED_CERTIFICATE - TRUSTED_PUBKEY failed, tried 0 builders
04[CFG]   loading public key for "sun.strongswan.org" from '/root/r2-pub.pem' failed
04[CFG] added configuration 'host-host-rsa'

Я не знаю, почему происходит эта ошибка загрузки открытого ключа. Любая помощь будет оценена по достоинству.

Вам нужен pubkey плагин для использования необработанных открытых ключей. Если вы указали charon.load в strongswan.conf обязательно включите этот плагин в список. Если вы этого не сделали, значит, вы либо не создали плагин, либо ваш дистрибутив не поставляет его. В обоих случаях вам придется восстановить strongSwan из исходников с соответствующими ./configure параметры.