Strongswan IPSEC VPN для Windows 7 конфигурация для дорожного воина.

Вопрос или проблема

# diff /etc/strongswan.conf /etc/strongswan.conf.template
4,6c4,7
<   dns1 = 8.8.8.8
<   dns2 = 8.8.4.4
<   nbns1 = 192.168.0.1
---
>   dns1 = 62.2.17.60
>   dns2 = 62.2.24.162
>   nbns1 = 10.10.1.1
>   nbns2 = 10.10.0.1

Ответ или решение

Конфигурация Strongswan IPSEC VPN для Windows 7 (Road Warrior)

Strongswan представляет собой мощное решение для организации безопасных VPN-соединений. Ваша текущая проблема заключается в том, что клиент на Windows 7 подключается к VPN, но не имеет доступа к другим ресурсам сети. Давайте рассмотрим, как правильно настроить Strongswan для решения данной проблемы.

Шаг 1: Обновление конфигурации StrongSwan

1. IPv4 Forwarding: Для того чтобы клиенты могли обращаться к другим ресурсам локальной сети, необходимо включить переадресацию IPv4 на сервере Strongswan. Это можно сделать с помощью следующей команды:

   echo 1 > /proc/sys/net/ipv4/ip_forward

   Чтобы изменение было постоянным, добавьте следующее в файл /etc/sysctl.conf:

   net.ipv4.ip_forward = 1

   После этого выполните команду sysctl -p, чтобы применить изменения.

2. Настройка NAT (Network Address Translation): Включите NAT, чтобы корректно перенаправлять пакеты с VPN-клиентов в локальную сеть. В вашем случае, команда будет выглядеть следующим образом, заменив <VPN IP Address> на IP-адрес вашего VPN-сервера (192.168.0.50):

   iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.50

Шаг 2: Настройка ipsec.conf и ipsec.secrets

Убедитесь, что ваши конфигурационные файлы ipsec.conf и ipsec.secrets соответствуют примеру на wiki Strongswan. Проверьте, что все сетевые параметры и учетные данные указаны верно.

Пример содержимого ipsec.conf:

config setup
    charonstart = yes
    uniqueids = no

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024!
    esp=aes128-sha1!
    dpdaction=clear
    dpdtimeout=300s
    dpddelay=300s
    rekey=no

conn win7
    keyexchange=ikev2
    left=%defaultroute
    leftid=192.168.0.50
    leftcert=serverCert.pem
    right=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.3.0/24
    rightsendcert=never

Пример содержимого ipsec.secrets:

: RSA "serverKey.pem"
username : EAP "password"

Шаг 3: Проверка маршрутизации на клиенте

Когда клиент на Windows 7 получает IP (в вашем случае 10.10.3.1), необходимо убедиться, что он корректно настроен для работы с маршрутами. В частности, проверьте:

• Шлюз (Gateway): Убедитесь, что клиент получает корректный IP-адрес шлюза. Значение по умолчанию (0.0.0.0) может быть причиной отсутствия подключения к другим ресурсам. Скорее всего, вам потребуется установить статический маршрут на клиентском устройстве.

Шаг 4: Тестирование и отладка

1. Проверка соединения: Используя команду ping, убедитесь, что клиент может пинговать шлюз и другие ресурсы локальной сети.

2. Логи: Проверьте логи Strongswan на сервере для получения дополнительной информации о возможных ошибках. Логи можно найти в /var/log/syslog или /var/log/strongswan.log, в зависимости от конфигурации системы.

Заключение

С учетом описанных шагов вы должны добиться успешного подключения VPN с возможностью доступа к ресурсам локальной сети. Настройка VPN может быть сложной задачей, но с помощью описанных выше шагов и примером конфигурации вы сможете устранить существующие проблемы.