ipsec и Aktiv Rutoken ECP

С помощью какого ПО не важно, но нужно построить VPN туннель, используя в качестве авторизации ключ. Самостоятельно пробовал использовать strongswan, скомпилировав его с ключом --enable-pkcs11. Но так и не понял, как корректно настроить авторизацию через Rutoken.
Возможно есть готовый рецепт использования в strongswan, libreswan, openswan.

Re: ipsec и Aktiv Rutoken ECP

Добрый день!

Вы уже ознакомились со статьей на хабре "Настройка аутентификации в сети L2TP с помощью Рутокен ЭЦП 2.0 и Рутокен PKI"?

Re: ipsec и Aktiv Rutoken ECP

после вашего поста попробовал -- не выходит. ipsec не поднимается.
Возможно я немного ввёл в заблуждение. Дело в том, что пользователи ОС windows использую клиентское ПО CheckPointVPN, а для авторизации необходимо лишь установить ПО и использовать Rutoken как авторизацию. К сожалению для ОС linux check point не поставляет своё ПО (snx как понял не умеет работать с рутокен). Поэтому у меня родилась идея обходного пути, без использования ПО CheckPointVPN.

Re: ipsec и Aktiv Rutoken ECP

Можете уточнить на какой конкретно системе вы хотите установить vpn сервер? Версию операционной системы?

llirik пишет:

после вашего поста попробовал -- не выходит. ipsec не поднимается.

Можете прислать скриншот или информацию об ошибке?

(2020-08-22 06:05:33 отредактировано llirik)

Re: ipsec и Aktiv Rutoken ECP

Фатеева Светлана пишет:

Можете уточнить на какой конкретно системе вы хотите установить vpn сервер? Версию операционной системы?

llirik пишет:

после вашего поста попробовал -- не выходит. ipsec не поднимается.

Можете прислать скриншот или информацию об ошибке?

Конечно. Прикладываю лог подключения и скриншот лога программы.
https://forum.rutoken.ru/uploads/images/2020/08/cd6780e99eab60a9def0f63da82770cc.png
П.с. к сожалению, не могу загрузить файл, т.к. система отвечает, что у меня нет на это прав.
Ещё, есть догадка, что у меня не хватает сертификата сервера. По check point скачивает его самостоятельно. Но я так пока и не нашёл, в какое место и в каком формате сохраняет клиент check point в windows этот сертификат.

Re: ipsec и Aktiv Rutoken ECP

Уточните пожалуйста на какой операционной системе настраиваете vpn сервер?

Re: ipsec и Aktiv Rutoken ECP

Фатеева Светлана пишет:

Уточните пожалуйста на какой операционной системе настраиваете vpn сервер?

я настраиваю не сервер, а клиентскую часть. В данный момент пробую Manjaro linux.

Re: ipsec и Aktiv Rutoken ECP

Можете уточнить и описать более подробно какую схему подключения VPN вы используете и настраиваете?

Re: ipsec и Aktiv Rutoken ECP

Фатеева Светлана пишет:

Можете уточнить и описать более подробно какую схему подключения VPN вы используете и настраиваете?

как я описывал выше, я добиваюсь возможности получения аналогичной функциональности, какой имеет клиентское ПО CheckPointVPN на windows. В данный момент я использую Virtualbox с windows, в который пробрасывается rutoken ключ с сертификатом и ключом. Зная адрес сервера, имея рутокен с сертификато и ключом можно через клиентское ПО CheckPoint поднять VPN. Рутокен такой, что из него нет возможности извлечения приватного ключа вместе с сертификатом в формате p12. На просторах интернета прочитал, что Checkpoint использует вполне стандартный ipsec. Вот у меня и возникла мысль избавится от лишней сущности -- windows в виртуалке. Для реализации ipsec пробую использовать strongswan, т.к. он умеет работать с токенами и смарткартами. Но пока ipsec не удается настроить.

Re: ipsec и Aktiv Rutoken ECP

ПО CheckPointVPN использует IPSec, но с некоторыми расширениями, делающими его несовместимыми с другими реализациями.
Согласно вашей схеме вы пытаетесь настроить аутентификацию по смарт-карте на уровне IPsec, а не на уровне PPP.
В настоящий момент не поддерживается такая схема использования Rutoken. Если вы хотите настроить VPN подключение, то пока можем рекомендовать использовать схему из статьи.

Re: ipsec и Aktiv Rutoken ECP

На нашем Портале документации появилась статья по настройке Strongswan IPsec VPN сервера и клиента с поддержкой двухфакторной аутентификации по смарт-карте.
Ознакомьтесь с ней, возможно она поможет решить вашу проблему.