Что это такое?

Это открытый ключ правой стороны.

Зачем это нужно?

Для аутентификации на основе ключей RSA (с сертификатами X.509 или без них).

Как это настроить?

При аутентификации RSA без использования сертификатов X.509 — указать открытый ключ противоположной (левой) стороны.

ПРИМЕЧАНИЕ. Если противоположная сторона — также устройство под управлением NSG Linux 2.x и генерирует свои ключи самостоятельно, то её открытый ключ можно просмотреть командой ipsec.secrets.rsa.НОМЕР.show-public-key.

Помимо явного указания ключа, допустимы также следующие специальные значения

%none

Ключ отсутствует. Аутентификация невозможна.

%dnsondemand

Ключ загружается с сервера DNS по мере необходимости.

%dnsonload

Ключ загружается с сервера DNS при запуске IPsec. При установках left=%any или left=%opportunistic данное значение равносильно %none.

%dns

В текущей версии равносильно %dnsonload, но в перспективе может быть изменено на %dnsondemand.

ВНИМАНИЕ! При использовании ключей RSA на правой стороне она должна быть указана на левой стороне в поле right конкретным именем (FQDN) или IP-адресом; %any и другие специальные значения недопустимы.

ВНИМАНИЕ! Если на устройстве создаётся более двух туннелей с разными RSA-секретами, то они должны иметь различные идентификаторы rightid.

При аутентификации RSA c использованием сертификатов X.509 открытый ключ удалённой стороны извлекается из сертификата, полученного от неё непосредственно в процессе образования SA. В этом случае для данного параметра необходимо указать специальное значение %cert.

По существу в обоих случаях используется только запись, относящаяся к удалённой стороне.