Что это такое?

Это реквизиты для аутентификации сторон туннеля.

Зачем это нужно?

Для взаимной аутентификации двух узлов, желающих установить туннель друг с другом.

Как это настроить?

Данный узел содержит описания безопасных ассоциаций (SA), в которых может участвовать данное устройство. Каждая SA характеризуется способом аутентификации сторон, реквизитами для этой аутентификации и списком узлов, которые могут быть членами данной ассоциации. Аналогом в Cisco-подобном синтаксисе является команда crypto isakmp ....

Для аутентификации двух сторон создаваемого туннеля IPsec могут использоваться три способа:

1. Симметричный ключ — разделяемый секрет (Pre-Shared Key, PSK), общий для всех членов ассоциации. Это наиболее простой, но наименее безопасный способ. Рекомендуется использовать только при идентификации обеих сторон по их статическим IP-адресам либо по именам (FQDN), когда каждая из сторон аутентифицируется де-факто по сочетанию двух факторов: адреса/имени и секрета.
2. Пара асимметричных ключей RSA. Данный метод является двухфакторным по существу. Каждое устройство хранит свой собственный закрытый (приватный) ключ, а его потенциальный партнёр(-ы) должен знать парный к нему открытый (публичный) ключ. Перенос публичного ключа на удалённое устройство выполняется вручную, то есть, ногами.
3. Пара асимметричных ключей RSA, подтверждённая сертификатом X.509 (собственно, именно их он и сертифицирует). Каждое устройство хранит свой собственный закрытый (приватный) ключ и свой сертификат. Открытый (публичный) ключ содержится в теле сертификата. При установлении соединения каждая сторона передаёт партнёру свой сертификат. Если сертификат подписан известным партнёру удостоверяющим центром и, помимо этого, его основные поля соответствуют параметру leftid/rightid, то аутентификация считается успешной.

ВНИМАНИЕ! Поскольку сертификаты X.509 имеют ограниченный срок действия, для работы с ними на устройстве должно быть корректно установлено системное время (вручную или с помощью клиента NTP). Пока время не установлено, IPsec в этом случае запущен не будет.

Для создания безопасной ассоциации (SA) необходимо, чтобы и на данном, и на удалённом устройствах нашлись совпадающие PSK-секреты для данной пары устройств, или соответствующие друг другу ключи RSA, или ключи RSA и сертификаты, подписанные одним корневым сертификатом, соответственно. В этом случае они признают друг друга членами одной ассоциации и могут устанавливать туннели друг с другом.

В первом случае секреты хранятся в списке psk, во втором и третьем — в списке rsa. Каждая запись в этих списках определяет одну безопасную ассоциацию и соответствует одной записи в файле ipsec.secrets. Помимо собственно секретов, запись содержит список хостов, которым может принадлежать данный секрет; необходимость такого списка и порядок его использования зависят от способа аутентификации и от постановки задачи. Подробнее см. справку по указанным узлам.