CentOS/Ubuntu一键安装IPSEC/IKEV2 VPN服务器
来源:互联网 发布:快速移动文件软件 编辑:程序博客网 时间:2024/06/08 15:34
https://quericy.me/blog/699/
Quericy Eden*
- 首页
- 分类
- 标签
- 归档
- 搜索
- 关于
- GitHub
- RSS
CentOS/Ubuntu一键安装IPSEC/IKEV2 VPN服务器
花了点时间将上次的Ubuntu、CentOS搭建IPSec/IKEv2 VPN服务器全攻略整理成了一份一键安装的脚本。适用于WindowsPhone,iOS,Android和PC设备。有需要的童鞋可以拿来食用~ ~ ~ ~ CetnOS测试了下貌似没什么问题,Ubuntu的手里暂时没有空闲vps就没试了,其实也差不多的,欢迎测试和反馈
最新更新内容请见Github上的项目说明:https://github.com/quericy/one-key-ikev2-vpn
如有错误和建议,欢迎在Github上提交PR和issues~ ~ ~ ~ ~ ~
目录
- 安装说明
- 特性
- 最近更新
- 服务端安装说明
- 客户端配置说明
- 卸载方式
- 分支说明
- 部分问题解决方案
- PS
- PS2
安装说明
用法很简单:
总结成一句话就是:除了类型要选对以外,其他的一路回车就好了23333
特性
- 服务端要求:Ubuntu或者CentOS-6/7或者Debian
- 客户端:
- iOS/OSX=>ikev1,ikev2
- Andriod=>ikev1
- WindowsPhone=>ikev2
- 其他Windows平台=>ikev2
- 可使用自己的私钥和根证书,也可自动生成
- 证书可绑定域名或ip
- 要是图方便可一路回车
最近更新
- 添加SSL证书自动申请自动更新并应用于IKEv2的解决方案,详见这篇博文:SSL证书自动更新并应用到IKEv2, Nginx ;
- 添加对CentOS7的firewall防火墙的支持;
- 使用ip address替换已被废弃的ifconfig;
- 生成单独的sysctl配置文件/etc/sysctl.d/10-ipsec.conf单独加载,用于开启ipv4转发(如以后卸载或需要关闭net.ipv4.ip_forward,请记得删除此文件);
- 升级strongswan版本到5.5.1,解决iOS9和iOS10的兼容性问题(感谢caasiu的提醒#21);
- 添加导入SSL证书的支持,安装时可选使用证书颁发机构签发的证书还是生成自签名证书;
服务端安装说明
下载脚本:
wget --no-check-certificate https://raw.githubusercontent.com/quericy/one-key-ikev2-vpn/master/one-key-ikev2.sh
- 注:如需使用其他分支的脚本,请将上述url中的master修改为分支名称,各分支区别详见本页的分支说明节点
运行脚本:
chmod +x one-key-ikev2.shbash one-key-ikev2.sh
等待自动配置部分内容后,选择vps类型(OpenVZ还是Xen、KVM),选错将无法成功连接,请务必核实服务器的类型。输入服务器ip或者绑定的域名(连接vpn时服务器地址将需要与此保持一致,如果是导入泛域名证书这里需要写
*.域名
的形式);选择使用使用证书颁发机构签发的SSL证书还是生成自签名证书:
如果选择no,
使用自签名证书
(客户端如果使用IkeV2方式连接,将需要导入生成的证书并信任)则需要填写证书的相关信息(C,O,CN),为空将使用默认值(default value),确认无误后按任意键继续,后续安装过程中会出现输入两次pkcs12证书的密码的提示(可以设置为空)如果选择yes,
使用SSL证书
(如果证书是被信任的,后续步骤客户端将无需导入证书)请在继续下一步之前,将以下文件按提示命名并放在脚本相同的目录下(SSL证书详细配置和自动续期方案可见https://quericy.me/blog/860/ ):- ca.cert.pem 证书颁发机构的CA,比如Let‘s Encrypt的证书,或者其他链证书;
- server.cert.pem 签发的域名证书;
- server.pem 签发域名证书时用的私钥;
是否使用SNAT规则(可选).默认为不使用.使用前请确保服务器具有不变的静态公网ip,可提升防火墙对数据包的处理速度.如果服务器网络设置了NAT(如AWS的弹性ip机制),则填写网卡连接接口的ip地址(参见KinonC提供的方案:#36).
防火墙配置.默认配置iptables(如果使用的是firewall(如CentOS7)请选择yes自动配置firewall,将无视SNAT并跳过后续的补充网卡接口步骤).补充网卡接口信息,为空则使用默认值(Xen、KVM默认使用eth0,OpenVZ默认使用venet0).如果服务器使用其他公网接口需要在此指定接口名称,填写错误VPN连接后将无法访问外网)
看到install Complete字样即表示安装完成。默认用户名密码将以黄字显示,可根据提示自行修改配置文件中的用户名密码,多用户则在配置文件中按格式一行一个(多用户时用户名不能使用%any),保存并重启服务生效。
将提示信息中的证书文件ca.cert.pem拷贝到客户端,修改后缀名为.cer后导入。ios设备使用Ikev1无需导入证书,而是需要在连接时输入共享密钥,共享密钥即是提示信息中的黄字PSK.
客户端配置说明
连接的服务器地址和证书保持一致,即取决于签发证书ca.cert.pem时使用的是ip还是域名;
Android/iOS/OSX 可使用ikeV1,认证方式为用户名+密码+预共享密钥(PSK);
iOS/OSX/Windows7+/WindowsPhone8.1+/Linux 均可使用IkeV2,认证方式为用户名+密码。
使用SSL证书
则无需导入证书;使用自签名证书
则需要先导入证书才能连接,可将ca.cert.pem更改后缀名作为邮件附件发送给客户端,手机端也可通过浏览器导入,其中:- iOS/OSX 的远程ID和服务器地址保持一致,用户鉴定选择”用户名”.如果通过浏览器导入,将证书放在可访问的远程外链上,并在系统浏览器(Safari)中访问外链地址;
- Windows PC 系统导入证书需要导入到“本地计算机”的”受信任的根证书颁发机构”,以”当前用户”的导入方式是无效的.推荐运行mmc添加本地计算机的证书管理单元来操作;
- WindowsPhone8.1 登录时的用户名需要带上域信息,即wp”关于”页面的设备名称\用户名,也可以使用%any %any : EAP “密码”进行任意用户名登录,但指定了就不能添加其他用户名了.
- WindowsPhone10
的vpn还存在bug(截至10586.164),ikeV2方式可连接但系统流量不会走vpn,只能等微软解决.(截至14393.5 ,此bug已经得到修复,现在WP10已经可以正常使用IkeV2.) - Windows10 也存在此bug,部分Win10系统连接后ip不变,没有自动添加路由表,使用以下方法可解决(本方法由 bigbigfish 童鞋提供):
- 手动关闭vpn的split tunneling功能(在远程网络上使用默认网关);
- 也可使用powershell修改,进入CMD窗口,运行如下命令:
12345
powershell #进入ps控制台get-vpnconnection #检查vpn连接的设置(包括vpn连接的名称)set-vpnconnection "vpn连接名称" -splittunneling $false #关闭split tunnelingget-vpnconnection #检查修改结果exit #退出ps控制台
卸载方式
进入脚本所在目录的strongswan文件夹执行:
1
make uninstall
删除脚本所在目录的相关文件(one-key-ikev2.sh,strongswan.tar.gz,strongswan文件夹,my_key文件夹).
卸载后记得检查iptables配置.
分支说明
- master分支:经过测试的相对稳定的版本;
- dev-debian分支:Debian6/7测试分支,该脚本由bestoa修改提供;
- dev分支:开发分支,使用最新版本的strongswan,未进过充分测试,用于尝试和添加一些新的功能,未来可能添加对L2TP的兼容支持,以及对ipv6的支持;
部分问题解决方案
ipsec启动问题:服务器重启后默认ipsec不会自启动,请命令手动开启,或添加/usr/local/sbin/ipsec start到自启动脚本文件中(如rc.local等):
1
ipsec start
ipsec常用指令:
123456
ipsec start #启动服务ipsec stop #关闭服务ipsec restart #重启服务ipsec reload #重新读取ipsec status #查看状态ipsec --help #查看帮助
可连接但是无法访问网络:
- 检查iptables是否正常启用,检查iptables规则是否与其他地方冲突,或根据服务器防火墙的实际情况手动修改配置。
- 检查sysctl是否开启ip_forward:
- 打开sysctl文件:
vim /etc/sysctl.conf
- 修改net.ipv4.ip_forward=1后保存并关闭文件
- 使用以下指令刷新sysctl:
sysctl -p
- 如执行后正常回显则表示生效。如显示错误信息,请重新打开/etc/syctl并根据错误信息对应部分用#号注释,保存后再刷新sysctl直至不会报错为止。
- 打开sysctl文件:
如果之前使用的自签名证书,后改用SSL证书,部分客户端可能需要卸载之前安装的自签名证书,否则可能会报
Ike凭证不可接受
的错误:- iOS:设置-通用,删除证书对应的描述文件即可;
- Windows:Win+R,运行mmc打开Microsoft管理控制台,文件->添加管理单元,添加证书管理单元(必须选计算机账户),展开受信任的根证书颁发机构,找到对应的自签名证书,右键删除即可;
- Windows Phone:暂时没有找到可以卸载证书的方法(除非越狱),目前只能重置来解决此问题;
PS
脚本代码可访问github查看和下载:
GitHub
如需Debian系统的IKEV2一键安装脚本,可参考magic282童鞋的一键脚本:
https://github.com/magic282/One-Key-L2TP-IKEV2-Setup
PS2
若需要优化TCP加速可参考本人的另一篇文章:更换Linux内核优化锐速,为shadowsocks和IkeV2加速
脚本更新支持iOS9参考链接如下:
配置StrongSwan支持ios9 ikev2免证书登录
CentOS7下Strongswan架设IPSec-IKEv1, IKEv2, L2TP VPN
支持Android、iOS 9内置IPSec客户端的strongSwan 5.3.5配置
New iptables Gotchas - SNAT VS MASQUERADE
如未特殊注明,本站文章均为原创
转载请注明:转载自quericy的博客(https://quericy.me)
本文链接地址: CentOS/Ubuntu一键安装IPSEC/IKEV2 VPN服务器
CentOS IKEv2 L2TP Linux Ubuntu VPN WindowsPhone8.1
- 上一篇
- 下一篇
- hello
ios9不需要走ikev2,直接选择ipsec,选择输入服务器IP、用户名、密码、密钥就可以了。
2015年10月24日回复顶(7)转发 - 乔什·杜哈明
博主,ipsec如何设置多用户
2015年11月19日回复顶(6)转发 - 杨元敏
经过我多次测试,虚拟主机控制面板AMH可以和博主的ipsec共存,先安装主机控制面板,再安装ipsec,可以正常连接VPN,正常对外访问。
然而问题来了,reboot vps后,再ipsec start,可以连接VPN,但无法对外访问,而修改net.ipv4.ip_forward=1也无效。
可以ping通IP,虚拟主机面板也能正常访问,就是连ipsec无法访问外网。
博主可以看下是什么问题吗?2016年10月13日回复顶(3)转发 - bigbigfish
博主你好!这个问题目前得到初步解决,方案是将ipsec.conf内的字段改为如下:
ike=aes256-sha256-modp2048,3des-sha1-modp2048,aes256-sha1-modp1024!
esp=aes256-sha256,3des-sha1,aes256-sha1!
目前在我的acrosvm上的vps工作正常了,苹果官网有提到https://support.apple.com/zh-cn/HT206154,但数据加解密速度会受到一些影响。不过我的conoha那个vps上不能这么改,改了反而会8分钟断线,之前从镜像中恢复的就不会断,而那个DH组密钥还是2即1024,暂时两个vps采用不同的配置都能在ios9.3.1上稳定连接IKEv2,但还有些问题没有搞明白,希望博主能进一步研究。2016年5月17日回复顶(2)转发
社交帐号登录:
- 微博
- 人人
- 豆瓣
- 更多»
- 632条评论
- lipeng
无法建立计算机与vpn服务器之间的网络链接,因为远程服务器未响应,这可能因为计算机与远程服务器之间的某种网络设备(如防火墙,NAT,路由器)配置为允许vpn连接,我不能确定哪里出问题了群主能帮忙解决吗?小白一枚,谁能帮我搭建给予¥10作为酬谢QQ534682735
3月9日回复顶转发 - 胡子老爷
博主,我的是amazon ec2 ubuntu 16.04 使用你的一键搭建脚本,安装过程没有出问题,选的是xen,自己生成证书,也导入根证书成功了,但是win10选择IKEV2的时候提示无法找到有效的证书,无法连接VPN,博主能否建个QQ群?
3月7日回复顶转发 - Feather-Mie
另外有个问题,最近发现在用家里的wifi(中国电信)连上vpn后无法访问外网,之前是可以的,目前用4G(联通)也可以。
有人有遇到么?3月1日回复顶转发 - Feather-Mie
感谢博主,另外分享一下:我用ikev2+psk(无证书)在ios下配置成功:http://vinqon.coding.me/2017/02/23/strongswan_ikev2/
3月1日回复顶转发 - N/A
请问博主,这个支持cisco的anyconnect吗?我记得ipad的上是选择cisco VPN可以连上,但是windows上用vpnclient-win-msi-5.0.07.0410-k9.exe,却无法连上,这是为什么呢?谢谢!
2月26日回复顶转发 - 小华-等生活稳定再回圈
用mmc导入
2月23日回复顶转发 - 毛睿
非常好的文章和脚本,安装很顺利!Win10可以正常连接,但是Win7不行,提示没有合适的证书?证书是默认设置,已经装在受信任的根区域了。还有什么要配置的吗?不管是默认的自动配置,还是手动选择IKEV2、L2TP/IPSec,手动选择证书,都不行,一样的错误。
2月21日回复顶转发- 胡子老爷
能否加个QQ,请教下win10的配置,我的总是提示ike找不到有效的证书 三6三8 9 3 ——863
3月7日回复顶转发
- yaguang
博主你好,我用Ubuntu按照您的教程搭建了一个,iOS10,win10可以成功连接并上网,小米等Android手机能连接不能上网,win7也连不上。请问这是什么原因。
2月17日回复顶转发- 胡子老爷
能否加个QQ,我连win10都不能上网 my qq 三6389386 -----3
3月7日回复顶转发
- 龟
感谢楼主,但是我配置之后连接显示VPN服务器未响应,然后查看了下证书,是0字节。请问这样该怎么办呢
2月7日回复顶转发 - 朱伟亮
博主,感谢你的文章,帮了大忙,已经按照打你的脚本和命令 部署成功了,但是我还有一个需求,就是如何能够用拨号成功的电脑,直接通过服务器的私网地址,访问其他的服务器。
1月22日回复顶转发- quericy
可以尝试在iptables里添加对置顶地址服务器的转发规则
1月30日回复顶转发
- 酸菜Amour
博主你好,我使用你的方法创建了 IPsec 服务器,但只能连接一次,自动断开后,就不能连接上了
1月22日回复顶转发 - en
还一个问题想请教下,请问我有个脚本需要在每次连接ikev2的时候去运行,我应该添加在哪个配置文件的什么地方?(脚本内容为获取当前连接人的ikev2分配的内网地址),万分感谢!
1月16日回复顶转发- quericy
这个我也不知道...不过做成crontab定时任务然后每隔一段时间分析一下ipsec status里的连接信息也许也是一种方案.
1月30日回复顶转发
- en
博主您好,有个问题想请教下。几台服务器(公网ip)如何配置使用同一个证书呢。不想一个服务器对应一个证书。
请问有什么方案吗?1月16日回复顶转发- quericy
使用泛域名证书,给这几台服务器ip分别解析到不同的子域名.
1月30日回复顶转发
- 刘新宇
博主你好,我在centos7上按照你的文章搭建成功,手机4G环境目前正常,但是wifi下却打不开任何网站,请问这是怎么回事?
1月4日回复顶转发- quericy
网络环境问题吧
1月9日回复顶转发- 刘新宇
果然是的,感谢
1月9日回复顶转发
- ssss
ios10无法打开.pem文件,邮件附件提示【无法找到打开方式】
1月4日回复顶转发- quericy
使用默认的邮件客户端
1月9日回复顶转发
- cdpython
我在阿里云 6.5.6.8 CENTOS 都搭建成功。。可以上外网。但是有时候会断流。没有任何数据。然后本地连接受限。修复本地连接。提示 默认网关 修复 。又可以继续上VPN。
有时候几小时出现一次。有时候半小时出现一次。2016年12月22日回复顶转发- quericy
检查下日志,如果没异常的话可能是被干扰了
1月9日回复顶转发
- Hey!SPring
多谢博主,用ubuntu和debian搭建成功了,但是有个问题是装了锐速之后,按您的配置把accppp=1开起来,只要客户端连上vpn,ubuntu/debian 就马上崩溃,报Kernel panic-not syncing fatal exception in interrupt, 请问是什么问题?
2016年12月21日回复顶转发- quericy
锐速对IKEv2没什么效果,已弃坑
1月9日回复顶转发
- 八宝丁儿
如果服务器上已经用了pptpd,安装这个,是需要把pptpd停掉吧?
2016年12月21日回复顶转发- quericy
没怎么考虑和其他脚本的兼容,你可以手动调整iptables
1月9日回复顶转发
- Feelop
博主你好!
我在centos6.6 centos7 Ubuntu 14.04 Server LTS 中都有尝试脚本
但是无论是哪个系统 配置完成后可以连接上 但是无法访问外网, 请问应该如何解决
以下附上sysctl -p显示结果:
root@vpn:~# sysctl -p
net.ipv4.ip_forward = 1
以下附上iptables -L显示结果:
root@vpn:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT esp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:isakmp
ACCEPT tcp -- anywhere anywhere tcp dpt:isakmp
ACCEPT udp -- anywhere anywhere udp dpt:ipsec-nat-t
ACCEPT udp -- anywhere anywhere udp dpt:l2f
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 10.31.0.0/24 anywhere
ACCEPT all -- 10.31.1.0/24 anywhere
ACCEPT all -- 10.31.2.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination2016年12月14日回复顶(1)转发- Feelop
我使用的是 vpeasy 的 VPS
2016年12月14日回复顶转发
- 阿广
博主你好,我安装好之后 提示 vpn服务器未响应 是什么问题?IP 也可以ping通。就是连不上!谢谢
2016年12月11日回复顶转发 - 咖啡不加糖
博主,晚上好,最近重建VPN,但发现在 Cenos 7 一键脚本下无法成功,tail -f /var/log/secure 也看不到任何信息,一起以为是VPS被墙了,最后查资料发现Centos 7 已经丢 iptables 而用firewall 防火墙,针对 firewall 输入下列命令,终于看到一些验证log,最后也成功解决问题。
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
如果有朋友有上面一样的问题,不妨尝试一下。2016年12月11日回复顶转发 - xingjie
博主你好,我用的实体机搭建,那该怎么选择?
2016年12月7日回复顶转发- quericy
脚本仅针对VPS,实体机没有试过,建议手动安装.以及,除了OpenVZ等内核比较特殊的,一般VPS都选Xen、KVM
2016年12月10日回复顶转发
- 咖啡不加糖
博主,你好!
在 iptables 里有一段没看明白,如果你有空请帮忙回复一下。
iptables -t nat -A POSTROUTING -s 10.31.0.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP
iptables -t nat -A POSTROUTING -s 10.31.1.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP
iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP
10.31.2.0/24 是分配给客户端的网段,那上面两行的 10.31.0.0/24 10.31.1.0/24 这两段IP 似乎没在任何地方用上,为什么还要加到 iptables 里呢?2016年12月5日回复顶(1)转发- quericy
额,这个其实是因为配置文件调整了很多次,之前的废弃了后来没删掉= =||
2016年12月10日回复顶转发
- Mr.Red
博主,如果使用你的脚本,请教黑莓OS10该如何配置客户端?
2016年12月1日回复顶转发- quericy
抱歉,我没有用过黑莓,也不清楚要怎么设置
2016年12月10日回复顶转发
- 天下天才与天下帅哥齐名
已用安卓手机连接成功,网络无异常。类型选了IPSec Xauth PSK。之后在预共享密钥和用户名密码3个框输入安装完成之后给出的信息就能连接。
2016年11月29日回复顶转发- zhutie
您的安卓是什么版本的?
2016年12月19日回复顶转发 - zhutie
我的小米4安装miui8,能连接但不能通讯。
2016年12月19日回复顶转发- yaguang
我也是这个问题,我小米5
2月17日回复顶转发
- llp
conn networkmanager-strongswan
keyexchange=ikev2
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightsourceip=10.31.2.0/24
rightcert=client.cert.pem
auto=add
博主你好!
我用你的onekey脚本装好了服务器端,windows和ios都能通过用户和密码连接了。但是linux客户端连接不成功,请问是讲上面服务器的/usr/local/etc/ipsec.conf 配置相应的对应写到客户端的/usr/local/etc/ipsec.conf 下面,然后敲ipsec启用就可以了?
conn networkmanager-strongswan
right=192.168.1.100
rightid=%192.168.1.100
rightsubnet=0.0.0.0/0
rightauth=pubkey
leftsourceip=%config
leftauth=pubkey
eap_identity=username
auto=add
然后在/usr/local/etc/ipsec.secrets配置了用户名和密码。
我这样配置不成功,求指教,谢谢!2016年11月25日回复顶转发 - 束锋华
一定要把证书设置为信任啊。。。半天连不上就是因为没有设置为信任
2016年11月24日回复顶转发 - itiger88
博主,我用你最新的版本 (strongSwan 5.5.1)安装在一台centos7 (mini iso安装)上, 然后用安卓手机系统自带的vpn创建 ikev1 的psk 密码方式连接,手机4G上网后能vpn连接,但是ping 不通 8.8.8.8(用手机ssh软件local登录后),当然也上不了网
同样用你早些时候2016 年 07 月 07 日更新的那个版本(strongswan-5.3.5),我在另外一台centos6.7 (mini iso 安装)上安装,别的不说,同样用安卓手机系统自带的vpn创建ikev1的psk密码方式连接,同样能连上vpn,而且连上后能ping通8.8.8.8 能上网。
我觉得比较奇怪,得交叉对比下,用centos6.7 安装你最新的脚本试下。2016年11月23日回复顶(1)转发- itiger88
我试过了,请看 https://github.com/quericy/one-key-ikev2-vpn/issues/63 我的反馈
2016年11月23日回复顶(1)转发
- 山哥v五
博主你好,我按照教程搭建后发现可以连接但是无法访问网络,Centos 6.5,net.ipv4.ip_forward=1 已经设置并且已经按照https://github.com/quericy/one-key-ikev2-vpn/issues/36这个帖子处理还是无法联网,求助
2016年11月11日回复顶转发 - N/A
请问博主,根证书ca.cert.pem这个文件需要保密吗?我能否直接放在服务器的web文件下载服务里?如果被不怀好意的人下载了,会不会有安全风险?谢谢!
2016年11月7日回复顶转发- quericy
这个是证书文件,没有问题的.注意私钥要保管好
2016年12月10日回复顶转发
- 分享到 Google+
- 分享到 Facebook
- 分享到 Twitter
Quericy Eden*
CentOS/Ubuntu一键安装IPSEC/IKEV2 VPN服务器
花了点时间将上次的Ubuntu、CentOS搭建IPSec/IKEv2 VPN服务器全攻略整理成了一份一键安装的脚本。适用于WindowsPhone,iOS,Android和PC设备。有需要的童鞋可以拿来食用~ ~ ~ ~ CetnOS测试了下貌似没什么问题,Ubuntu的手里暂时没有空闲vps就没试了,其实也差不多的,欢迎测试和反馈
最新更新内容请见Github上的项目说明:https://github.com/quericy/one-key-ikev2-vpn如有错误和建议,欢迎在Github上提交PR和issues~ ~ ~ ~ ~ ~
目录
- 安装说明
- 特性
- 最近更新
- 服务端安装说明
- 客户端配置说明
- 卸载方式
- 分支说明
- 部分问题解决方案
- PS
- PS2
安装说明
用法很简单:总结成一句话就是:除了类型要选对以外,其他的一路回车就好了23333
特性
- 服务端要求:Ubuntu或者CentOS-6/7或者Debian
- 客户端:
- iOS/OSX=>ikev1,ikev2
- Andriod=>ikev1
- WindowsPhone=>ikev2
- 其他Windows平台=>ikev2
- 可使用自己的私钥和根证书,也可自动生成
- 证书可绑定域名或ip
- 要是图方便可一路回车
最近更新
- 添加SSL证书自动申请自动更新并应用于IKEv2的解决方案,详见这篇博文:SSL证书自动更新并应用到IKEv2, Nginx ;
- 添加对CentOS7的firewall防火墙的支持;
- 使用ip address替换已被废弃的ifconfig;
- 生成单独的sysctl配置文件/etc/sysctl.d/10-ipsec.conf单独加载,用于开启ipv4转发(如以后卸载或需要关闭net.ipv4.ip_forward,请记得删除此文件);
- 升级strongswan版本到5.5.1,解决iOS9和iOS10的兼容性问题(感谢caasiu的提醒#21);
- 添加导入SSL证书的支持,安装时可选使用证书颁发机构签发的证书还是生成自签名证书;
服务端安装说明
下载脚本:
- 注:如需使用其他分支的脚本,请将上述url中的master修改为分支名称,各分支区别详见本页的分支说明节点
运行脚本:
等待自动配置部分内容后,选择vps类型(OpenVZ还是Xen、KVM),选错将无法成功连接,请务必核实服务器的类型。输入服务器ip或者绑定的域名(连接vpn时服务器地址将需要与此保持一致,如果是导入泛域名证书这里需要写
*.域名
的形式);选择使用使用证书颁发机构签发的SSL证书还是生成自签名证书:
如果选择no,
使用自签名证书
(客户端如果使用IkeV2方式连接,将需要导入生成的证书并信任)则需要填写证书的相关信息(C,O,CN),为空将使用默认值(default value),确认无误后按任意键继续,后续安装过程中会出现输入两次pkcs12证书的密码的提示(可以设置为空)如果选择yes,
使用SSL证书
(如果证书是被信任的,后续步骤客户端将无需导入证书)请在继续下一步之前,将以下文件按提示命名并放在脚本相同的目录下(SSL证书详细配置和自动续期方案可见https://quericy.me/blog/860/ ):- ca.cert.pem 证书颁发机构的CA,比如Let‘s Encrypt的证书,或者其他链证书;
- server.cert.pem 签发的域名证书;
- server.pem 签发域名证书时用的私钥;
是否使用SNAT规则(可选).默认为不使用.使用前请确保服务器具有不变的静态公网ip,可提升防火墙对数据包的处理速度.如果服务器网络设置了NAT(如AWS的弹性ip机制),则填写网卡连接接口的ip地址(参见KinonC提供的方案:#36).
防火墙配置.默认配置iptables(如果使用的是firewall(如CentOS7)请选择yes自动配置firewall,将无视SNAT并跳过后续的补充网卡接口步骤).补充网卡接口信息,为空则使用默认值(Xen、KVM默认使用eth0,OpenVZ默认使用venet0).如果服务器使用其他公网接口需要在此指定接口名称,填写错误VPN连接后将无法访问外网)
看到install Complete字样即表示安装完成。默认用户名密码将以黄字显示,可根据提示自行修改配置文件中的用户名密码,多用户则在配置文件中按格式一行一个(多用户时用户名不能使用%any),保存并重启服务生效。
将提示信息中的证书文件ca.cert.pem拷贝到客户端,修改后缀名为.cer后导入。ios设备使用Ikev1无需导入证书,而是需要在连接时输入共享密钥,共享密钥即是提示信息中的黄字PSK.
客户端配置说明
连接的服务器地址和证书保持一致,即取决于签发证书ca.cert.pem时使用的是ip还是域名;
Android/iOS/OSX 可使用ikeV1,认证方式为用户名+密码+预共享密钥(PSK);
iOS/OSX/Windows7+/WindowsPhone8.1+/Linux 均可使用IkeV2,认证方式为用户名+密码。
使用SSL证书
则无需导入证书;使用自签名证书
则需要先导入证书才能连接,可将ca.cert.pem更改后缀名作为邮件附件发送给客户端,手机端也可通过浏览器导入,其中:- iOS/OSX 的远程ID和服务器地址保持一致,用户鉴定选择”用户名”.如果通过浏览器导入,将证书放在可访问的远程外链上,并在系统浏览器(Safari)中访问外链地址;
- Windows PC 系统导入证书需要导入到“本地计算机”的”受信任的根证书颁发机构”,以”当前用户”的导入方式是无效的.推荐运行mmc添加本地计算机的证书管理单元来操作;
- WindowsPhone8.1 登录时的用户名需要带上域信息,即wp”关于”页面的设备名称\用户名,也可以使用%any %any : EAP “密码”进行任意用户名登录,但指定了就不能添加其他用户名了.
- WindowsPhone10
的vpn还存在bug(截至10586.164),ikeV2方式可连接但系统流量不会走vpn,只能等微软解决.(截至14393.5 ,此bug已经得到修复,现在WP10已经可以正常使用IkeV2.) - Windows10 也存在此bug,部分Win10系统连接后ip不变,没有自动添加路由表,使用以下方法可解决(本方法由 bigbigfish 童鞋提供):
- 手动关闭vpn的split tunneling功能(在远程网络上使用默认网关);
- 也可使用powershell修改,进入CMD窗口,运行如下命令:
卸载方式
进入脚本所在目录的strongswan文件夹执行:
删除脚本所在目录的相关文件(one-key-ikev2.sh,strongswan.tar.gz,strongswan文件夹,my_key文件夹).
卸载后记得检查iptables配置.
分支说明
- master分支:经过测试的相对稳定的版本;
- dev-debian分支:Debian6/7测试分支,该脚本由bestoa修改提供;
- dev分支:开发分支,使用最新版本的strongswan,未进过充分测试,用于尝试和添加一些新的功能,未来可能添加对L2TP的兼容支持,以及对ipv6的支持;
部分问题解决方案
ipsec启动问题:服务器重启后默认ipsec不会自启动,请命令手动开启,或添加/usr/local/sbin/ipsec start到自启动脚本文件中(如rc.local等):
ipsec常用指令:
可连接但是无法访问网络:
- 检查iptables是否正常启用,检查iptables规则是否与其他地方冲突,或根据服务器防火墙的实际情况手动修改配置。
- 检查sysctl是否开启ip_forward:
- 打开sysctl文件:
vim /etc/sysctl.conf
- 修改net.ipv4.ip_forward=1后保存并关闭文件
- 使用以下指令刷新sysctl:
sysctl -p
- 如执行后正常回显则表示生效。如显示错误信息,请重新打开/etc/syctl并根据错误信息对应部分用#号注释,保存后再刷新sysctl直至不会报错为止。
- 打开sysctl文件:
如果之前使用的自签名证书,后改用SSL证书,部分客户端可能需要卸载之前安装的自签名证书,否则可能会报
Ike凭证不可接受
的错误:- iOS:设置-通用,删除证书对应的描述文件即可;
- Windows:Win+R,运行mmc打开Microsoft管理控制台,文件->添加管理单元,添加证书管理单元(必须选计算机账户),展开受信任的根证书颁发机构,找到对应的自签名证书,右键删除即可;
- Windows Phone:暂时没有找到可以卸载证书的方法(除非越狱),目前只能重置来解决此问题;
PS
脚本代码可访问github查看和下载:
GitHub
如需Debian系统的IKEV2一键安装脚本,可参考magic282童鞋的一键脚本:
https://github.com/magic282/One-Key-L2TP-IKEV2-Setup
PS2
若需要优化TCP加速可参考本人的另一篇文章:更换Linux内核优化锐速,为shadowsocks和IkeV2加速
脚本更新支持iOS9参考链接如下:
配置StrongSwan支持ios9 ikev2免证书登录
CentOS7下Strongswan架设IPSec-IKEv1, IKEv2, L2TP VPN
支持Android、iOS 9内置IPSec客户端的strongSwan 5.3.5配置
New iptables Gotchas - SNAT VS MASQUERADE
如未特殊注明,本站文章均为原创
转载请注明:转载自quericy的博客(https://quericy.me)
本文链接地址: CentOS/Ubuntu一键安装IPSEC/IKEV2 VPN服务器
CentOS IKEv2 L2TP Linux Ubuntu VPN WindowsPhone8.1
- 咖啡不加糖
博主,晚上好,最近重建VPN,但发现在 Cenos 7 一键脚本下无法成功,tail -f /var/log/secure 也看不到任何信息,一起以为是VPS被墙了,最后查资料发现Centos 7 已经丢 iptables 而用firewall 防火墙,针对 firewall 输入下列命令,终于看到一些验证log,最后也成功解决问题。
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
如果有朋友有上面一样的问题,不妨尝试一下。2016年12月11日回复顶转发 - hello
ios9不需要走ikev2,直接选择ipsec,选择输入服务器IP、用户名、密码、密钥就可以了。
2015年10月24日回复顶(7)转发 - 乔什·杜哈明
博主,ipsec如何设置多用户
2015年11月19日回复顶(6)转发 - 杨元敏
经过我多次测试,虚拟主机控制面板AMH可以和博主的ipsec共存,先安装主机控制面板,再安装ipsec,可以正常连接VPN,正常对外访问。
然而问题来了,reboot vps后,再ipsec start,可以连接VPN,但无法对外访问,而修改net.ipv4.ip_forward=1也无效。
可以ping通IP,虚拟主机面板也能正常访问,就是连ipsec无法访问外网。
博主可以看下是什么问题吗?2016年10月13日回复顶(3)转发 - bigbigfish
博主你好!这个问题目前得到初步解决,方案是将ipsec.conf内的字段改为如下:
ike=aes256-sha256-modp2048,3des-sha1-modp2048,aes256-sha1-modp1024!
esp=aes256-sha256,3des-sha1,aes256-sha1!
目前在我的acrosvm上的vps工作正常了,苹果官网有提到https://support.apple.com/zh-cn/HT206154,但数据加解密速度会受到一些影响。不过我的conoha那个vps上不能这么改,改了反而会8分钟断线,之前从镜像中恢复的就不会断,而那个DH组密钥还是2即1024,暂时两个vps采用不同的配置都能在ios9.3.1上稳定连接IKEv2,但还有些问题没有搞明白,希望博主能进一步研究。2016年5月17日回复顶(2)转发
社交帐号登录:
- 微博
- 人人
- 豆瓣
- 更多»
- 632条评论
- lipeng
无法建立计算机与vpn服务器之间的网络链接,因为远程服务器未响应,这可能因为计算机与远程服务器之间的某种网络设备(如防火墙,NAT,路由器)配置为允许vpn连接,我不能确定哪里出问题了群主能帮忙解决吗?小白一枚,谁能帮我搭建给予¥10作为酬谢QQ534682735
3月9日回复顶转发 - 胡子老爷
博主,我的是amazon ec2 ubuntu 16.04 使用你的一键搭建脚本,安装过程没有出问题,选的是xen,自己生成证书,也导入根证书成功了,但是win10选择IKEV2的时候提示无法找到有效的证书,无法连接VPN,博主能否建个QQ群?
3月7日回复顶转发 - Feather-Mie
另外有个问题,最近发现在用家里的wifi(中国电信)连上vpn后无法访问外网,之前是可以的,目前用4G(联通)也可以。
有人有遇到么?3月1日回复顶转发 - Feather-Mie
感谢博主,另外分享一下:我用ikev2+psk(无证书)在ios下配置成功:http://vinqon.coding.me/2017/02/23/strongswan_ikev2/
3月1日回复顶转发 - N/A
请问博主,这个支持cisco的anyconnect吗?我记得ipad的上是选择cisco VPN可以连上,但是windows上用vpnclient-win-msi-5.0.07.0410-k9.exe,却无法连上,这是为什么呢?谢谢!
2月26日回复顶转发 - 小华-等生活稳定再回圈
用mmc导入
2月23日回复顶转发 - 毛睿
非常好的文章和脚本,安装很顺利!Win10可以正常连接,但是Win7不行,提示没有合适的证书?证书是默认设置,已经装在受信任的根区域了。还有什么要配置的吗?不管是默认的自动配置,还是手动选择IKEV2、L2TP/IPSec,手动选择证书,都不行,一样的错误。
2月21日回复顶转发- 胡子老爷
能否加个QQ,请教下win10的配置,我的总是提示ike找不到有效的证书 三6三8 9 3 ——863
3月7日回复顶转发
- yaguang
博主你好,我用Ubuntu按照您的教程搭建了一个,iOS10,win10可以成功连接并上网,小米等Android手机能连接不能上网,win7也连不上。请问这是什么原因。
2月17日回复顶转发- 胡子老爷
能否加个QQ,我连win10都不能上网 my qq 三6389386 -----3
3月7日回复顶转发
- 龟
感谢楼主,但是我配置之后连接显示VPN服务器未响应,然后查看了下证书,是0字节。请问这样该怎么办呢
2月7日回复顶转发 - 朱伟亮
博主,感谢你的文章,帮了大忙,已经按照打你的脚本和命令 部署成功了,但是我还有一个需求,就是如何能够用拨号成功的电脑,直接通过服务器的私网地址,访问其他的服务器。
1月22日回复顶转发- quericy
可以尝试在iptables里添加对置顶地址服务器的转发规则
1月30日回复顶转发
- 酸菜Amour
博主你好,我使用你的方法创建了 IPsec 服务器,但只能连接一次,自动断开后,就不能连接上了
1月22日回复顶转发 - en
还一个问题想请教下,请问我有个脚本需要在每次连接ikev2的时候去运行,我应该添加在哪个配置文件的什么地方?(脚本内容为获取当前连接人的ikev2分配的内网地址),万分感谢!
1月16日回复顶转发- quericy
这个我也不知道...不过做成crontab定时任务然后每隔一段时间分析一下ipsec status里的连接信息也许也是一种方案.
1月30日回复顶转发
- en
博主您好,有个问题想请教下。几台服务器(公网ip)如何配置使用同一个证书呢。不想一个服务器对应一个证书。
请问有什么方案吗?1月16日回复顶转发- quericy
使用泛域名证书,给这几台服务器ip分别解析到不同的子域名.
1月30日回复顶转发
- 刘新宇
博主你好,我在centos7上按照你的文章搭建成功,手机4G环境目前正常,但是wifi下却打不开任何网站,请问这是怎么回事?
1月4日回复顶转发- quericy
网络环境问题吧
1月9日回复顶转发- 刘新宇
果然是的,感谢
1月9日回复顶转发
- ssss
ios10无法打开.pem文件,邮件附件提示【无法找到打开方式】
1月4日回复顶转发- quericy
使用默认的邮件客户端
1月9日回复顶转发
- cdpython
我在阿里云 6.5.6.8 CENTOS 都搭建成功。。可以上外网。但是有时候会断流。没有任何数据。然后本地连接受限。修复本地连接。提示 默认网关 修复 。又可以继续上VPN。
有时候几小时出现一次。有时候半小时出现一次。2016年12月22日回复顶转发- quericy
检查下日志,如果没异常的话可能是被干扰了
1月9日回复顶转发
- Hey!SPring
多谢博主,用ubuntu和debian搭建成功了,但是有个问题是装了锐速之后,按您的配置把accppp=1开起来,只要客户端连上vpn,ubuntu/debian 就马上崩溃,报Kernel panic-not syncing fatal exception in interrupt, 请问是什么问题?
2016年12月21日回复顶转发- quericy
锐速对IKEv2没什么效果,已弃坑
1月9日回复顶转发
- 八宝丁儿
如果服务器上已经用了pptpd,安装这个,是需要把pptpd停掉吧?
2016年12月21日回复顶转发- quericy
没怎么考虑和其他脚本的兼容,你可以手动调整iptables
1月9日回复顶转发
- Feelop
博主你好!
我在centos6.6 centos7 Ubuntu 14.04 Server LTS 中都有尝试脚本
但是无论是哪个系统 配置完成后可以连接上 但是无法访问外网, 请问应该如何解决
以下附上sysctl -p显示结果:
root@vpn:~# sysctl -p
net.ipv4.ip_forward = 1
以下附上iptables -L显示结果:
root@vpn:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT esp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:isakmp
ACCEPT tcp -- anywhere anywhere tcp dpt:isakmp
ACCEPT udp -- anywhere anywhere udp dpt:ipsec-nat-t
ACCEPT udp -- anywhere anywhere udp dpt:l2f
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 10.31.0.0/24 anywhere
ACCEPT all -- 10.31.1.0/24 anywhere
ACCEPT all -- 10.31.2.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination2016年12月14日回复顶(1)转发- Feelop
我使用的是 vpeasy 的 VPS
2016年12月14日回复顶转发
- 阿广
博主你好,我安装好之后 提示 vpn服务器未响应 是什么问题?IP 也可以ping通。就是连不上!谢谢
2016年12月11日回复顶转发 - 咖啡不加糖
博主,晚上好,最近重建VPN,但发现在 Cenos 7 一键脚本下无法成功,tail -f /var/log/secure 也看不到任何信息,一起以为是VPS被墙了,最后查资料发现Centos 7 已经丢 iptables 而用firewall 防火墙,针对 firewall 输入下列命令,终于看到一些验证log,最后也成功解决问题。
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
如果有朋友有上面一样的问题,不妨尝试一下。2016年12月11日回复顶转发 - xingjie
博主你好,我用的实体机搭建,那该怎么选择?
2016年12月7日回复顶转发- quericy
脚本仅针对VPS,实体机没有试过,建议手动安装.以及,除了OpenVZ等内核比较特殊的,一般VPS都选Xen、KVM
2016年12月10日回复顶转发
- 咖啡不加糖
博主,你好!
在 iptables 里有一段没看明白,如果你有空请帮忙回复一下。
iptables -t nat -A POSTROUTING -s 10.31.0.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP
iptables -t nat -A POSTROUTING -s 10.31.1.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP
iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP
10.31.2.0/24 是分配给客户端的网段,那上面两行的 10.31.0.0/24 10.31.1.0/24 这两段IP 似乎没在任何地方用上,为什么还要加到 iptables 里呢?2016年12月5日回复顶(1)转发- quericy
额,这个其实是因为配置文件调整了很多次,之前的废弃了后来没删掉= =||
2016年12月10日回复顶转发
- Mr.Red
博主,如果使用你的脚本,请教黑莓OS10该如何配置客户端?
2016年12月1日回复顶转发- quericy
抱歉,我没有用过黑莓,也不清楚要怎么设置
2016年12月10日回复顶转发
- 天下天才与天下帅哥齐名
已用安卓手机连接成功,网络无异常。类型选了IPSec Xauth PSK。之后在预共享密钥和用户名密码3个框输入安装完成之后给出的信息就能连接。
2016年11月29日回复顶转发- zhutie
您的安卓是什么版本的?
2016年12月19日回复顶转发 - zhutie
我的小米4安装miui8,能连接但不能通讯。
2016年12月19日回复顶转发- yaguang
我也是这个问题,我小米5
2月17日回复顶转发
- llp
conn networkmanager-strongswan
keyexchange=ikev2
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightsourceip=10.31.2.0/24
rightcert=client.cert.pem
auto=add
博主你好!
我用你的onekey脚本装好了服务器端,windows和ios都能通过用户和密码连接了。但是linux客户端连接不成功,请问是讲上面服务器的/usr/local/etc/ipsec.conf 配置相应的对应写到客户端的/usr/local/etc/ipsec.conf 下面,然后敲ipsec启用就可以了?
conn networkmanager-strongswan
right=192.168.1.100
rightid=%192.168.1.100
rightsubnet=0.0.0.0/0
rightauth=pubkey
leftsourceip=%config
leftauth=pubkey
eap_identity=username
auto=add
然后在/usr/local/etc/ipsec.secrets配置了用户名和密码。
我这样配置不成功,求指教,谢谢!2016年11月25日回复顶转发 - 束锋华
一定要把证书设置为信任啊。。。半天连不上就是因为没有设置为信任
2016年11月24日回复顶转发 - itiger88
博主,我用你最新的版本 (strongSwan 5.5.1)安装在一台centos7 (mini iso安装)上, 然后用安卓手机系统自带的vpn创建 ikev1 的psk 密码方式连接,手机4G上网后能vpn连接,但是ping 不通 8.8.8.8(用手机ssh软件local登录后),当然也上不了网
同样用你早些时候2016 年 07 月 07 日更新的那个版本(strongswan-5.3.5),我在另外一台centos6.7 (mini iso 安装)上安装,别的不说,同样用安卓手机系统自带的vpn创建ikev1的psk密码方式连接,同样能连上vpn,而且连上后能ping通8.8.8.8 能上网。
我觉得比较奇怪,得交叉对比下,用centos6.7 安装你最新的脚本试下。2016年11月23日回复顶(1)转发- itiger88
我试过了,请看 https://github.com/quericy/one-key-ikev2-vpn/issues/63 我的反馈
2016年11月23日回复顶(1)转发
- 山哥v五
博主你好,我按照教程搭建后发现可以连接但是无法访问网络,Centos 6.5,net.ipv4.ip_forward=1 已经设置并且已经按照https://github.com/quericy/one-key-ikev2-vpn/issues/36这个帖子处理还是无法联网,求助
2016年11月11日回复顶转发 - N/A
请问博主,根证书ca.cert.pem这个文件需要保密吗?我能否直接放在服务器的web文件下载服务里?如果被不怀好意的人下载了,会不会有安全风险?谢谢!
2016年11月7日回复顶转发- quericy
这个是证书文件,没有问题的.注意私钥要保管好
2016年12月10日回复顶转发
- 上一篇
- 下一篇
- 分享到 Google+
- 分享到 Facebook
- 分享到 Twitter
- CentOS/Ubuntu一键安装IPSEC/IKEV2 VPN服务器
- CentOS一键安装IPSEC/IKEV2 VPN服务器
- CentOS一键安装IPSEC/IKEV2 VPN服务器
- UBUNTU、CENTOS搭建IPSEC/IKEV2 VPN服务器全攻略----Strongswan
- 服务器架设:PPTPD/L2TP/IPSec VPN一键安装包 For CentOS 6
- 在 Ubuntu 上用 StrongSwan 安装 IKEv2 VPN 服务器
- Linux搭建IPSec/IKEv2 VPN服务器及客户端连接教程
- IOS iphone ipad CentOS7 安装配置 StrongSwan IPsec IKEv2 VPN
- linux下搭建 ipsec vpn服务器(centos+ubuntu)
- CentOS 6下pptp+L2TP/IPSec vpn一键安装脚本
- 搭建适用于Ubuntu/CentOS的IKEV2/L2TP的VPN
- 使用Strongswan搭建IPSec/IKEv2 VPN
- 使用Strongswan搭建IPSec/IKEv2 VPN
- VPS服务器架设:CentOS PPTPD VPN一键安装包
- Centos 7 安装 l2tp/ipsec vpn
- CENTOS LINUX 安装配置L2TP+IPSEC VPN
- CentOS一键安装VPN
- 香港云主机CentOS系统上安装strongSwan搭建IPsec VPN服务器
- 深、浅拷贝构造函数
- Android接入微信登录出现-6错误
- 为啥有的app 3dtouch home屏有分享,有的app木有
- springmvc/mybatis/maven环境配置1
- 数据结构-06 图
- CentOS/Ubuntu一键安装IPSEC/IKEV2 VPN服务器
- False coin
- c++开篇——自引用指针this
- Spring Data JPA 如何使用EclipseLink
- iOS架构师之路:慎用继承
- TensorFlow 学习(二)—— tf.Session() 与 tf.Session().run()
- Javascript模块化编程(一):模块的写法
- 详谈内存管理技术(三)、线程模型
- 生成TXT文档到U盘中
博主,晚上好,最近重建VPN,但发现在 Cenos 7 一键脚本下无法成功,tail -f /var/log/secure 也看不到任何信息,一起以为是VPS被墙了,最后查资料发现Centos 7 已经丢 iptables 而用firewall 防火墙,针对 firewall 输入下列命令,终于看到一些验证log,最后也成功解决问题。
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
如果有朋友有上面一样的问题,不妨尝试一下。