ubuntu cisco ipsec(ubuntu软件安装)

2025-1-10

大家好,今天小编来为大家解答以下的问题，关于ubuntu cisco ipsec，ubuntu软件安装这个很多人还不知道，现在让我们一起来看看吧！

如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

L2TP：一个「包装」协议，本身并不提供加密和验证的功能。

IPSec：在 IP数据包的层级提供加密和验证功能，确保中间人无法解密或者伪造数据包。

本来，只用 IPSec就可以实现 VPN，Mac OS X和 Linux都支持。但是 Mac OS X和 iPhone OS都推荐使用 L2TP over IPSec，在两者的图形介面上也只能设置这个。L2TP/ IPSec是业界标准，微软也支持。而只用 IPSec的常见于 Linux-to-Linux的应用，比如将两个位于不同地区的办公室网络安全地连在一起。这多是固定 IP路由器到固定 IP路由器级别的连接，只需保证数据包不被中途截获或者伪造就可以，故使用 L2TP的意义不大。L2TP/ IPSec主要是实现所谓「Road Warrior」的设置，即用变动的客户端连固定的服务器。

Cisco的 VPN用的也是 IPSec加密，但那是一套不同于 L2TP的私有包装协议，用于提供用户管理之类的功能，因此一般都需要用 Cisco自家的 VPN客户端连接。iPhone/ iPad的 VPN设置介面中的 IPSec标签里有 Cisco的标识，就是这个原因。

阿里云ubuntu1604搭建IPSec服务

IPSec简介

IPSec（Internet Protocol Security）：是一组基于网络层的，应用密码学的安全通信协议族。IPSec不是具体指哪个协议，而是一个开放的协议族。

IPSec协议的设计目标：是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。

IPSec VPN：是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

由于阿里云上有一些限制，在阿里云ECS上部署待见IPSec和普通服务器有不一样的地方。

安装strongswan

apt-get update

apt-get install strongswan strongswan-plugin-xauth-generic

编辑/etc/ipsec.secrets

vi/etc/ipsec.secrets

增加：

: PSK“test”

user1: XAUTH“user1password”

其中PSK是预共享密钥，是用于验证 L2TP/IPSec连接的 Unicode字符串。user1为用户名, user1password是密码。

编辑/etc/ipsec.conf

config setup

cachecrls=yes

uniqueids=yes

conn ios

keyexchange=ikev1

authby=xauthpsk

xauth=server

left=%defaultroute

leftsubnet=0.0.0.0/0

leftfirewall=yes

right=%any

rightsubnet=192.168.0.1/16

rightsourceip=192.168.0.1/16

rightdns=223.5.5.5

auto=add

注意使用192.168网段而不是10.0.0.1网段，10.0.0.1网段在阿里云上好像有问题(据说被禁了？)。

重启 strongswan

ipsec restart

修改阿里云服务器对应安全组规则

增加公网入网 UDP 500和 UDP 4500两个端口

打开IPv4转发，设置NAT规则

sysctl net.ipv4.ip_forward=1

iptables-t nat-A POSTROUTING-s 192.168.0.1/16-o eth1-j MASQUERADE

注意是使用 eth1，而不是eth0.

ECS中eth1绑定外网网卡，eth0是内网网卡。