配置strongswan实现科学上网
下载,解压,
./configure --prefix=/data/app/strongswan --enable-eap-identity --enable-eap-md5 --enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap --enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap --enable-xauth-pam --enable-dhcp --enable-addrblock --enable-unity --enable-certexpire --enable-radattr --disable-gmp --enable-openssl --enable-kernel-libipsec
配置ipsec.conf
配置里的left对应服务器端,right对应客户端
leftcert=server.cert.pem #服务器端证书
编辑 /etc/ipsec.secrets
: PSK 3_v.php3.cn.key
u1 : EAP "password"
u2 : EAP "password"
: PSK yourpresharedkey 这行要填预共享密钥,下面的 u1、u2 是添加的两个用户。
复制私钥, cp /data/temp/3_v.php3.cn.key /data/app/strongswan/etc/ipsec.d/private/
复制公钥 cp /data/temp/2_v.php3.cn.crt /data/app/strongswan/etc/ipsec.d/certs/
复制根证书,cp /data/temp/1_root_bundle.crt /data/app/strongswan/etc/ipsec.d/cacerts
IPsec VPN 所需要的端口为 UDP 500 和 UDP 4500
客户端连接后,可以把服务端作为路由的下一跳,服务端需要配置转发:
sysctl -w net.ipv4.ip_forward=1 或者 编辑/etc/sysctl.conf,将net.ipv4.ip_forward=1一行前面的#号去掉,保存后执行sysctl -p
iptables -A FORWARD -s 10.2.0.0/24 -j ACCEPT
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
!!!!!!一定要删除以下这句话!!!!!!
-A INPUT -j REJECT --reject-with icmp-host-prohibited
启动:ipsec start
ipsec start --nofork 启动可以看到 debug 日志
重新加载配置文件:ipsec reload
重新加载用户名密码文件:ipsec rereadsecrets