基于ovz架构的vps搭建vpn第二弹(IPSec/IKEv2)

背景介绍:

  1. 有一就有二,前面写了一篇(这不废话吗?)
  2. pptp协议的 流量容易被防火墙识别,从而受到干扰,影响正常上外网。 安全性也比较低吧。
  3. 自己的 vps 就是个乞丐版的vps,主要是架构是ovz, 这就造成了核心对ipsec支持上有点问题, 好在给主机商发了几个tk,帮我换了一台可以支持的母鸡。
  4. 虽然ss论易用性和灵活性,以及安全性上不输于vpn,但有些时候还是需要全局流量走vpn的,具体的应用场景就不赘述了。
  5. 为什么不搭建基于IPSec/L2TP的vpn呢? 答案是没搭建成功,无论是别人的一键脚本还是自己一个一个服务的装,最后都没成功,也折腾了几天,其实我有点明白有钱人为什么说时间是那么重要了, 花了钱节省了时间,然后再去挣更多的钱。笑脸
  6. IKEv2 (Internet Key Exchange v2) 是一款新版的安全协议,特别适合移动端的加密连接,即使在切换网络的条件下,也能保持连接的不中断。 受墙的干扰小。

先决条件:

  1. 一台vps(最好是xen或者kvm的机器, 当然你没钱也想任性一把,那就ovz吧,我就是的)作服务端。
  2. 遇到问题要冷静,像我这样人品差的,如果再不冷静的话,估计是做不成事的。如果你没遇到问题,那么恭喜你,你赢了。
  3. 会用搜索,这回我假定你已经能够科学上网了,如果不行,好孩子看不见.
  4. 英文还可以,实在不行,装翻译软件吧。
  5. 还有我认为你已经安装了putty和winscp之类的工具,能够进行配置文件编辑,即使不会用vim也可以。

那开始吧:

为了让你不产生不适的情绪,进而放弃,首先还是先按这篇以及这篇来做吧,这里感谢一下原作者。我会针对我的平台和设备说一下遇到的坑和对策。

服务端配置

安装步骤说明

  1. 按照上面的教程一步一步的走下来,到第二步运行脚本这里,这一步可以忽略,如果你使用自己的证书,就按他说的做。
  2. 到第三步需要注意自己vps的类型,根据提示输入相应的数字,回车即可。接着输入服务器ip或域名,保险起见,我建议你输入ip吧。接下来的关于证书的提示直接默认回车即可。
  3. 到第五步需要注意,要确认好自己的网卡接口的名称,Xen/kvm的一般是eth0, OVZ的一般是venet0,如果不放心的话可以终端里输入ifconfig看一下。
  4. 到第六步,输入证书密码,直接回车即可。
  5. 第七步,根据自己vps的配置好与差,时间上可能会有出入。 这里说的修改连接用户名和密码是指这个路径: /usr/local/etc/ipsec.secrets。 重启服务是指ipsec,命令是ipsec restart.
  6. 第八步,你要使用ftp工具连上服务器,把那个所谓的证书下载下来并重命名为ca.cer备用。

需要注意的点

  1. win10在配置好vpn连接时,能连上vpn,可能流量还是走的本地ISP流量,上不了外网。
    import-ca
  2. 允许多台设备使用同一身份认证连vpn服务器,修改此配置文件:
    /usr/local/etc/ipsec.conf
    uniqueids=yes #允许多设备同时在线,reflink
  3. 修改配置文件:/usr/local/etc/strongswan.conf

    1
    2
    3
    4
    5
    charon {
    dns1 =
    dns2 =
    }

    这里的dns原先是Google的,可以改为你能用的dns服务器,比如opendns

  4. 让ipsec服务在重启后自启动:
    编辑 /etc/rc.local 在exit 0 之前加入:
    /usr/local/sbin/ipsec start
  5. iptables防火墙的设置:
    当然这里防火墙一般都是一键脚本自动配置好的,我会遇到问题主要是因为我原先自己搭建过各种vpn,导致规则混乱,才会用到以下命令去重新配置:
    iptables -F ## 清空防火墙规则
    vim /etc/iptables/rules.v4 ## 设置规则,上篇两篇博文里有这里就不给出配置了。
    iptables-save > /etc/iptables/rules.v4 ## 保存规则

客户端配置

win10

  1. 关于如何导入证书到客户端,我截个图。我是win10系统,把刚才下的证书保存到你认为合适的位置,右键此证书,选安装证书。具体看截图:

import-ca

import-ca

import-ca

  1. 配置win10内置客户端:

import-ca
import-ca

android

  1. 下载strongswan客户端:
    详细配置步骤参考1参考2
生活不止眼前的苟且,还有那片海