HQY 一个和谐有爱的空间

突然间想到一个问题，那就是我们之前介绍了怎么使用Windows客户端连接SSL VPN（VSR白送的的SSL VPN功能，你要不要？），也介绍了如何使用macOS客户端连接SSL VPN（MacOS iNode客户端连接SSL VPN），好像把Linux客户端给漏下了，今天就补上。（官网的指导已经有年头没更新了，我这个是使用最新版本操作的，不会搞得可以参考一下。）演示用的操作系统为Ubuntu 20.04.4 LTS（64）位首先还是要下载iNode安装包，下载路径为“首页→支持→文档与软件→软

通过上次的案例（配置strongSwan和H3C VSR的IPsec对接案例），我们已经掌握了strongSwan和VSR基于IKEv1主模式进行对接的配置方法。有同学提出，实际使用中穿越NAT在所难免，其实这种也好解决，按照前面配置H3C的思路，我们调整对应的配置为野蛮模式+FQDN应该就可以了。本次我们先把VSR作为公网端，strongSwan经过NAT设备和VSR进行对接。照例，我们先调整VSR的配置：#ike keychain swan pre-shared

IPsec的案例已经介绍了很多了（IPsec合集），突然发现原来很多地方已经开始用IKEv2了。说实话，之前还真没深入了解过，我一直以为IKEv2应该是给IPv6用的，没想到我还真就理解错了。其实IKEv2是IKEv1的增强版本，具有抗攻击能力、更强的密钥交换能力以及减少报文交互数量等特点。可能比较直观能看到的就是报文交互数量的减少吧。当需要建立一对IPsec SA时，IKEv1需要经历两个阶段，至少需要交换6条消息；而IKEv2只需要进行两次交互，使用4条消息就可以完成一个IKEv2 SA和一

strongSwan是一个开源的基于IPsec的VPN解决方案，ipsec.conf是strongSwan的关键配置，文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥，配置保存在ipsec.secrets文件中。该文件是一个文本文件，由一个或多个部分组成。#后面跟空格，再后面任何到行尾的任何内容都是注释并被忽略，不在一个部分内的空行也是如此。包含include和文件名的行，以空格分隔，将替换为该文件的内容。如果文件名不是完整路径名，则认为它是相对

strongSwan是一个开源的基于IPsec的VPN解决方案，ipsec.secrets是strongSwan的关键配置，文件保存了strongSwan IPsec子系统用于IKE身份验证的密钥表信息。这些密钥被strongSwan互联网密钥交换（Internet Key Exchange，IKE）守护程序pluto（IKEv1）和charon（IKEv2）用于验证其他主机。这些密钥必须被妥善保管，该文件应为超级用户所有，其权限应设置为阻止其他人的所有访问。strongSwan的配置和控制信息

方案1、H3C MER路由器固定IP，Centos 动态或者固定外网IP(适合vps 有固定IP地址，但网卡是内网IP，VPS做了外网映射到内网IP，即使VPS网卡是外网固定IP，也适用，野蛮模式，范围更广，不管对端是否有固定IP或者动态ADSL 内网、外网IP)方案2，H3C MER路由器固定IP，Centos 固定外网IP（vps网卡直接外网IP，没有NAT地址映射，否则协商会出现问题，类似Cannot installed tunnel - IKE_SA checkout not succe