Ubuntu配置IPsec VPN-HQY 一个和谐有爱的空间

25

2025
03
21:55:04

Ubuntu配置IPsec VPN

CentOS如何配置IPsec VPN（对比华三设备配置，讲解Linux主机如何配置strongSwan），当时是通过strongSwan实现的，strongSwan是一个开源的IPsec VPN解决方案。安装完成后，通过调整配置文件/etc/ipsec.conf和/etc/ipsec.secrets就可以完成IPsec VPN的配置。这两个文件的配置指导已经过了，有需要的小伙伴可以参考（strongSwan之ipsec.conf配置手册）和（strongSwan之ipsec.secrets配置手册）。

首先，我们先在Ubuntu系统中安装StrongSwan软件，以支持IPsec协议栈和配置工具。

apt install -y strongswan

Ubuntu的配置与之前的CentOS配置存在一些小差异，主要是软件的安装路径和配置文件的存放路径不同，配置的应用方式不同，软件的配置方式基本保持一致。

在配置文件ipsec.conf中，给出了两个简单的配置实例，不过都是基于证书认证的。

还是参考配置指导和我上次的配置案例，直接添加一个使用PSK预共享密钥的IPsec连接配置。

conn ubuntuipsec  
authby= psk  
keyexchange=ikev1  
left=10.45.1.4  
leftsubnet=10.4.1.0/24  
right=10.45.1.5  
rightsubnet=10.5.1.0/24  
keyingtries=%forever  
auto=start

简单理解一下这个连接配置：

authby用于配置两个安全网关应如何相互验证，psk即表示使用预共享密钥方式；

keyexchange用于配置使用哪个密钥交换协议来启动连接，默认值为IKEv2，配置为ikev1我们想使用IKEv2；

left表示为本端，right表示为对端；

leftsubnet和rightsubnet就是对应的私网网段，如果有多个，用逗号隔开就行了，如果要指定端口号，就写到方括号里面，在（strongSwan之ipsec.conf配置手册）中已经介绍过了；

keyingtries表示在放弃协商之前应该进行多少次尝试，默认值为3，配置为%forever表示“永不放弃”，此选项仅本地生效；

auto表示IPsec在启动时应自动执行什么操作，配置为start表示加载一个连接并立即启动它；也可以配置为route，表示加载连接并安装到内核，如果检测到本端子网和对端子网之间的流量，则建立连接；或者使用add，表示加载连接但不启动它。

对应的，对端的IPsec连接配置如下：

conn ubuntuipsec  
authby= psk  
keyexchange=ikev1  
left=10.45.1.5  
leftsubnet=10.5.1.0/24  
right=10.45.1.4  
rightsubnet=10.4.1.0/24  
keyingtries=%forever  
auto=start

接下来，我们修改密钥文件/etc/ipsec.secrets，配置要使用PSK预共享密钥。

10.45.1.0/24 : PSK "ubuntu-ipsec"

文件中的每一行都是一个选择器列表，后面跟一个密钥，这两部分由一个英文冒号:分隔，冒号前后需要有空格。即冒号前面是对端IP或主机名，在IKEv1中，在通过预共享密钥进行身份验证的情况下，会产生额外的复杂性，响应者需要在对等体的ID有效载荷被解码之前查找该密钥，因此需要使用IP地址，如果未指定ID选择器，则该行必须以冒号开头，表示接受所有，等同于IPv4的%any，或者IPv6的%any6；冒号后面是密钥类型及加密凭证，PSK预共享密钥可以最方便地表示为一个字符序列，该序列由英文的双引号字符（"）分隔，且不能包含换行符或双引号字符。

配置时，需要确保两端使用相同的密钥即可。

接下来，我们就可以启动IPsec连接服务了。