搭建ipsec伺服器_IPsec在伺服器上怎麼配置

1、我有一台內網的IPSEC 伺服器。

做靜態映射，服務需要哪個協議埠就映射那些埠

2、如何使用IpSec實現伺服器之間安全通信

為了解決來這些問題，它實源現了四個服務：數據傳輸加密、數據完整性驗證、數據源認證和數據狀態完整性。為了實現這些服務，IPsecVPN引入了許多協議。在本篇文章中，您將學習到實現IPsec安全性的協議。 IPsecVPNIPsec VPN框架是一個IETF 標准套件，...

3、IPsec在伺服器上怎麼配置？

IPSec一般是用於VPN接入的加密，不是用來做訪問控制的。你可以在你們的接入路由器上，設置IP過濾，只有你的IP可以訪問特定IP。

4、如何在 Debian / Ubuntu 伺服器上架設 L2TP / IPSec VPN

buntu / Debian:自己把點換成 .
1
2
3
wget mirror.zeddicus點com/auto-l2tp/1.2/ubuntu/l2tp.sh
chmod +x l2tp.sh
./l2tp.sh

此時需要輸入IP段與PSK，值得注意的是，如果希望版L2TP的IP段是 10.0.0.0 的話，則在腳本的權IP-RANGE中輸入「10.0.0″。PSK 是 l2tp client 共同使用的密匙，同樣是必填的。

輸入了IP段和PSK之後，程序會顯示你的VPS當前的IP（IPV4）、L2TP的本地IP、分配給客戶端的IP段以及你所設置的PSK，請確認無誤後，按任意鍵，程序便會開始自動配置。

安裝完畢後會運行 ipsec verify，前面是OK，最後一個為DISABLED，證明配置成功！用於測試的用戶名與密碼分別是：test / test123，記錄於 /etc/ppp/chap-secrets 文件當中。

5、如何在 Debian / Ubuntu 伺服器上架設 L2TP / IPSec VPN

首先解釋一個問題：在 iPhone 的 VPN 設置介面里（Settings >> General >> Network >> VPN），你可以看到三個標簽：L2TP, PPTP, IPSec。但上面我們又講本次介紹的 VPN 方式叫「L2TP / IPSec」，這兩者究竟是什麼關系？

這三個標簽確實令人混淆，准確的寫法應該是：L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外兩者關系不大，且大家較為熟悉，暫且不提，L2TP 和 IPSec 的區別如下。

L2TP：一個「包裝」協議，本身並不提供加密和驗證的功能。

IPSec：在 IP 數據包的層級提供加密和驗證功能，確保中間人無法解密或者偽造數據包。

本來，只用 IPSec 就可以實現 VPN，Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推薦使用 L2TP over IPSec，在兩者的圖形介面上也只能設置這個。L2TP / IPSec 是業界標准，微軟也支持。而只用 IPSec 的常見於 Linux-to-Linux 的應用，比如將兩個位於不同地區的辦公室網路安全地連在一起。這多是固定 IP 路由器到固定 IP 路由器級別的連接，只需保證數據包不被中途截獲或者偽造就可以，故使用 L2TP 的意義不大。L2TP / IPSec 主要是實現所謂「Road Warrior」的設置，即用變動的客戶端連固定的伺服器。

Cisco 的 VPN 用的也是 IPSec 加密，但那是一套不同於 L2TP 的私有包裝協議，用於提供用戶管理之類的功能，因此一般都需要用 Cisco 自家的 VPN 客戶端連接。iPhone / iPad 的 VPN 設置介面中的 IPSec 標簽里有 Cisco 的標識，就是這個原因。

以下是在 Ubuntu 和 Debian 主機上架設 L2TP / IPSec VPN 的步驟，一共十四步。你需要有伺服器的 root 許可權（所以 DreamHost, BlueHost, MediaTemple 這些服務供應商幫你把一切打點周到的主機就無緣了），也需要一些基本的 Linux 知識。不然的話，我們還是推薦您找一位比較熟技術的朋友幫忙。

一、安裝 IPSec。如上所述，IPSec 會對 IP 數據包進行加密和驗證。這意味著你的電腦 / 移動設備與伺服器之間傳輸的數據無法被解密、也不能被偽造。我推薦用 openswan 這個後台軟體包來跑 IPSec。

用以下命令安裝 openswan:

sudo aptitude install openswan二、用文字編輯器打開 /etc/ipsec.conf，改成這樣：

version 2.0
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=YOUR.SERVER.IP.ADDRESS
leftprotoport=17/1701
right=%any
rightprotoport=17/%any三、用文字編輯器打開 /etc/ipsec.secrets，改成這樣：

YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret"（別忘了把「YOUR.SERVER.IP.ADDRESS」這部分換成你的伺服器的 IP 地址，把「YourSharedSecret」部分換成隨便一個字串，例如你喜歡的一句話，等等。）

四、運行以下命令：

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done五、檢查一下 IPSec 能否正常工作：

sudo ipsec verify如果在結果中看到「Opportunistic Encryption Support」被禁用了，沒關系，其他項 OK 即可。

六、重啟 openswan:

sudo /etc/init.d/ipsec restart七、安裝 L2TP。常用的 L2TP 後台軟體包是 xl2tpd，它和 openswan 是同一幫人寫的。

運行以下命令：

sudo aptitude install xl2tpd八、用文字編輯器打開 /etc/xl2tpd/xl2tpd.conf，改成這樣：

[global]
ipsec saref = yes

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
;require chap = yes
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes這里要注意的是 ip range 一項里的 IP 地址不能和你正在用的 IP 地址重合，也不可與網路上的其他 IP 地址沖突。

九、安裝 ppp。這是用來管理 VPN 用戶的。

sudo aptitude install ppp十、檢查一下 /etc/ppp 目錄里有沒有 options.xl2tpd 這個文件，沒有的話就建一個，文件內容如下：

require-mschap-v2
ms-dns 208.67.222.222
ms-dns 208.67.220.220
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4注意 ms-dns 兩行我填的是 OpenDNS。如果你想用其他的 DNS 伺服器（例如谷歌的公共 DNS），請自行更換。

十一、現在可以添加一個 VPN 用戶了。用文字編輯器打開 /etc/ppp/chap-secrets:

# user server password ip
test l2tpd testpassword *如果你之前設置過 PPTP VPN，chap-secrets 文件里可能已經有了其他用戶的列表。你只要把 test l2tpd testpassword * 這樣加到後面即可。

十二、重啟 xl2tpd:

sudo /etc/init.d/xl2tpd restart十三、設置 iptables 的數據包轉發：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward十四、因為某種原因，openswan 在伺服器重啟後無法正常自動，所以我們可以在 /etc/rc.local 文件里寫入如下語句：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart到這里，設置工作已經基本完成。你可以用 iPhone 或 iPad 試著連一下。記得在「Secret」中填入你在上述第三步里填的 YourSharedSecret。

如果連接成功，上網也沒問題的話，恭喜你，大功告成。如果連不上，恐怕還得多做一步。

Ubuntu 9.10 自帶的 openswan 版本是 2.6.22, Debian Lenny 帶的版本是 2.4.12。這兩個版本的 openswan 都有問題。我們的測試結果表明，2.6.24 版的 openswan 可以在上述兩版的 Linux 操作系統下正常工作。所以如果做完以上十四步還是連不上的話，請考慮從源碼編譯 openswan 2.6.24 ：

sudo aptitude install libgmp3-dev gawk flex bison
wget http://www.openswan.org/download/openswan-2.6.24.tar.gz
tar xf openswan-2.6.24.tar.gz
cd openswan-2.6.24
make programs
sudo make install編譯需要一段時間。你的 Linux 內核版本需要高於 2.6.6。

然後可以刪除原先通過 aptitude 安裝的 openswan，並重啟之：

sudo aptitude remove openswan
sudo /etc/init.d/ipsec restart

6、如何查看ipsec/l2tpd 伺服器的證書認證模式

什麼是 IPsec？
IPsec 是虛擬私密網路（VPN）的一種，用於在伺服器和客戶端之間建立加密隧道並傳輸敏感數據之用。它由兩個階段組成，第一階段（Phrase 1, ph1），交換金鑰建立連接，使用互聯網金鑰交換（ike）協議; 第二階段（Phrase 2, ph2），連接建立後對數據進行加密傳輸，使用封裝安全載荷（esp）協議。參考：維基百科 IPsec 詞條。
其中，第一階段和第二階段可以使用不同的加密方法（cipher suites）。甚至，第一階段 ike 協議的第一版（ikev1）有兩種模式，主力模式（main mode）和積極模式（aggressive mode），主力模式進行六次加密握手，而積極模式並不加密，以實現快速建立連接的目的。
第一階段的 ike 協議有兩個版本（ikev1/ikev2），不同的開源/閉源軟體實現的版本均不同，不同的設備實現的版本也不同。再聯繫到第一階段/第二階段使用的各種不同加密方法，使得 IPsec 的配置有點黑魔法的性質，要麼完全懂，通吃; 要麼完全不懂，照抄。
設備/操作系統規格
這里主要介紹了設備/操作系統使用的 ike 版本及其特殊要求。
Linux
命令行客戶端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的連接。因此如果用戶只使用 Linux 命令行客戶端，不使用各種移動設備也不使用 Windows，那麼完全沒有那麼多事。
但 Linux 的圖形界面客戶端 NetworkManager-strongswan 目前只支持 ikev2 連接，必須使用證書或 EAP （各種加密方法都支持，包括微軟的 MSCHAPv2）進行認證，不支持純密碼（PSK）認證。這並不是 strongswan 的錯誤，或者技術不行（開源總是走在技術最前沿的，畢竟命令行是支持的），而僅僅是體現一種選擇：ikev1 被 strongswan 項目認為是該淘汰的協議，而 PSK 加密被認為是非常不安全的。參考 strongswan 維基 NetworkManager 詞條。
Android
Android 和 Linux 不一樣，只支持 ikev1。其它方面和 Linux 一樣，甚至有好多種 IPsec VPN 配置模式可供選擇。
iOS/Mac OS X
它們聲明使用的 IPsec 客戶端為 Cisco，實際為自己修改的 racoon。它只支持 ike 協議的第一版即 ikev1，可以使用證書或純密碼（PSK）認證，但必須輔之 xauth 用戶名/密碼認證。
該修改版的 racoon 會優先使用不加密的積極模式，而積極模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 還有一個「銜尾」故障：它在第一階段握手時會把數據包拆分成小塊（fragmentation），然後「加密」發送。然而這種加密僅僅是聲明的，其實並未加密，這就導致 strongSwan 及其它標准伺服器端/Cisco 設備無法解密。另外 ikev1 的 fragmentation 插件是閉源的。開源伺服器端無法對這些小塊進行重組。參考：Cisco VPN stop working after upgrading to IOS 6

7、如何在AWS EC2上架設L2TP/IPsec服務

簡單，連上虛擬網路，使用的都是代理伺服器的IP地址了，具體方法：
1、右鍵單擊「網上鄰居」選擇「屬性」，打開網路連接屬性。
2、在右側的「網路任務」欄中點擊「創建一個新的連接。
3、打開新建連接向導，點「下一步」。在「網路連接屬性」選擇里，點擊「設置高級連接」，點擊「下一步」，然後，在接下來的「高級連接選項」中選擇「接受傳入的連接」。點擊「下一步」。勾尋直接並行，點擊「下一步」。
4、勾尋允許虛擬專用連接」，點「下一步」。
5、創建一個允許連接的用戶許可權。點擊「添加」按鈕，輸入雙魚IP轉換器賬戶和密碼後點「確定」。點擊「下一步」繼續。
6、在「網路軟體」中勾選需要用到的協議，一般保持默認即可。點擊「下一步」後，伺服器就搭建完成了。
選擇「開始」→「設置」→「控制面板」→「網路連接」→「創建一個新的連接」→「下一步」→「連接到我的工作場所的網路」→「下一步」→「虛擬專用網路連接」，按說明完成後面的操作即可。

8、常見IPsec VPN所使用的通訊協議和埠號是多少？

常見IPsec VPN所使用抄的通訊協議是襲UDP協議，和埠號是UDP500和UDP4500。

IPsec VPN使用UDP通訊協議，通過內部的vpn節點發起一個udp連接，再封裝一次ipsec，送到對方，因為udp可以通過防火牆進行記憶，通過udp再封裝的ipsec 包，可以通過防火牆來回傳遞。在沒有nat設備的環境中使用UDP500作為埠號，在有nat設備的環境中使用UDP4500作為埠號。