搭建ipsec服务器_IPsec在服务器上怎么配置

1、我有一台内网的IPSEC 服务器。

做静态映射，服务需要哪个协议端口就映射那些端口

2、如何使用IpSec实现服务器之间安全通信

为了解决来这些问题，它实源现了四个服务：数据传输加密、数据完整性验证、数据源认证和数据状态完整性。为了实现这些服务，IPsecVPN引入了许多协议。在本篇文章中，您将学习到实现IPsec安全性的协议。 IPsecVPNIPsec VPN框架是一个IETF 标准套件，...

3、IPsec在服务器上怎么配置？

IPSec一般是用于VPN接入的加密，不是用来做访问控制的。你可以在你们的接入路由器上，设置IP过滤，只有你的IP可以访问特定IP。

4、如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

buntu / Debian:自己把点换成 .
1
2
3
wget mirror.zeddicus点com/auto-l2tp/1.2/ubuntu/l2tp.sh
chmod +x l2tp.sh
./l2tp.sh

此时需要输入IP段与PSK，值得注意的是，如果希望版L2TP的IP段是 10.0.0.0 的话，则在脚本的权IP-RANGE中输入 “10.0.0″。PSK 是 l2tp client 共同使用的密匙，同样是必填的。

输入了IP段和PSK之后，程序会显示你的VPS当前的IP（IPV4）、L2TP的本地IP、分配给客户端的IP段以及你所设置的PSK，请确认无误后，按任意键，程序便会开始自动配置。

安装完毕后会运行 ipsec verify，前面是OK，最后一个为DISABLED，证明配置成功！用于测试的用户名与密码分别是：test / test123，记录于 /etc/ppp/chap-secrets 文件当中。

5、如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

首先解释一个问题：在 iPhone 的 VPN 设置介面里（Settings >> General >> Network >> VPN），你可以看到三个标签：L2TP, PPTP, IPSec。但上面我们又讲本次介绍的 VPN 方式叫「L2TP / IPSec」，这两者究竟是什么关系？

这三个标签确实令人混淆，准确的写法应该是：L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外两者关系不大，且大家较为熟悉，暂且不提，L2TP 和 IPSec 的区别如下。

L2TP：一个「包装」协议，本身并不提供加密和验证的功能。

IPSec：在 IP 数据包的层级提供加密和验证功能，确保中间人无法解密或者伪造数据包。

本来，只用 IPSec 就可以实现 VPN，Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推荐使用 L2TP over IPSec，在两者的图形介面上也只能设置这个。L2TP / IPSec 是业界标准，微软也支持。而只用 IPSec 的常见于 Linux-to-Linux 的应用，比如将两个位于不同地区的办公室网络安全地连在一起。这多是固定 IP 路由器到固定 IP 路由器级别的连接，只需保证数据包不被中途截获或者伪造就可以，故使用 L2TP 的意义不大。L2TP / IPSec 主要是实现所谓「Road Warrior」的设置，即用变动的客户端连固定的服务器。

Cisco 的 VPN 用的也是 IPSec 加密，但那是一套不同于 L2TP 的私有包装协议，用于提供用户管理之类的功能，因此一般都需要用 Cisco 自家的 VPN 客户端连接。iPhone / iPad 的 VPN 设置介面中的 IPSec 标签里有 Cisco 的标识，就是这个原因。

以下是在 Ubuntu 和 Debian 主机上架设 L2TP / IPSec VPN 的步骤，一共十四步。你需要有服务器的 root 权限（所以 DreamHost, BlueHost, MediaTemple 这些服务供应商帮你把一切打点周到的主机就无缘了），也需要一些基本的 Linux 知识。不然的话，我们还是推荐您找一位比较熟技术的朋友帮忙。

一、安装 IPSec。如上所述，IPSec 会对 IP 数据包进行加密和验证。这意味着你的电脑 / 移动设备与服务器之间传输的数据无法被解密、也不能被伪造。我推荐用 openswan 这个后台软件包来跑 IPSec。

用以下命令安装 openswan:

sudo aptitude install openswan二、用文字编辑器打开 /etc/ipsec.conf，改成这样：

version 2.0
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=YOUR.SERVER.IP.ADDRESS
leftprotoport=17/1701
right=%any
rightprotoport=17/%any三、用文字编辑器打开 /etc/ipsec.secrets，改成这样：

YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret"（别忘了把「YOUR.SERVER.IP.ADDRESS」这部分换成你的服务器的 IP 地址，把「YourSharedSecret」部分换成随便一个字串，例如你喜欢的一句话，等等。）

四、运行以下命令：

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done五、检查一下 IPSec 能否正常工作：

sudo ipsec verify如果在结果中看到「Opportunistic Encryption Support」被禁用了，没关系，其他项 OK 即可。

六、重启 openswan:

sudo /etc/init.d/ipsec restart七、安装 L2TP。常用的 L2TP 后台软件包是 xl2tpd，它和 openswan 是同一帮人写的。

运行以下命令：

sudo aptitude install xl2tpd八、用文字编辑器打开 /etc/xl2tpd/xl2tpd.conf，改成这样：

[global]
ipsec saref = yes

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
;require chap = yes
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes这里要注意的是 ip range 一项里的 IP 地址不能和你正在用的 IP 地址重合，也不可与网络上的其他 IP 地址冲突。

九、安装 ppp。这是用来管理 VPN 用户的。

sudo aptitude install ppp十、检查一下 /etc/ppp 目录里有没有 options.xl2tpd 这个文件，没有的话就建一个，文件内容如下：

require-mschap-v2
ms-dns 208.67.222.222
ms-dns 208.67.220.220
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4注意 ms-dns 两行我填的是 OpenDNS。如果你想用其他的 DNS 服务器（例如谷歌的公共 DNS），请自行更换。

十一、现在可以添加一个 VPN 用户了。用文字编辑器打开 /etc/ppp/chap-secrets:

# user server password ip
test l2tpd testpassword *如果你之前设置过 PPTP VPN，chap-secrets 文件里可能已经有了其他用户的列表。你只要把 test l2tpd testpassword * 这样加到后面即可。

十二、重启 xl2tpd:

sudo /etc/init.d/xl2tpd restart十三、设置 iptables 的数据包转发：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward十四、因为某种原因，openswan 在服务器重启后无法正常自动，所以我们可以在 /etc/rc.local 文件里写入如下语句：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart到这里，设置工作已经基本完成。你可以用 iPhone 或 iPad 试着连一下。记得在「Secret」中填入你在上述第三步里填的 YourSharedSecret。

如果连接成功，上网也没问题的话，恭喜你，大功告成。如果连不上，恐怕还得多做一步。

Ubuntu 9.10 自带的 openswan 版本是 2.6.22, Debian Lenny 带的版本是 2.4.12。这两个版本的 openswan 都有问题。我们的测试结果表明，2.6.24 版的 openswan 可以在上述两版的 Linux 操作系统下正常工作。所以如果做完以上十四步还是连不上的话，请考虑从源码编译 openswan 2.6.24 ：

sudo aptitude install libgmp3-dev gawk flex bison
wget http://www.openswan.org/download/openswan-2.6.24.tar.gz
tar xf openswan-2.6.24.tar.gz
cd openswan-2.6.24
make programs
sudo make install编译需要一段时间。你的 Linux 内核版本需要高于 2.6.6。

然后可以删除原先通过 aptitude 安装的 openswan，并重启之：

sudo aptitude remove openswan
sudo /etc/init.d/ipsec restart

6、如何查看ipsec/l2tpd 服务器的证书认证模式

什么是 IPsec？
IPsec 是虚拟私密网络（VPN）的一种，用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成，第一阶段（Phrase 1, ph1），交换金钥建立连接，使用互联网金钥交换（ike）协议; 第二阶段（Phrase 2, ph2），连接建立后对数据进行加密传输，使用封装安全载荷（esp）协议。参考：维基百科 IPsec 词条。
其中，第一阶段和第二阶段可以使用不同的加密方法（cipher suites）。甚至，第一阶段 ike 协议的第一版（ikev1）有两种模式，主力模式（main mode）和积极模式（aggressive mode），主力模式进行六次加密握手，而积极模式并不加密，以实现快速建立连接的目的。
第一阶段的 ike 协议有两个版本（ikev1/ikev2），不同的开源/闭源软件实现的版本均不同，不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法，使得 IPsec 的配置有点黑魔法的性质，要么完全懂，通吃; 要么完全不懂，照抄。
设备/操作系统规格
这里主要介绍了设备/操作系统使用的 ike 版本及其特殊要求。
Linux
命令行客户端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端，不使用各种移动设备也不使用 Windows，那么完全没有那么多事。
但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接，必须使用证书或 EAP （各种加密方法都支持，包括微软的 MSCHAPv2）进行认证，不支持纯密码（PSK）认证。这并不是 strongswan 的错误，或者技术不行（开源总是走在技术最前沿的，毕竟命令行是支持的），而仅仅是体现一种选择：ikev1 被 strongswan 项目认为是该淘汰的协议，而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。
Android
Android 和 Linux 不一样，只支持 ikev1。其它方面和 Linux 一样，甚至有好多种 IPsec VPN 配置模式可供选择。
iOS/Mac OS X
它们声明使用的 IPsec 客户端为 Cisco，实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1，可以使用证书或纯密码（PSK）认证，但必须辅之 xauth 用户名/密码认证。
该修改版的 racoon 会优先使用不加密的积极模式，而积极模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 还有一个「衔尾」故障：它在第一阶段握手时会把数据包拆分成小块（fragmentation），然后「加密」发送。然而这种加密仅仅是声明的，其实并未加密，这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考：Cisco VPN stop working after upgrading to IOS 6

7、如何在AWS EC2上架设L2TP/IPsec服务

简单，连上虚拟网络，使用的都是代理服务器的IP地址了，具体方法：
1、右键单击“网上邻居”选择“属性”，打开网络连接属性。
2、在右侧的“网络任务”栏中点击“创建一个新的连接。
3、打开新建连接向导，点“下一步”。在 “网络连接属性”选择里，点击“设置高级连接”，点击“下一步”，然后，在接下来的“高级连接选项”中选择“接受传入的连接”。点击“下一步”。勾寻直接并行，点击“下一步”。
4、勾寻允许虚拟专用连接”，点“下一步”。
5、创建一个允许连接的用户权限。点击“添加”按钮，输入双鱼IP转换器账户和密码后点“确定”。点击“下一步”继续。
6、在“网络软件”中勾选需要用到的协议，一般保持默认即可。点击“下一步”后，服务器就搭建完成了。
选择“开始”→“设置”→“控制面板”→“网络连接”→“创建一个新的连接”→“下一步”→“连接到我的工作场所的网络”→“下一步”→“虚拟专用网络连接”，按说明完成后面的操作即可。

8、常见IPsec VPN所使用的通讯协议和端口号是多少？

常见IPsec VPN所使用抄的通讯协议是袭UDP协议，和端口号是UDP500和UDP4500。

IPsec VPN使用UDP通讯协议，通过内部的vpn节点发起一个udp连接，再封装一次ipsec，送到对方，因为udp可以通过防火墙进行记忆，通过udp再封装的ipsec 包，可以通过防火墙来回传递。在没有nat设备的环境中使用UDP500作为端口号，在有nat设备的环境中使用UDP4500作为端口号。