為了能讓Mac 能繼續使用自架的 VPN服務..只好將原本的 PPTP 升級為 IPsec IKEv2 的版本...不過由於步驟有點複雜...這邊選擇 一鍵安裝的方式.
Server端安裝說明:
1.下載腳本:
# cd /tmp
# wget --no-check-certificate https://raw.githubusercontent.com/quericy/one-key-ikev2-vpn/master/one-key-ikev2.sh
運行腳本:
# chmod +x one-key-ikev2.sh
# bash one-key-ikev2.sh
等待自動配置部分内容後,選擇vps類型(OpenVZ還是Xen、KVM),選錯將無法成功連接,請務必確認Server的類型。輸入Server ip或者綁定的域名(連接vpn時Server將需要與此保持一致)
2.補充網卡接口信息,為空則使用默認值(Xen、KVM默認使用eth0,OpenVZ默認使用venet0).如果Server使用其他公網接口需要在此指定接口名稱,填寫錯誤VPN連接後將無法訪問外網)
3.選擇使用使用證書頒發機構簽發的SSL證書還是生成自簽名證書
如果選擇no,使用自簽名證書(客戶端如果使用IkeV2方式連接,將需要導入生成的證書並信任)則需要填寫證書的相關信息(C,O,CN),為空將使用默認值(default value ),確認無誤後按任意鍵繼續,後續安裝過程中會出現輸入兩次pkcs12證書的密碼的提示(可以設置為空)
=> 當你有多台VPN Server 的時後, CN 辨別就很重要了,所以我通常會將 CN命名為 VPN_11.22.33.44 (請依你Server實際IP為主)
4.看到install Complete字樣即表示安裝完成。默認用戶名密碼將以黃字顯示,可根據提示自行修改配置文件中的用戶名密碼,多用戶則在配置文件中按格式一行一個(多用戶時用戶名不能使用%any),保存並重啟服務生效,預設配置文件路徑為:
# vi /usr/local/etc/ipsec.secrets
5.將提示信息中的證書文件ca.cert.pem拷貝到客戶端然後導入。 ios設備使用Ikev1無需導入證書,而是需要在連接時輸入共享密鑰,共享密鑰即是提示信息中的黃字PSK.路徑為安裝下的 /tmp/my_key/ca.cert.pem
6. ipsec啟動問題:服務器重啟後默認ipsec不會自啟動,請命令手動開啟,或添加/usr/local/sbin/ipsec start到自啟動腳本文件中(如rc.local等):
#/usr/local/sbin/ipsec start
Client端安裝說明:
Windows
1.將CA憑證下載到電腦裡
2.打開MMC,嵌入憑證管理,記得要選電腦帳戶(超重要)
3.依照指示將CA憑證匯入到「信任的根憑證」
4.建立VPN連線,主機記得要填與憑證符合的名字,並選擇「單純建立不要立即連線」
5.打開VPN連線的設定,把安全性改成下面的樣子
6.完成
OSX
1.將CA憑證下載到電腦裡
2.點兩下匯入到系統裡
3.打開keychain,點選System,對著剛剛加進來的CA憑證按右鍵看內容,然後選取永遠信任
4.新增VPN連線,記得選IKEv2
5.Server Address跟Remote ID都填主機的名字,認證設定裡面給帳號密碼
6.完成
參考資料:
一鍵安裝 => https://quericy.me/blog/699/
Client 安裝 => https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md