CentOS系统IPsec VPN快速配置手册

CentOS系统下配置IPsec VPN，需先安装必需软件包，创建IPsec配置文件，设置加密算法、密钥交换和身份验证方式。配置网络接口，启用IPsec服务，并设置防火墙规则以允许VPN连接。遵循此指南，可成功搭建安全可靠的VPN连接。

准备工作

我们需要准备以下设备与软件：

1、一台CentOS服务器，作为VPN服务器。

2、一台或多台CentOS客户端，用于连接VPN服务器。

3、确保服务器与客户端的网络环境能够相互访问。

安装IPsec软件

在CentOS服务器上，通过终端执行以下命令安装IPsec软件：

sudo yum install strongswan

安装完成后，使用以下命令验证IPsec软件是否安装成功：

strongswan version

配置IPsec VPN

1. 生成密钥和证书

（1）在服务器上生成CA（Certificate Authority）的私钥和公钥：

sudo openssl genrsa -out ca.key 2048
sudo openssl req -x509 -new -key ca.key -out ca.crt -days 3650

（2）生成服务器私钥和证书请求：

sudo openssl genrsa -out server.key 2048
sudo openssl req -new -key server.key -out server.csr

（3）将服务器证书请求提交给CA进行签名：

sudo openssl ca -in server.csr -out server.crt -CA ca.crt -CAkey ca.key -CAserial ca.srl -CApath /etc/strongswan -days 3650

（4）生成客户端私钥和证书请求：

sudo openssl genrsa -out client.key 2048
sudo openssl req -new -key client.key -out client.csr

（5）将客户端证书请求提交给CA进行签名：

sudo openssl ca -in client.csr -out client.crt -CA ca.crt -CAkey ca.key -CAserial ca.srl -CApath /etc/strongswan -days 3650

2. 配置IPsec

（1）创建IPsec配置文件

在服务器上创建一个名为ipsec.conf的配置文件，并将其内容替换为以下内容：

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, req 2, ele 2, iked 2"
conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    authby=secret
    keyexchange=ikev2
conn myvpn
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftauth=psk
    leftsubnet=192.168.1.0/24
    right=%any
    rightdns=8.8.8.8
    rightauth=rsasig
    rightsubnet=192.168.2.0/24
    auto=add

（2）创建IPsec秘钥文件

在服务器上创建一个名为ipsec.secrets的秘钥文件，并将其内容替换为以下内容：

: PSK "your_pre_shared_key"

将your_pre_shared_key替换为您选择的预共享密钥。

（3）启动IPsec服务

sudo systemctl start strongswan
sudo systemctl enable strongswan

连接VPN

1、在客户端，打开终端并执行以下命令：

sudo strongswan ipsec up myvpn

2、输入预共享密钥，然后按Enter键。

3、连接成功后，您可以在客户端的终端中执行以下命令查看连接状态：

sudo ipsec status

通过以上步骤，您已经在CentOS系统下成功配置了IPsec VPN，您可以在客户端安全地访问服务器上的资源，如果您需要进一步优化IPsec VPN配置，请参考相关资料进行设置。