Mac VPN - CentOS 6.x 下一鍵安裝 IPSEC IKEv2 VPN Server
我們在要使用某些服務時,經常會使用VPN服務來進行連線,當前VPN有PPTP、L2TP、IPSec、SSTP等協定服務,其中PPTP屬於防護與加密性最低最,且容易遭受駭客擷取,因此 Apple 為了呼籲安全性, 決定從iOS 10與macOS Sierra開始去除PPTP選項,也建議使用其他更加安全的VPN協定來進行連線.<br><br>為了能讓Mac 能繼續使用自架的 VPN服務..只好將原本的 PPTP 升級為 IPsec IKEv2 的版本...不過由於步驟有點複雜...這邊選擇 一鍵安裝的方式.<br><br>Server端安裝說明:<br><br>1.下載腳本:<br><br># cd /tmp<br># wget --no-check-certificate https://raw.githubusercontent.com/quericy/one-key-ikev2-vpn/master/one-key-ikev2.sh<br><br>運行腳本:<br><br># chmod +x one-key-ikev2.sh<br># bash one-key-ikev2.sh<br><br>等待自動配置部分内容後,選擇vps類型(OpenVZ還是Xen、KVM),選錯將無法成功連接,請務必確認Server的類型。輸入Server ip或者綁定的域名(連接vpn時Server將需要與此保持一致)<br><br>[attach]12356[/attach]<br><br>2.補充網卡接口信息,為空則使用默認值(Xen、KVM默認使用eth0,OpenVZ默認使用venet0).如果Server使用其他公網接口需要在此指定接口名稱,填寫錯誤VPN連接後將無法訪問外網)<br><br>3.選擇使用使用證書頒發機構簽發的SSL證書還是生成自簽名證書<br>如果選擇no,使用自簽名證書(客戶端如果使用IkeV2方式連接,將需要導入生成的證書並信任)則需要填寫證書的相關信息(C,O,CN),為空將使用默認值(default value ),確認無誤後按任意鍵繼續,後續安裝過程中會出現輸入兩次pkcs12證書的密碼的提示(可以設置為空)<br><font color="DarkRed">=> 當你有多台VPN Server 的時後, CN 辨別就很重要了,所以我通常會將 CN命名為 VPN_11.22.33.44 (請依你Server實際IP為主) </font><br><br>4.看到install Complete字樣即表示安裝完成。默認用戶名密碼將以黃字顯示,可根據提示自行修改配置文件中的用戶名密碼,多用戶則在配置文件中按格式一行一個(多用戶時用戶名不能使用%any),保存並重啟服務生效,預設配置文件路徑為:<br><font color="Blue"># vi /usr/local/etc/ipsec.secrets</font><br><br>5.將提示信息中的證書文件ca.cert.pem拷貝到客戶端然後導入。 ios設備使用Ikev1無需導入證書,而是需要在連接時輸入共享密鑰,共享密鑰即是提示信息中的黃字PSK.路徑為安裝下的 <font color="Blue">/tmp/my_key/ca.cert.pem<br><br>[attach]12357[/attach]<br></font><br>6. ipsec啟動問題:服務器重啟後默認ipsec不會自啟動,請命令手動開啟,或添加/usr/local/sbin/ipsec start到自啟動腳本文件中(如rc.local等):<br><font color="Blue">#/usr/local/sbin/ipsec start</font><br><br><br>Client端安裝說明:<br><h4><br></h4><h4>Windows</h4>
<p>1.將CA憑證下載到電腦裡</p>
<p>2.打開MMC,嵌入憑證管理,記得要選<strong>電腦帳戶(超重要)</strong></p>[attach]12358[/attach]<br><br>3.依照指示將CA憑證匯入到「信任的根憑證」<br>[attach]12359[/attach]<br><br><p>4.建立VPN連線,主機記得要填與憑證符合的名字,並選擇「單純建立不要立即連線」</p>
<p>5.打開VPN連線的設定,把安全性改成下面的樣子</p><p>[attach]12360[/attach]<br></p><p><br></p><p>6.完成</p><p><br></p><p><br></p>
<h4>OSX</h4>
<p>1.將CA憑證下載到電腦裡</p>
<p>2.點兩下匯入到系統裡</p>
<p>3.打開keychain,點選System,對著剛剛加進來的CA憑證按右鍵看內容,然後選取永遠信任</p>[attach]12361[/attach]<br><br>4.新增VPN連線,記得選IKEv2<br>[attach]12362[/attach]<br><br>5.Server Address跟Remote ID都填主機的名字,認證設定裡面給帳號密碼<br>[attach]12363[/attach]<br><br>6.完成<br><br><br>參考資料:<br>一鍵安裝 => <a href="https://quericy.me/blog/699/" target="_blank">https://quericy.me/blog/699/</a><br>Client 安裝 => <a href="https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md" target=_blank>https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md</a><br>