字體:  

Mac VPN - CentOS 6.x 下一鍵安裝 IPSEC IKEv2 VPN Server

dyson6 發表於: 2016-11-02 11:27 來源: ADJ網路控股集團


我們在要使用某些服務時,經常會使用VPN服務來進行連線,當前VPN有PPTP、L2TP、IPSec、SSTP等協定服務,其中PPTP屬於防護與加密性最低最,且容易遭受駭客擷取,因此 Apple 為了呼籲安全性, 決定從iOS 10與macOS Sierra開始去除PPTP選項,也建議使用其他更加安全的VPN協定來進行連線.

為了能讓Mac 能繼續使用自架的 VPN服務..只好將原本的 PPTP 升級為 IPsec IKEv2 的版本...不過由於步驟有點複雜...這邊選擇 一鍵安裝的方式.

Server端安裝說明:

1.下載腳本:

# cd /tmp
# wget --no-check-certificate https://raw.githubusercontent.com/quericy/one-key-ikev2-vpn/master/one-key-ikev2.sh

運行腳本:

# chmod +x one-key-ikev2.sh
# bash one-key-ikev2.sh

等待自動配置部分内容後,選擇vps類型(OpenVZ還是Xen、KVM),選錯將無法成功連接,請務必確認Server的類型。輸入Server ip或者綁定的域名(連接vpn時Server將需要與此保持一致)


IKEv2_01.png



2.補充網卡接口信息,為空則使用默認值(Xen、KVM默認使用eth0,OpenVZ默認使用venet0).如果Server使用其他公網接口需要在此指定接口名稱,填寫錯誤VPN連接後將無法訪問外網)

3.選擇使用使用證書頒發機構簽發的SSL證書還是生成自簽名證書
如果選擇no,使用自簽名證書(客戶端如果使用IkeV2方式連接,將需要導入生成的證書並信任)則需要填寫證書的相關信息(C,O,CN),為空將使用默認值(default value ),確認無誤後按任意鍵繼續,後續安裝過程中會出現輸入兩次pkcs12證書的密碼的提示(可以設置為空)
=> 當你有多台VPN Server 的時後, CN 辨別就很重要了,所以我通常會將 CN命名為 VPN_11.22.33.44 (請依你Server實際IP為主)

4.看到install Complete字樣即表示安裝完成。默認用戶名密碼將以黃字顯示,可根據提示自行修改配置文件中的用戶名密碼,多用戶則在配置文件中按格式一行一個(多用戶時用戶名不能使用%any),保存並重啟服務生效,預設配置文件路徑為:
# vi /usr/local/etc/ipsec.secrets

5.將提示信息中的證書文件ca.cert.pem拷貝到客戶端然後導入。 ios設備使用Ikev1無需導入證書,而是需要在連接時輸入共享密鑰,共享密鑰即是提示信息中的黃字PSK.路徑為安裝下的 /tmp/my_key/ca.cert.pem


IKEv2_02.png



6. ipsec啟動問題:服務器重啟後默認ipsec不會自啟動,請命令手動開啟,或添加/usr/local/sbin/ipsec start到自啟動腳本文件中(如rc.local等):
#/usr/local/sbin/ipsec start


Client端安裝說明:


Windows

1.將CA憑證下載到電腦裡

2.打開MMC,嵌入憑證管理,記得要選電腦帳戶(超重要)


IKEv2win01.png



3.依照指示將CA憑證匯入到「信任的根憑證」


IKEv2win02.png



4.建立VPN連線,主機記得要填與憑證符合的名字,並選擇「單純建立不要立即連線」

5.打開VPN連線的設定,把安全性改成下面的樣子


IKEv2win03.png



6.完成



OSX

1.將CA憑證下載到電腦裡

2.點兩下匯入到系統裡

3.打開keychain,點選System,對著剛剛加進來的CA憑證按右鍵看內容,然後選取永遠信任


IKEv2mac01.png



4.新增VPN連線,記得選IKEv2


IKEv2mac02.png



5.Server Address跟Remote ID都填主機的名字,認證設定裡面給帳號密碼


IKEv2mac03.png



6.完成


參考資料:
一鍵安裝 => https://quericy.me/blog/699/
Client 安裝 => https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md