企業在購買運營商企業專線都面臨周期長,價格貴,維護麻煩的問題,現在云服務器普及,企業可以輕松用云服務器搭建VPN,構建自己的企業專線,告別昂貴的電信專線。本文就介紹如何用一個成熟的開源VPN軟件pfSense和StrongSwan搭建企業的全場景的企業基于IPsec IKEv2協議的VPN網絡,讓員工無論是在國內還是身處海外通過互聯網安全訪問服務器端的資源。
準備材料:云服務器,pfSense軟件,StrongSwan客戶端軟件。
1、安裝完pfSense
安裝完軟件后,通過公網地址進入pfSense的登陸頁面:
pfsense
輸入默認的用戶名:admin,密碼:pfsense
2、配置證書:
進入主控制面板:選擇system-Cert.Manager
pfsense證書
制作證書:選擇”Certificates”,然后點擊右下角綠色按鈕”Add”:
pfsense添加證書
填寫證書相關信息:
選擇新創建”Create an internal Certificate”,
描述名字根據自己情況可以自己命名,實例寫”XRC VPN 2020”。
辦法機構,選擇剛才在”CAs”里面創建的那個頒發機構,這個不要選錯。
通用名也是自己命名,實例寫:www.xrcloud.com。
最重要的是證書類型,選擇”Server Certificate”,這個不能選錯。
可用名選擇IP Address,后面填寫你這臺云服務器對應的公網地址。
創建證書
保存后,我們就可以看到我們創建的證書了,可以導出證書為.Crt和.P12的格式。
導出證書
3、創建IPSec VPN:
點擊”VPN’,選擇”IPsec”
創建IPSec VPN1
選擇”Mobile Clients”
創建IPSec VPN Mobile Clients
選擇”Mobile Clients”,選中”Enable IPsec Mobile Client Support”,選擇”Local Database”,選擇”System”,選中”Provide a Virtual IP Address to clients”,然后根據自己習慣配置內網地址,實例配置”172.25.53.0“,后面掩碼選擇”24”,然后配置DNS,根據云服務商提供的DNS填寫,或者配置公用的DNS,比如114.114.114.114,或者8.8.8.8.最后保存,這樣Mobile部分配置完畢,下一步進入IPSec Tunnel的配置了。配置”IPSec Tunnels”,選擇“IKEv2”,選擇IPv4或者”Both”,最重要的認證方式選擇”EAP-MSchapv2”,我的標識,選擇”IP Address”,后面輸入云服務器的公網地址,和之前證書里面的公網地址保持一致。報文加密方式選擇”3DES”,”SHA1”,”2(1024bit)”。NAT選擇打開”FORCE”。MOBIKE啟用”ENABLE”。最好保存。然后開始進入配置”P2”階段。選擇”Show Phase 2 Entries”,點擊右下角綠色按鈕”Add P2”,進入配置P2。選擇”IPv4”,Local Network 選擇”Network”,地址配置”0.0.0.0”,掩碼配置為”0”,協議選擇”ESP”,勾選”3DES”,勾選”SHA1”,PFS選擇”2(1024bit)”這樣P2階段就配置完畢,最后一步配置用戶。
配置VPN通道-1
配置VPN通道-2
配置VPN內層通道-1
配置VPN內層通道-2
配置用戶進入”Pre Shared Keys”,選擇右下角綠色按鈕 “Add”
配置Identifier,這個地方配置的將是你IPsec IKEv2的用戶名,實例配置為[email protected],加密方式選擇”EAP”,共享密鑰輸入密級較高的數字字母組合,這里配置為” dfeijfiejif8!829“,這是客戶端的密碼。選擇保存這樣服務端的配置就完成了。
pfsense配置完成
StrongSwan配置windows客戶端:敬請期待更新!
StrongSwan配置Android/ target=_blank class=infotextkey>安卓客戶端:敬請期待更新!
StrongSwan配置iphone客戶端:敬請期待更新!
