在现代企业网络架构中,远程访问安全性至关重要,IKEv2(Internet Key Exchange version 2)作为一种行业标准的 IPsec 协议版本,因其快速重连、良好的移动性支持和强大的加密机制,已成为构建安全远程接入通道的首选方案之一,本文将详细介绍如何在 CentOS 7 或 CentOS 8 系统上部署并配置 IKEv2/IPsec VPN,确保用户能够通过安全隧道访问内网资源。
准备工作阶段需确认系统环境,建议使用 CentOS 7.9 或 CentOS 8 Stream,并确保系统已更新至最新补丁,安装必要的软件包是关键步骤,包括 strongSwan(IPsec 实现)、iptables/firewalld(防火墙配置)以及 OpenSSL(证书生成工具),执行以下命令进行安装:
sudo yum install -y epel-release sudo yum install -y strongswan iptables-services firewalld openssl
接下来是核心配置环节:编辑 /etc/ipsec.conf 文件,定义主站点策略和连接参数,示例配置如下:
config setup
charondebug="ike 1, knl 1, cfg 1"
uniqueids=yes
conn %default
keylife=20m
rekey=yes
keyingtries=3
ikelifetime=60m
left=%any
right=%any
auto=add
conn ikev2-vpn
keyexchange=ikev2
ike=aes256-sha256-modp2048!
esp=aes256-sha256!
leftid=@your-vpn-server.com
leftcert=serverCert.pem
leftsendcert=always
right=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8
eap_identity=%any
auto=add此配置启用 AES-256 加密和 SHA-256 认证,支持 EAP-MSCAPV2 用户认证方式,适用于大多数企业场景。
生成服务器证书与私钥,可使用 strongswan certtool 工具创建自签名证书或集成 CA 服务(如 Let's Encrypt 或内部 PKI),生成 server 证书:
sudo ipsec pki --gen --outform pem > caKey.pem sudo ipsec pki --self --in caKey.pem --dn "CN=Your CA" --ca --outform pem > caCert.pem sudo ipsec pki --gen --outform pem > serverKey.pem sudo ipsec pki --pub --in serverKey.pem | ipsec pki --issue --ca caCert.pem --cakey caKey.pem --dn "CN=your-vpn-server.com" --outform pem > serverCert.pem
完成后,将证书文件复制到对应路径,并设置权限:
sudo cp serverCert.pem /etc/strongswan/ipsec.d/certs/ sudo cp serverKey.pem /etc/strongswan/ipsec.d/private/ sudo chmod 600 /etc/strongswan/ipsec.d/private/serverKey.pem
最后一步是启动服务并开放端口,启用 strongSwan 和 firewalld:
sudo systemctl enable strongswan sudo systemctl start strongswan sudo firewall-cmd --permanent --add-port=500/udp sudo firewall-cmd --permanent --add-port=4500/udp sudo firewall-cmd --reload
至此,IKEv2 VPN 服务已在 CentOS 上成功部署,客户端可通过 Windows、iOS 或 Android 系统直接连接,输入服务器地址、用户名和密码即可建立加密隧道,该方案不仅满足合规要求(如 GDPR、等保),还具备高可用性和易维护性,是中小企业及远程办公用户的理想选择。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
