/etc/strongswan.conf

CentOS 7搭建IPSec VPN：从零开始配置企业级安全远程访问

在现代企业网络架构中，远程访问安全至关重要，IPSec（Internet Protocol Security）作为一种成熟、标准化的网络安全协议，能够为数据传输提供加密、完整性验证和身份认证等核心功能，本文将详细介绍如何在 CentOS 7 系统上搭建 IPSec VPN，使用 StrongSwan 开源实现,适用于中小型企业的远程办公或分支机构接入场景。

确保你已准备好一台运行 CentOS 7 的服务器，并具备 root 权限，建议系统已更新至最新版本（yum update -y），并配置好静态 IP 地址和 DNS 解析,以便稳定通信。

第一步：安装 StrongSwan
StrongSwan 是 Linux 上最流行的 IPSec 实现之一，支持 IKEv1 和 IKEv2 协议,执行以下命令安装：

yum install -y strongswan strongswan-pluto strongswan-libcharon

第二步：配置 StrongSwan 主要文件
StrongSwan 的主配置文件位于 /etc/strongswan.conf,我们通过修改该文件启用必要的插件：

    load_modular = yes
    plugins {
        attr {
            # 启用属性插件，用于用户权限管理
        }
        xauth {
            # 启用 XAuth 身份验证（用户名密码）
        }
    }
}

接下来配置 /etc/ipsec.conf，这是 IPSec 的核心配置文件：

config setup
    charondebug="ike 1, knl 1, cfg 1"
    uniqueids=yes
conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=3
    keyexchange=ikev2
    ike=aes256-sha256-modp2048!
    esp=aes256-sha256!
conn my-vpn
    left=%any
    leftid=@your-server-ip-or-domain.com
    leftcert=server-cert.pem
    leftsendcert=always
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=192.168.100.0/24
    eap_identity=%any
    auto=add

第三步：生成证书和密钥
为增强安全性，推荐使用 EAP-MSCAPV2 认证配合数字证书，可使用 strongswan pki 工具生成自签名 CA 和服务器证书：

strongswan pki --gen --type rsa --size 4096 --outform pem > ca-key.pem
strongswan pki --self --ca --lifetime 3650 --in ca-key.pem --dn "CN=MyCA" --outform pem > ca-cert.pem
strongswan pki --gen --type rsa --size 4096 --outform pem > server-key.pem
strongswan pki --pub --in server-key.pem | strongswan pki --ca --lifetime 3650 --in ca-cert.pem --dn "CN=Server" --outform pem > server-cert.pem

第四步：配置用户凭据
编辑 /etc/ipsec.secrets 文件,添加客户端用户名和密码：

# /etc/ipsec.secrets
: RSA server-key.pem
user1 : EAP "password123"

第五步：启动服务与防火墙设置
启用并启动 StrongSwan：

systemctl enable strongswan
systemctl start strongswan

开放相关端口（UDP 500 和 4500）：

firewall-cmd --add-port=500/udp --permanent
firewall-cmd --add-port=4500/udp --permanent
firewall-cmd --reload

在客户端（如 Windows 或 Android）配置 IPSec 连接，选择 IKEv2 + EAP-MSCAPV2 认证方式，输入服务器地址、用户名和密码即可连接。

通过上述步骤，你可以在 CentOS 7 上成功搭建一个基于 IKEv2 的 IPSec VPN，兼顾性能与安全性，此方案适合需要高可靠性和合规性的企业环境，后续可通过日志分析（journalctl -u strongswan）进一步优化运维策略。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN