企业在购买运营商企业专线都面临周期长,价格贵,维护麻烦的问题,现在云服务器普及,企业可以轻松用云服务器搭建VPN,构建自己的企业专线,告别昂贵的电信专线。本文就介绍如何用一个成熟的开源VPN软件pfSense和StrongSwan搭建企业的全场景的企业基于IPsec IKEv2协议的VPN网络,让员工无论是在国内还是身处海外通过互联网安全访问服务器端的资源。准备材料:云服务器,pfSense软件,StrongSwan客户端软件。
1、安装完pfSense安装完软件后,通过公网地址进入pfSense的登陆页面:
pfsense
输入默认的用户名:admin,密码:pfsense
2、配置证书:
进入主控制面板:选择system-Cert.Manager
pfsense证书
制作证书:选择”Certificates”,然后点击右下角绿色按钮”Add”:
pfsense添加证书
填写证书相关信息:选择新创建”Create an internal Certificate”,描述名字根据自己情况可以自己命名,实例写”XRC VPN 2020”。办法机构,选择刚才在”CAs”里面创建的那个颁发机构,这个不要选错。通用名也是自己命名,实例写:www.xrcloud.com。最重要的是证书类型,选择”Server Certificate”,这个不能选错。可用名选择IP Address,后面填写你这台云服务器对应的公网地址。
创建证书
保存后,我们就可以看到我们创建的证书了,可以导出证书为.Crt和.P12的格式。
导出证书
3、创建IPSec VPN:
点击”VPN’,选择”IPsec”
创建IPSec VPN1
选择”Mobile Clients”
创建IPSec VPN Mobile Clients
选择”Mobile Clients”,选中”Enable IPsec Mobile Client Support”,选择”Local Database”,选择”System”,选中”Provide a Virtual IP Address to clients”,然后根据自己习惯配置内网地址,实例配置”172.25.53.0“,后面掩码选择”24”,然后配置DNS,根据云服务商提供的DNS填写,或者配置公用的DNS,比如114.114.114.114,或者8.8.8.8.最后保存,这样Mobile部分配置完毕,下一步进入IPSec Tunnel的配置了。配置”IPSec Tunnels”,选择“IKEv2”,选择IPv4或者”Both”,最重要的认证方式选择”EAP-MSchapv2”,我的标识,选择”IP Address”,后面输入云服务器的公网地址,和之前证书里面的公网地址保持一致。报文加密方式选择”3DES”,”SHA1”,”2(1024bit)”。NAT选择打开”FORCE”。MOBIKE启用”ENABLE”。最好保存。然后开始进入配置”P2”阶段。选择”Show Phase 2 Entries”,点击右下角绿色按钮”Add P2”,进入配置P2。选择”IPv4”,Local Network 选择”Network”,地址配置”0.0.0.0”,掩码配置为”0”,协议选择”ESP”,勾选”3DES”,勾选”SHA1”,PFS选择”2(1024bit)”这样P2阶段就配置完毕,最后一步配置用户。
配置VPN通道-1
配置VPN通道-2
配置VPN内层通道-1
配置VPN内层通道-2
配置用户进入”Pre Shared Keys”,选择右下角绿色按钮 “Add”
配置Identifier,这个地方配置的将是你IPsec IKEv2的用户名,实例配置为abcd@xrcloud.com,加密方式选择”EAP”,共享密钥输入密级较高的数字字母组合,这里配置为” dfeijfiejif8!829“,这是客户端的密码。选择保存这样服务端的配置就完成了。
pfsense配置完成
StrongSwan配置Windows客户端:敬请期待更新!
StrongSwan配置安卓客户端:敬请期待更新!
StrongSwan配置Iphone客户端:敬请期待更新!
,