企業(yè)在購買運營商企業(yè)專線都面臨周期長,價格貴,維護麻煩的問題,現(xiàn)在云服務器普及,企業(yè)可以輕松用云服務器搭建VPN,構(gòu)建自己的企業(yè)專線,告別昂貴的電信專線。本文就介紹如何用一個成熟的開源VPN軟件pfSense和StrongSwan搭建企業(yè)的全場景的企業(yè)基于IPsec IKEv2協(xié)議的VPN網(wǎng)絡,讓員工無論是在國內(nèi)還是身處海外通過互聯(lián)網(wǎng)安全訪問服務器端的資源。
準備材料:云服務器,pfSense軟件,StrongSwan客戶端軟件。
1、安裝完pfSense
安裝完軟件后,通過公網(wǎng)地址進入pfSense的登陸頁面:
pfsense
輸入默認的用戶名:admin,密碼:pfsense
2、配置證書:
進入主控制面板:選擇system-Cert.Manager
pfsense證書
制作證書:選擇”Certificates”,然后點擊右下角綠色按鈕”Add”:
pfsense添加證書
填寫證書相關信息:
選擇新創(chuàng)建”Create an internal Certificate”,
描述名字根據(jù)自己情況可以自己命名,實例寫”XRC VPN 2020”。
辦法機構(gòu),選擇剛才在”CAs”里面創(chuàng)建的那個頒發(fā)機構(gòu),這個不要選錯。
通用名也是自己命名,實例寫:www.xrcloud.com。
最重要的是證書類型,選擇”Server Certificate”,這個不能選錯。
可用名選擇IP Address,后面填寫你這臺云服務器對應的公網(wǎng)地址。
創(chuàng)建證書
保存后,我們就可以看到我們創(chuàng)建的證書了,可以導出證書為.Crt和.P12的格式。
導出證書
3、創(chuàng)建IPSec VPN:
點擊”VPN’,選擇”IPsec”
創(chuàng)建IPSec VPN1
選擇”Mobile Clients”
創(chuàng)建IPSec VPN Mobile Clients
選擇”Mobile Clients”,選中”Enable IPsec Mobile Client Support”,選擇”Local Database”,選擇”System”,選中”Provide a Virtual IP Address to clients”,然后根據(jù)自己習慣配置內(nèi)網(wǎng)地址,實例配置”172.25.53.0“,后面掩碼選擇”24”,然后配置DNS,根據(jù)云服務商提供的DNS填寫,或者配置公用的DNS,比如114.114.114.114,或者8.8.8.8.最后保存,這樣Mobile部分配置完畢,下一步進入IPSec Tunnel的配置了。配置”IPSec Tunnels”,選擇“IKEv2”,選擇IPv4或者”Both”,最重要的認證方式選擇”EAP-MSchapv2”,我的標識,選擇”IP Address”,后面輸入云服務器的公網(wǎng)地址,和之前證書里面的公網(wǎng)地址保持一致。報文加密方式選擇”3DES”,”SHA1”,”2(1024bit)”。NAT選擇打開”FORCE”。MOBIKE啟用”ENABLE”。最好保存。然后開始進入配置”P2”階段。選擇”Show Phase 2 Entries”,點擊右下角綠色按鈕”Add P2”,進入配置P2。選擇”IPv4”,Local Network 選擇”Network”,地址配置”0.0.0.0”,掩碼配置為”0”,協(xié)議選擇”ESP”,勾選”3DES”,勾選”SHA1”,PFS選擇”2(1024bit)”這樣P2階段就配置完畢,最后一步配置用戶。
配置VPN通道-1
配置VPN通道-2
配置VPN內(nèi)層通道-1
配置VPN內(nèi)層通道-2
配置用戶進入”Pre Shared Keys”,選擇右下角綠色按鈕 “Add”
配置Identifier,這個地方配置的將是你IPsec IKEv2的用戶名,實例配置為abcd@xrcloud.com,加密方式選擇”EAP”,共享密鑰輸入密級較高的數(shù)字字母組合,這里配置為” dfeijfiejif8!829“,這是客戶端的密碼。選擇保存這樣服務端的配置就完成了。
pfsense配置完成
StrongSwan配置windows客戶端:敬請期待更新!
StrongSwan配置Android/ target=_blank class=infotextkey>安卓客戶端:敬請期待更新!
StrongSwan配置iphone客戶端:敬請期待更新!
