StrongSwan 配置

StrongSwan 是一种基于 IPsec 的 VPN 解决方案，重点关注强认证机制，使用 X.509 公钥证书和可选的私钥和证书安全存储（通过标准化的 PKCS#11 接口存储到智能卡上或存储到 TPM 2.0 上）。

配置概念

基本配置文件如下：

• /home/oper/strongswan/strongswan.conf：中心配置文件

• /home/oper/strongswan/ipsec.conf：隧道定义

• /home/oper/strongswan/ipsec.secrets：预共享密钥列表

• /home/oper/strongswan/ipsec.d：证书文件夹

如需更多详细信息，请参阅 docs.strongswan.org。

示例：

ENM（客户端）连接到 Proton VPN（站点）

> vim /home/oper/strongswan/ipsec.conf
conn test
 left=%defaultroute
 leftsourceip=%config
 leftauth=eap-mschapv2
 eap_identity=hKVSu61QiraPAXDY7nLWFrehB6PWTqWc
 right=nl-free-03.protonvpn.net
 rightsubnet=0.0.0.0/0
 rightauth=pubkey
 rightid=%nl-free-03.protonvpn.net
 rightca=/home/oper/strongswan/ipsec.d/cacerts/protonvpn.der
 keyexchange=ikev2
 type=tunnel
 auto=add

> vim /home/oper/strongswan/ipsec.secrets
hKVSu61QiraPAXDY7nLWFrehB6PWTqWc : EAP "5DmS79J3xrvPCi5OAV7xBM5QMytNrHip"

> cp protonvpn.der /home/oper/strongswan/ipsec.d/cacerts/

> sudo /etc/init.d/ipsec restart
> sudo ipsec up test