Cisco IPSec VPN 折腾小记

如果不想看我吐槽就直接拉到文章结尾吧…

—我是吐槽开始的分割线—

说起来重新折腾起这个真的很巧合的,不过发现似乎每次搞定这些东西的时候都是挺偶然的><

之前也想搞 IPsec VPN 很久了…可惜每次都没成功…然后直到兴趣过了然后就不折腾了…如此往复.

最开始是不知道怎么看到了这篇文章 ,还有 这篇 于是就果断把Openswan 扔掉换成 strongSwan 然后照着做了,于是顺利的得到了一只能够在 iOS 上顺利使用的 Cisco IPsec VPN~

可惜在弄好的第二天我的 Veer 到了…满心欢喜的在上面设置 VPN 却一直提示无法连接到服务器…后来看了下服务器的 log 发现是因为 strongSwan 不能支持 IKEv1 Aggressive Mode 然而 webOS 自带那个 vpnc 似乎只能用 Aggressive Mode ,于是又开始了新一轮的折腾(就说不会那么顺利嘛><)

Google 了一圈后发现 Openswan 和 racoon 都支持 IKEv1 Aggressive Mode 然后考虑到之前折腾 Openswan 的经历,于是果断选择 racoon .

racoon 这方面有点点想吐槽下…不知道是我技术不够还是人品不够什么的,为了保持一贯的帐号统一性,而且看到它有 RADIUS 支持…于是就自己去编译了,整个编译过程中遇到了各种诡异的问题,耗费了大半天时间(叫你折腾- -)所以如果没事干就别自己编译了…

在设置方面参考了这些文章

http://serverfault.com/questions/258962/ios-mac-compatible-IPsec-vpn-server-on-ubuntu

http://forums.freebsd.org/showthread.php?p=149200

http://www.tjhsst.edu/admin/livedoc/index.php/IPsec_VPN

http://redmine.pfsense.org/issues/1351

这里主要提一下一个问题, 在设置 racoon.conf 里有一行

generate_policy

如果设置为 on 的话似乎在同一 NAT 设备后多个设备连接 IPsec VPN会造成只有最后一个才能访问互联网,暂时找到的解决方案是把 on 修改成 unique, 具体的讨论可以看上面那堆链接里最后那个~

还有一个问题,这个配置文件在 racoon 0.7.3 上能够很好的运行,但是在 racoon 0.8.0 上似乎跑的不正常,具体是为什么我也懒得管了…如果有知道答案的欢迎联系我~

暂时就这样了,到时候想到什么再补充吧~

最后送上配置 racoon.conf 的配置,理论上在装好 racoon 的地方应该都能用吧~(注意是 0.7.3)在配置 psk 的时候注意格式, 同一行里前面半截是 Group Name 后面半截是 Group Secret ^_^

http://d.pr/lVpl

5 thoughts on “Cisco IPSec VPN 折腾小记”

  1. hah,原来你在折腾啊。俺不懂这些东东,不过感觉你近来越来越“玩”出名堂了。后生可畏!

  2. 看完下来没看懂…(对我来说很正常 – -)
    重点是吐槽下你的更新频率…

Comments are closed.