何らかの理由で、OpenVPN はローカル マシン上で非常にうまく動作していますが、IPSec IKEV2 VPN は動作せず、OpenVPN が接続されている場合にのみ動作します。IPSec IKEV2
VPN 用のドメインがあり、ローカル マシンの VPN はポート 443 を使用しています
。OpenVPN を使用せずにローカル マシンで VPN を動作させるにはどうすればよいか教えてください。
サーバーのポート 443 を変更するか、ポート 500 と 4500 を変更する必要がありますか?
いくつかの変更を加えて、Strongswan と Let's Encrypt を使用して CentOS 7 で IKEv2 VPN をセットアップするには、以下のリンクに従いました。
CentOS 7 で Strongswan と Let's Encrypt を使用して IKEv2 VPN を設定する方法
私の Let's Encrypt コマンドは次のようになります:
curl https://get.acme.sh | sh
~/.acme.sh/acme.sh --set-default-ca --server letsencrypt
~/.acme.sh/acme.sh --register-account -m [email protected]
~/.acme.sh/acme.sh --issue -d my_domain.com --keylength 4096 --standalone --force
service httpd stop
~/.acme.sh/acme.sh --issue -d my_domain.com --keylength 4096 --standalone --force
Your cert is in: /root/.acme.sh/my_domain.com/my_domain.com.cer
Your cert key is in: /root/.acme.sh/my_domain.com/my_domain.com.key
The intermediate CA cert is in: /root/.acme.sh/my_domain.com/ca.cer
And the full chain certs is there: /root/.acme.sh/my_domain.com/fullchain.cer
~/.acme.sh/acme.sh --installcert -d my_domain.com --keylength 4096 --key-file /root/private.key --fullchain-file /root/cert.crt
service httpd start
service httpd status
証明書のコピー:
sudo cp /root/private.key /etc/strongswan/ipsec.d/private/
sudo cp /root/cert.crt /etc/strongswan/ipsec.d/certs/
sudo cp /root/.acme.sh/p02.artemis-art.buzz/ca.cer /etc/strongswan/ipsec.d/cacerts/
StrongSwan 設定:
#global configuration IPsec
#chron logger
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
#define new ipsec connection
conn hakase-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1!
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@my_domain.com
leftcert=cert.crt
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.15.1.0/24
rightdns=1.1.1.1,8.8.8.8
rightsendcert=never
eap_identity=%identity
そして、ここに秘密のファイルがあります:
nano -K /etc/strongswan/ipsec.secrets
: RSA "private.key"
test : EAP "123"
問題をもう一度説明しましょう。
私の Wi-Fi インターネット プロバイダーの一部のファイアウォール ルールが VPN (ikev2 - l2tp - pptp) をブロックしています
が、openvps は問題なく動作します。openvpn
が動作しているときは、上位構成で ikev2 VPN に接続できます。openvpn
なしで動作させるには、ikev2 の何を変更すればよいか教えてください。最初のステップとして、サーバーのポート 500 と 4500 を変更する必要があると思います。
正しいでしょうか?
しかし、どのようにすればよいでしょうか?
ipsec.d/ は、このファイルにはカスタム ポートを定義する場所がありません。