在 Server A 上添加

RHEL 6 下配置 IPsec VPN 的完整指南：从基础到实战部署

在企业网络环境中,虚拟私人网络（VPN）是实现远程安全访问、跨地域数据传输和站点间互联的重要技术，Red Hat Enterprise Linux 6（RHEL 6）作为一款广泛部署的服务器操作系统，虽然已进入生命周期末期（EOL于2024年），但在一些遗留系统中仍被使用，本文将详细介绍如何在 RHEL 6 系统上基于 IPsec 协议搭建一个稳定、可扩展的点对点或站点到站点（Site-to-Site）IPsec VPN，适用于企业内部网络互连或远程办公场景。

环境准备
假设我们有两个 RHEL 6 服务器，分别位于不同地理位置，目标是通过公网建立加密隧道。

• Server A（本地网关）：内网 IP 192.168.1.1，公网 IP 203.0.113.10
• Server B（远程网关）：内网 IP 192.168.2.1，公网 IP 203.0.113.20
  确保两个服务器都能互相访问公网，并且防火墙（iptables）允许 UDP 500（ISAKMP）和 UDP 4500（NAT-T）端口通信。

安装与依赖配置
RHEL 6 默认包含 Openswan（IPsec 实现工具），若未安装，执行以下命令：

yum install openswan -y

编辑主配置文件 /etc/ipsec.conf如下（以 Site-to-Site 为例）：

config setup
    protostack=netkey
    nat_traversal=yes
    virtual_private=%v4:192.168.0.0/16,%v4:10.0.0.0/8,%v4:172.16.0.0/12
conn myvpn
    left=203.0.113.10
    leftsubnet=192.168.1.0/24
    right=203.0.113.20
    rightsubnet=192.168.2.0/24
    authby=secret
    auto=start
    keyingtries=%forever
    type=tunnel
    phase2alg=aes-sha1

此配置定义了一个名为 myvpn 的连接，指定两端公网 IP 和各自子网，使用预共享密钥（PSK）进行身份认证，加密算法为 AES + SHA1。

设置预共享密钥
创建 /etc/ipsec.secrets 文件，添加密钥：

0.113.10 203.0.113.20 : PSK "your_strong_pre_shared_key_here"

注意：建议使用强密码（至少16位，含大小写字母、数字、特殊字符），并确保该文件权限为 600：

chmod 600 /etc/ipsec.secrets

启动服务与验证
重启 ipsec 服务：

service ipsec start
chkconfig ipsec on

查看状态：

ipsec status

应显示 myvpn 连接处于 “ESTABLISHED” 状态，若失败，请检查日志：

tail -f /var/log/messages | grep ipsec

路由与测试
在两台服务器上添加静态路由（若未自动配置）：

测试连通性：

ping 192.168.2.1

若能通,则说明 IPsec 隧道已成功建立。

注意事项

• 若中间存在 NAT 设备，务必启用 nat_traversal=yes。
• 建议定期轮换 PSK 密钥以提升安全性。
• 考虑升级至 RHEL 7+ 或使用 StrongSwan 替代 Openswan（更现代、支持 IKEv2）。
• 使用 ipsec verify 检查系统兼容性和配置错误。

尽管 RHEL 6 已不再受官方支持，但其 IPsec 实现依然可靠，掌握基于 Openswan 的配置方法，有助于维护现有系统或理解传统网络安全架构，对于新项目，建议优先考虑使用更新版本的 Linux 发行版及更安全的协议栈（如 IKEv2/IPsec + EAP-TLS）。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速