在Debian上安装配置Cisco Ipsec VPN
自从用了shadowsocks人懒了很多,之前开着vpn的那台vps重新部署后一直没弄,导致所有iOS设备都处于无法科学上网状态。今天入手了台kvm架构的vps,安装完debian顺手配置了Cisco ipsec vpn,这里简单记录一下整个搭建流程。
安装racoon
apt-get install racoon
配置racoon
编辑 /etc/racoon/racoon.conf
用下面的代码替换掉原文件
log info; path include "/etc/racoon"; path pre_shared_key "/etc/racoon/psk.txt"; listen { isakmp 1.2.3.4 [500]; #监听的端口和地址 isakmp_natt 1.2.3.4 [4500]; #监听的端口和地址 } remote anonymous { exchange_mode main,aggressive; doi ipsec_doi; nat_traversal on; proposal_check obey; generate_policy unique; ike_frag on; passive on; dpd_delay = 30; dpd_retry = 30; dpd_maxfail = 800; mode_cfg = on; proposal { encryption_algorithm aes; hash_algorithm sha1; authentication_method xauth_psk_server; dh_group 2; lifetime time 12 hour; } } timer{ natt_keepalive 20 sec; } sainfo anonymous { lifetime time 12 hour; encryption_algorithm aes,3des,des; authentication_algorithm hmac_sha1,hmac_md5; compression_algorithm deflate; } mode_cfg { dns4 8.8.8.8,8.8.4.4; save_passwd on; network4 10.12.0.100; #客户端IP netmask4 255.255.255.0; pool_size 250; banner "/etc/racoon/motd"; auth_source pam; conf_source local; pfs_group 2; default_domain "local"; }
修改 /etc/racoon/psk.txt
这是鉴定设置里的 group name 和 group secret ,格式很简单,groupname空格groupsecret。例如:
name password
修改 /etc/racoon/motd
这是连接成功后的提示信息,随便你写什么。
ipv4 forward
编辑 /etc/sysctl.conf ,去掉 net.ipv4.ip_forward=1 前的注释。
sysctl -p /etc/sysctl.conf
使其生效。
iptables规则
iptables -A INPUT -p udp --dport 500 -j ACCEPT iptables -A INPUT -p udp --dport 4500 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.12.0.0/24 -o eth0 -j MASQUERADE iptables -A FORWARD -s 10.12.0.0/24 -j ACCEPT
防止重启iptables规则失效
用 iptables-save > /etc/iptables/rules.v4 保存规则到文件,编辑 /etc/rc.local 加入下面两句:
racoon /sbin/iptables-restore < /etc/iptables/rules.v4
MAC下避免每小时重新验证的方法
使用paveo大婶的脚本
curl -O http://s.cn.gfw.io/sc/fix_auto_disconnect.sh chmod +x fix_auto_disconnect.sh ./fix_auto_disconnect.sh fix
手动配置
- 连接上Cisco Ipsec VPN
ls /var/run/racoon/查看该文件夹下有一个配置文件,假设你的文件名为ip.conf- sudo cp /var/run/racoon/ip.conf /etc/racoon
- 打开
/etc/racoon/racoon.conf,将最后一行注释掉,然后添加一行include "/etc/racoon/ip.conf",这个ip.conf就是刚才从/var/run/racoon/下copy过来的conf文件。 - 对
/etc/racoon/ip.conf做一些修改:
dpd_delay 0; proposal_check claim; lifetime time 24 hours; #替换掉每个lifetime time
重新链接后就OK了。