在企业网络环境中,安全地连接远程分支机构或移动办公人员是一项基本需求,IPsec(Internet Protocol Security)作为一种广泛采用的网络安全协议,能够为IP通信提供加密、认证和完整性保护,在老旧但仍有大量遗留系统运行的环境中,CentOS 6作为一款经典的Linux发行版,依然被用于关键业务服务器,本文将详细介绍如何在CentOS 6环境下使用Openswan(一个开源IPsec实现)搭建一个稳定、安全的IPsec VPN隧道。
确保你的CentOS 6系统已更新至最新补丁版本,并具备root权限,建议先执行以下命令更新系统:
yum update -y
接下来安装Openswan,CentOS 6默认仓库中包含openswan包,可通过如下命令安装:
yum install openswan -y
安装完成后,编辑IPsec主配置文件 /etc/ipsec.conf,该文件定义了VPN策略和密钥交换方式,以下是一个基础示例配置,适用于站点到站点(Site-to-Site)IPsec连接:
config setup
protostack=netkey
plutodebug=all
dumpdir=/var/log/pluto/
nat_traversal=yes
oe=off
strictcrlpolicy=no
conn my-vpn
left=192.168.1.100 # 本地网关IP(本机公网IP)
leftsubnet=192.168.1.0/24 # 本地内网子网
right=203.0.113.50 # 对端网关IP(远程VPN服务器公网IP)
rightsubnet=192.168.2.0/24 # 对端内网子网
authby=secret # 使用预共享密钥认证
pfs=yes # 启用PFS(完美前向保密)
type=tunnel
auto=start # 启动时自动建立连接
keyingtries=3 # 密钥协商重试次数
rekey=no # 不启用自动重新协商然后配置预共享密钥(PSK),编辑 /etc/ipsec.secrets 文件:
168.1.100 203.0.113.50 : PSK "your_strong_pre_shared_key_here"请务必使用高强度密码,避免弱密钥暴露风险。
完成配置后,启动IPsec服务并检查状态:
service ipsec start ipsec verify # 检查配置是否正确 ipsec auto --add my-vpn # 添加连接配置 ipsec auto --up my-vpn # 启动连接
若一切正常,可通过 ipsec status 查看当前连接状态,两端设备应能通过加密通道互访对方内网资源。
需要注意的是,CentOS 6已于2024年停止维护,存在潜在安全漏洞,在生产环境中部署IPsec时,应考虑迁移至CentOS Stream或Red Hat Enterprise Linux(RHEL)等支持更久的版本,建议结合防火墙规则(如iptables)限制不必要的访问,并定期审计日志文件 /var/log/pluto.log,确保连接稳定且无异常行为。
尽管CentOS 6已不再主流,但其IPsec配置仍具有学习价值,掌握其原理有助于理解现代Linux系统中的网络安全性机制,也为运维工程师处理遗留系统提供了实用参考。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
