如何搭建IKEV2 VPN - 版本历史

2026年2月19日 (四) 16:12 Liam

2026-02-19T16:12:51Z

←上一版本		2026年2月19日 (四) 09:12的版本
第164行：		第164行：

	[[File:如何搭建IKEV2 VPN-2.jpg\|frameless\|498x498px]]		[[File:如何搭建IKEV2 VPN-2.jpg\|frameless\|498x498px]]
			[[Category:500 常见应用指南 — Application Guides]]

2026年2月19日 (四) 15:03 Koud Wind

2026-02-19T15:03:11Z

←上一版本		2026年2月19日 (四) 08:03的版本
第45行：		第45行：
	DNS.1 = 你的域名		DNS.1 = 你的域名
	DNS.2 = 你的第二个域名		DNS.2 = 你的第二个域名
	</syntaxhighlight>需要设置好域名并进行保存执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096		</syntaxhighlight>需要设置好域名并进行保存


			执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096
	openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"		openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"

2026年2月19日 (四) 11:01 Koud Wind

2026-02-19T11:01:09Z

←上一版本		2026年2月19日 (四) 04:01的版本
第1行：		第1行：
	'''注意''': IKEV2协议可能会被GFW污染IKEV2数据包一个月, 临时使用为优, 请勿长时间使用		'''注意''': IKEV2协议可能会被GFW污染IKEV2数据包一个月, 临时使用为优, 请勿长时间使用, 如果主机在国内可以忽略

	适合不能配置HTTP代理且不能安装其他代理客户端的设备		适合不能配置HTTP代理且不能安装其他代理客户端的设备

2026年2月19日 (四) 11:00 Koud Wind

2026-02-19T11:00:30Z

←上一版本		2026年2月19日 (四) 04:00的版本
第1行：		第1行：
	'''注意''': IKEV2协议可能会被GFW污染数据包一个月, 临时使用为优, 请勿长时间使用		'''注意''': IKEV2协议可能会被GFW污染IKEV2数据包一个月, 临时使用为优, 请勿长时间使用

	适合不能配置HTTP代理且不能安装其他代理客户端的设备		适合不能配置HTTP代理且不能安装其他代理客户端的设备

2026年2月19日 (四) 10:59 Koud Wind

2026-02-19T10:59:42Z

←上一版本		2026年2月19日 (四) 03:59的版本
第79行：		第79行：
	systemctl enable nftables.service		systemctl enable nftables.service
	systemctl restart nftables.service		systemctl restart nftables.service
	</syntaxhighlight>		</syntaxhighlight>如果你有其他防火墙规则, 记得放行 UDP<code>500</code>与<code>4500</code>

	=== 4. 配置IKEV2 ===		=== 4. 配置IKEV2 ===

2026年2月19日 (四) 10:57 Koud Wind

2026-02-19T10:57:49Z

←上一版本		2026年2月19日 (四) 03:57的版本
第150行：		第150行：
	添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加		添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加

	名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了		类型选择IKEV2, 名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了

			Windows可能无法保存密码信息, 要求密码信息时不能取消, 否则资源管理器会卡死

			'''Windows设置:'''

			[[File:如何搭建IKEV2 VPN-1.png\|frameless\|631x631px]]

			'''安卓设置:'''

			[[File:如何搭建IKEV2 VPN-2.jpg\|frameless\|498x498px]]

Koud Wind：创建页面，内容为“'''注意''': IKEV2协议可能会被GFW污染数据包一个月, 临时使用为优, 请勿长时间使用适合不能配置HTTP代理且不能安装其他代理客户端的设备 ---- === 1. 准备 === 以 Debian13 为例apt update apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins systemctl enable strongswan-starter mkdir -p /main/ikev2/cert cd /main/ikev2`s…”`


2026-02-19T10:50:23Z
创建页面，内容为“'''注意''': IKEV2协议可能会被GFW污染数据包一个月, 临时使用为优, 请勿长时间使用  适合不能配置HTTP代理且不能安装其他代理客户端的设备 ----  === 1. 准备 === 以 Debian13 为例<syntaxhighlight>apt update apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins systemctl enable strongswan-starter mkdir -p /main/ikev2/cert cd /main/ikev2</syntaxhighlight><code>s…”
新页面
'''注意''': IKEV2协议可能会被GFW污染数据包一个月, 临时使用为优, 请勿长时间使用



适合不能配置HTTP代理且不能安装其他代理客户端的设备

----



=== 1. 准备 ===

以 Debian13 为例<syntaxhighlight>apt update

apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins

systemctl enable strongswan-starter

mkdir -p /main/ikev2/cert

cd /main/ikev2</syntaxhighlight><code>sysctl</code> 中需要配置IP转发, 新建一个<code>forward.conf</code>并进行编辑<syntaxhighlight line="1">

net.ipv4.ip_forward = 1

net.ipv6.conf.all.forwarding = 1

</syntaxhighlight>保存好后链接过去, 并让其生效<syntaxhighlight>

ln -f /main/ikev2/forward.conf /etc/sysctl.d/

sysctl --system

</syntaxhighlight>



=== 2. 配置证书 ===

这里我们使用自签证书, 先切换目录<syntaxhighlight>

cd /main/ikev2/cert

</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1">

[req]

default_bits       = 4096

default_md         = sha256

distinguished_name = req_distinguished_name

req_extensions     = req_ext

x509_extensions    = v3_ca

prompt             = no



[req_distinguished_name]

O                  = ikev2

CN                 = ikev2 cert



[req_ext]

subjectAltName     = @alt_names



[v3_ca]

subjectAltName     = @alt_names

basicConstraints   = CA:FALSE

keyUsage           = digitalSignature, keyEncipherment

extendedKeyUsage   = serverAuth, clientAuth



[alt_names]

DNS.1              = 你的域名

DNS.2              = 你的第二个域名

</syntaxhighlight>需要设置好域名并进行保存 执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096

openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"



openssl genrsa -out server.key.pem 4096

openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf

openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>将证书链接到配置目录中<syntaxhighlight>

mkdir -p /etc/ipsec.d/{private,certs}

ln -f /main/ikev2/cert/server.key.pem /etc/ipsec.d/private/

ln -f /main/ikev2/cert/server.cert.pem /etc/ipsec.d/certs/

</syntaxhighlight>



=== 3. 配置nftables ===

主要是为了根据 IKEV2 服务端分配给客户端的IP, 将数据包转发到指定网卡



如果你之前配置过nftables, 不是编辑配置文件, 那就从之前的配置中取, 并进行链接, 准备编辑<syntaxhighlight>

mkdir /main/nftables

cp /etc/nftables.conf /main/nftables/

ln -f /main/nftables/nftables.conf /etc/

</syntaxhighlight>如果你没有配置过, 那就在<code>/main/nftables/</code>中创建一个<code>nftables.conf</code>配置文件并链接过去, 准备编辑<syntaxhighlight>ln -f /main/nftables/nftables.conf /etc/</syntaxhighlight>如果你之前配置过nftables, 且编辑了配置文件, 就直接修改那个配置文件, 准备编辑



现在开始编辑<code>nftables.conf</code>, 加入以下配置<syntaxhighlight>

table inet ikev2_nat {

    chain postrouting {

        type nat hook                           postrouting priority 10;

        policy accept;



        # 自行修改网卡或IP

        ip saddr 10.10.0.0/16                   oif "eth0" masquerade;

		ip6 saddr fd00:ce20::/16                oif "eth0" masquerade;

    }

}

</syntaxhighlight>保存好后并生效<syntaxhighlight>

systemctl enable nftables.service

systemctl restart nftables.service

</syntaxhighlight>



=== 4. 配置IKEV2 ===

在<code>/main/ikev2</code>中分别创建文件: <code>ipsec.conf</code>, <code>ipsec.secrets</code>



conf是核心配置, secrets是用户配置, 需要自行修改



<code>ipsec.conf</code>的配置: <syntaxhighlight line="1">

config setup

    charondebug="ike 2, knl 2, net 2, esp 2, dmn 2, mgr 2"

    uniqueids=no



conn ikev2-eap-mschapv2

    keyexchange=ikev2

    ike=aes256-sha1-sha256-sha384-modp2048,aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024!

    esp=aes256-3des-sha1

    

    auto=add

    compress=no

    dpdaction=clear

    fragmentation=yes

    forceencaps=yes

    

    dpddelay=30s

    ikelifetime=10h

    lifetime=30m



    left=%defaultroute

    leftauth=pubkey

    leftid=你的域名

    leftcert=server.cert.pem

    leftsendcert=always

    leftsubnet=0.0.0.0/0,::/0

    leftfirewall=yes



    right=%any

    rightid=%any

    rightauth=eap-mschapv2

    rightsourceip=10.10.0.0/16,fd00:ce20::/16

    rightdns=1.1.1.1,8.8.8.8

    rightsendcert=never

    eap_identity=%identity

</syntaxhighlight><code>ipsec.secrets</code>的配置: <syntaxhighlight>

: RSA "server.key.pem"

User1 : EAP "123456789"

User2 : EAP "这是用户密码, 换行前面要注意不能有空格"

</syntaxhighlight>自行修改好后, 重启服务并生效<syntaxhighlight>

systemctl restart strongswan-starter.service

systemctl status strongswan-starter.service

</syntaxhighlight>



=== 5. 安装证书 ===

任何系统想用就必须装上'''CA证书''', 也就是上面配置证书的<code>ca.cert.pem</code>



'''Windows安装证书:'''



<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)



'''安卓安装证书:'''



以'''iqoo'''为例, 进入手机设置 -> 安全 -> 更多安全设置 -> 从手机存储安装 -> CA证书, 文件选择<code>ca.cert.pem</code>



其他手机可以搜索 <code>CA/证书/凭证</code>



'''IOS安装证书:'''



下载证书后, 进入设置直接安装



=== 6. 设备使用 ===

添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加



名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了