mirror of
https://github.com/hwdsl2/setup-ipsec-vpn.git
synced 2026-05-16 23:55:44 +03:00
Update docs
This commit is contained in:
hwdsl2
8
.github/ISSUE_TEMPLATE/10-bug-report-zh.md
vendored
8
.github/ISSUE_TEMPLATE/10-bug-report-zh.md
vendored
@@ -9,10 +9,10 @@ assignees: ''
|
||||
|
||||
**任务列表**
|
||||
|
||||
- [ ] 我已阅读 [自述文件](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md)
|
||||
- [ ] 我已阅读 [重要提示](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md#重要提示)
|
||||
- [ ] 我已按照说明 [配置 VPN 客户端](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md#下一步)
|
||||
- [ ] 我检查了 [IKEv1 故障排除](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md#ikev1-故障排除),[IKEv2 故障排除](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/ikev2-howto-zh.md#ikev2-故障排除) 以及 [VPN 状态](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md#检查日志及-vpn-状态)
|
||||
- [ ] 我已阅读[自述文件](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md)
|
||||
- [ ] 我已阅读[重要提示](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md#重要提示)
|
||||
- [ ] 我已按照说明[配置 VPN 客户端](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md#下一步)
|
||||
- [ ] 我检查了 [IKEv1 故障排除](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md#ikev1-故障排除),[IKEv2 故障排除](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/ikev2-howto-zh.md#ikev2-故障排除)以及 [VPN 状态](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md#检查日志及-vpn-状态)
|
||||
- [ ] 我搜索了已有的 [Issues](https://github.com/hwdsl2/setup-ipsec-vpn/issues?q=is%3Aissue)
|
||||
- [ ] 这个 bug 是关于 VPN 安装脚本,而不是 IPsec VPN 本身
|
||||
|
||||
|
||||
@@ -11,10 +11,10 @@ assignees: ''
|
||||
|
||||
- [ ] 我搜索了已有的 [Issues](https://github.com/hwdsl2/setup-ipsec-vpn/issues?q=is%3Aissue),没有找到类似的改进建议
|
||||
- [ ] 这个改进建议是关于 VPN 安装脚本,而不是 IPsec VPN 本身
|
||||
- [ ] 我已阅读 [自述文件](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md)
|
||||
- [ ] 我已阅读 [重要提示](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md#重要提示)
|
||||
- [ ] 我已按照说明 [配置 VPN 客户端](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md#下一步)
|
||||
- [ ] 我检查了 [IKEv1 故障排除](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md#ikev1-故障排除),[IKEv2 故障排除](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/ikev2-howto-zh.md#ikev2-故障排除) 以及 [VPN 状态](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md#检查日志及-vpn-状态)
|
||||
- [ ] 我已阅读[自述文件](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md)
|
||||
- [ ] 我已阅读[重要提示](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md#重要提示)
|
||||
- [ ] 我已按照说明[配置 VPN 客户端](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md#下一步)
|
||||
- [ ] 我检查了 [IKEv1 故障排除](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md#ikev1-故障排除),[IKEv2 故障排除](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/ikev2-howto-zh.md#ikev2-故障排除)以及 [VPN 状态](https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md#检查日志及-vpn-状态)
|
||||
|
||||
**描述改进建议**
|
||||
使用清楚简明的语言描述你的改进建议。
|
||||
|
||||
2
.github/workflows/cron.yml
vendored
2
.github/workflows/cron.yml
vendored
@@ -1,5 +1,5 @@
|
||||
#
|
||||
# Copyright (C) 2020-2025 Lin Song <linsongui@gmail.com>
|
||||
# Copyright (C) 2020-2026 Lin Song <linsongui@gmail.com>
|
||||
#
|
||||
# This work is licensed under the Creative Commons Attribution-ShareAlike 3.0
|
||||
# Unported License: http://creativecommons.org/licenses/by-sa/3.0/
|
||||
|
||||
2
.github/workflows/main.yml
vendored
2
.github/workflows/main.yml
vendored
@@ -1,5 +1,5 @@
|
||||
#
|
||||
# Copyright (C) 2020-2025 Lin Song <linsongui@gmail.com>
|
||||
# Copyright (C) 2020-2026 Lin Song <linsongui@gmail.com>
|
||||
#
|
||||
# This work is licensed under the Creative Commons Attribution-ShareAlike 3.0
|
||||
# Unported License: http://creativecommons.org/licenses/by-sa/3.0/
|
||||
|
||||
@@ -1,7 +1,7 @@
|
||||
### Creative Commons Attribution-ShareAlike 3.0 Unported License
|
||||
Link to license summary: https://creativecommons.org/licenses/by-sa/3.0/
|
||||
|
||||
Copyright (C) 2014-2025 [Lin Song](https://github.com/hwdsl2)
|
||||
Copyright (C) 2014-2026 [Lin Song](https://github.com/hwdsl2)
|
||||
Based on [the work of Thomas Sarlandie](https://github.com/sarfata/voodooprivacy) (Copyright 2012)
|
||||
|
||||
See the [aws/](aws/) and [azure/](azure/) subfolders for their respective authors.
|
||||
|
||||
@@ -382,6 +382,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnupgrade.sh
|
||||
- [内部VPN IPとトラフィック](docs/advanced-usage.md#internal-vpn-ips-and-traffic)
|
||||
- [VPNサーバーのパブリックIPを指定する](docs/advanced-usage.md#specify-vpn-servers-public-ip)
|
||||
- [VPNサブネットのカスタマイズ](docs/advanced-usage.md#customize-vpn-subnets)
|
||||
- [IPv6サポート](docs/advanced-usage.md#ipv6-support)
|
||||
- [VPNクライアントへのポートフォワーディング](docs/advanced-usage.md#port-forwarding-to-vpn-clients)
|
||||
- [スプリットトンネリング](docs/advanced-usage.md#split-tunneling)
|
||||
- [VPNサーバーのサブネットにアクセスする](docs/advanced-usage.md#access-vpn-servers-subnet)
|
||||
|
||||
@@ -382,6 +382,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnupgrade.sh
|
||||
- [Внутренние IP-адреса VPN и трафик](docs/advanced-usage.md#internal-vpn-ips-and-traffic)
|
||||
- [Указание публичного IP-адреса VPN-сервера](docs/advanced-usage.md#specify-vpn-servers-public-ip)
|
||||
- [Настройка подсетей VPN](docs/advanced-usage.md#customize-vpn-subnets)
|
||||
- [Поддержка IPv6](docs/advanced-usage.md#ipv6-support)
|
||||
- [Переадресация портов клиентам VPN](docs/advanced-usage.md#port-forwarding-to-vpn-clients)
|
||||
- [Раздельная маршрутизация (Split tunneling)](docs/advanced-usage.md#split-tunneling)
|
||||
- [Доступ к подсети VPN-сервера](docs/advanced-usage.md#access-vpn-servers-subnet)
|
||||
@@ -429,7 +430,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnuninstall.sh
|
||||
|
||||
## Лицензия
|
||||
|
||||
Copyright (C) 2014-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Copyright (C) 2014-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Основано на [работе Thomas Sarlandie](https://github.com/sarfata/voodooprivacy) (Copyright 2012)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
|
||||
@@ -203,7 +203,7 @@ sudo VPN_DNS_SRV1=1.1.1.1 VPN_DNS_SRV2=1.0.0.1 sh vpn.sh
|
||||
|
||||
如果你需要在安裝 VPN 之後更改 DNS 伺服器,請參見[進階用法](docs/advanced-usage-zh.md)。
|
||||
|
||||
**註:** 如果伺服器上已經設定 IKEv2,以上變數對 IKEv2 模式無效。在此情況下,如需自訂 IKEv2 選項(例如 DNS 伺服器),你可以先 [移除 IKEv2](docs/ikev2-howto-zh.md#移除-ikev2),然後執行 `sudo ikev2.sh` 重新設定。
|
||||
**註:** 如果伺服器上已經設定 IKEv2,以上變數對 IKEv2 模式無效。在此情況下,如需自訂 IKEv2 選項(例如 DNS 伺服器),你可以先[移除 IKEv2](docs/ikev2-howto-zh.md#移除-ikev2),然後執行 `sudo ikev2.sh` 重新設定。
|
||||
|
||||
### 自訂 IKEv2 選項
|
||||
|
||||
@@ -230,7 +230,7 @@ sudo ikev2.sh
|
||||
|
||||
你可以自訂以下選項:VPN 伺服器的網域名稱、第一個客戶端的名稱與憑證有效期限、VPN 客戶端的 DNS 伺服器,以及是否對客戶端設定檔進行密碼保護。
|
||||
|
||||
**註:** 如果伺服器上已經設定 IKEv2,則 `VPN_SKIP_IKEV2` 變數無效。在此情況下,如需自訂 IKEv2 選項,你可以先 [移除 IKEv2](docs/ikev2-howto-zh.md#移除-ikev2),然後執行 `sudo ikev2.sh` 重新設定。
|
||||
**註:** 如果伺服器上已經設定 IKEv2,則 `VPN_SKIP_IKEV2` 變數無效。在此情況下,如需自訂 IKEv2 選項,你可以先[移除 IKEv2](docs/ikev2-howto-zh.md#移除-ikev2),然後執行 `sudo ikev2.sh` 重新設定。
|
||||
</details>
|
||||
<details>
|
||||
<summary>
|
||||
@@ -297,7 +297,7 @@ sudo VPN_PROTECT_CONFIG=yes sh vpn.sh
|
||||
\*\*\* 可以在互動式設定 IKEv2 期間自訂 (`sudo ikev2.sh`)。參見上面的選項 1。
|
||||
\*\*\*\* 使用 `VPN_CLIENT_VALIDITY` 定義客戶端憑證的有效期限(單位:月)。它必須是 1 到 120 之間的整數。
|
||||
|
||||
除了這些參數,高級使用者還可以在安裝時 [自訂 VPN 子網](docs/advanced-usage-zh.md#自定义-vpn-子网)。
|
||||
除了這些參數,高級使用者還可以在安裝時[自訂 VPN 子網](docs/advanced-usage-zh.md#自定义-vpn-子网)。
|
||||
</details>
|
||||
|
||||
## 下一步
|
||||
@@ -312,21 +312,21 @@ sudo VPN_PROTECT_CONFIG=yes sh vpn.sh
|
||||
|
||||
**[設定 IPsec/XAuth ("Cisco IPsec") VPN 客戶端](docs/clients-xauth-zh.md)**
|
||||
|
||||
**閱讀 [:book: VPN book](docs/vpn-book-zh-Hant.md) 以存取 [額外內容](https://ko-fi.com/post/Support-this-project-and-get-access-to-supporter-o-X8X5FVFZC)。**
|
||||
**閱讀 [:book: VPN book](docs/vpn-book-zh-Hant.md) 以存取[額外內容](https://ko-fi.com/post/Support-this-project-and-get-access-to-supporter-o-X8X5FVFZC)。**
|
||||
|
||||
開始使用自己的專屬 VPN! :sparkles::tada::rocket::sparkles:
|
||||
|
||||
## 重要提示
|
||||
|
||||
**Windows 使用者** 對於 IPsec/L2TP 模式,在首次連線之前需要 [修改登錄檔](docs/clients-zh.md#windows-错误-809),以解決 VPN 伺服器或客戶端與 NAT(例如家用路由器)的相容問題。
|
||||
**Windows 使用者** 對於 IPsec/L2TP 模式,在首次連線之前需要[修改登錄檔](docs/clients-zh.md#windows-错误-809),以解決 VPN 伺服器或客戶端與 NAT(例如家用路由器)的相容問題。
|
||||
|
||||
同一個 VPN 帳戶可以在你的多個裝置上使用。但由於 IPsec/L2TP 的限制,如果需要連線到同一個 NAT(例如家用路由器)後面的多個裝置,你必須使用 [IKEv2](docs/ikev2-howto-zh.md) 或 [IPsec/XAuth](docs/clients-xauth-zh.md) 模式。要查看或變更 VPN 使用者帳戶,請參見 [管理 VPN 使用者](docs/manage-users-zh.md)。
|
||||
同一個 VPN 帳戶可以在你的多個裝置上使用。但由於 IPsec/L2TP 的限制,如果需要連線到同一個 NAT(例如家用路由器)後面的多個裝置,你必須使用 [IKEv2](docs/ikev2-howto-zh.md) 或 [IPsec/XAuth](docs/clients-xauth-zh.md) 模式。要查看或變更 VPN 使用者帳戶,請參見[管理 VPN 使用者](docs/manage-users-zh.md)。
|
||||
|
||||
對於有外部防火牆的伺服器(例如 [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html)/[GCE](https://cloud.google.com/vpc/docs/firewalls)),請為 VPN 開啟 UDP 連接埠 500 和 4500。阿里雲使用者請參見 [#433](https://github.com/hwdsl2/setup-ipsec-vpn/issues/433)。
|
||||
|
||||
在 VPN 已連線時,客戶端設定為使用 [Google Public DNS](https://developers.google.com/speed/public-dns/)。如果偏好其他的網域解析服務,請參見 [進階用法](docs/advanced-usage-zh.md)。
|
||||
在 VPN 已連線時,客戶端設定為使用 [Google Public DNS](https://developers.google.com/speed/public-dns/)。如果偏好其他的網域解析服務,請參見[進階用法](docs/advanced-usage-zh.md)。
|
||||
|
||||
使用核心支援有助於提升 IPsec/L2TP 效能。它在所有 [支援的系統](#系統需求) 上可用。Ubuntu 系統需要安裝 `linux-modules-extra-$(uname -r)` 軟體套件並執行 `service xl2tpd restart`。
|
||||
使用核心支援有助於提升 IPsec/L2TP 效能。它在所有[支援的系統](#系統需求)上可用。Ubuntu 系統需要安裝 `linux-modules-extra-$(uname -r)` 軟體套件並執行 `service xl2tpd restart`。
|
||||
|
||||
這些腳本在變更現有設定檔之前會先建立備份,並使用 `.old-日期-時間` 作為檔名後綴。
|
||||
|
||||
@@ -365,7 +365,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnupgrade.sh
|
||||
|
||||
## 管理 VPN 使用者
|
||||
|
||||
請參見 [管理 VPN 使用者](docs/manage-users-zh.md) (簡體中文)。
|
||||
請參見[管理 VPN 使用者](docs/manage-users-zh.md)(簡體中文)。
|
||||
|
||||
- [使用輔助腳本管理 VPN 使用者](docs/manage-users-zh.md#使用辅助脚本管理-vpn-用户)
|
||||
- [查看 VPN 使用者](docs/manage-users-zh.md#查看-vpn-用户)
|
||||
@@ -374,7 +374,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnupgrade.sh
|
||||
|
||||
## 進階用法
|
||||
|
||||
請參見 [進階用法](docs/advanced-usage-zh.md) (簡體中文)。
|
||||
請參見[進階用法](docs/advanced-usage-zh.md)(簡體中文)。
|
||||
|
||||
- [使用其他 DNS 伺服器](docs/advanced-usage-zh.md#使用其他的-dns-服务器)
|
||||
- [網域名稱與變更伺服器 IP](docs/advanced-usage-zh.md#域名和更改服务器-ip)
|
||||
@@ -382,6 +382,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnupgrade.sh
|
||||
- [VPN 內網 IP 與流量](docs/advanced-usage-zh.md#vpn-内网-ip-和流量)
|
||||
- [指定 VPN 伺服器的公有 IP](docs/advanced-usage-zh.md#指定-vpn-服务器的公有-ip)
|
||||
- [自訂 VPN 子網](docs/advanced-usage-zh.md#自定义-vpn-子网)
|
||||
- [IPv6 支援](docs/advanced-usage-zh.md#ipv6-支持)
|
||||
- [轉發連接埠到 VPN 客戶端](docs/advanced-usage-zh.md#转发端口到-vpn-客户端)
|
||||
- [VPN 分流](docs/advanced-usage-zh.md#vpn-分流)
|
||||
- [存取 VPN 伺服器的網段](docs/advanced-usage-zh.md#访问-vpn-服务器的网段)
|
||||
@@ -418,13 +419,13 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnuninstall.sh
|
||||
```
|
||||
</details>
|
||||
|
||||
更多資訊請參見 [移除 VPN](docs/uninstall-zh.md)。
|
||||
更多資訊請參見[移除 VPN](docs/uninstall-zh.md)。
|
||||
|
||||
## 問題與回饋
|
||||
|
||||
- 如果你對本專案有建議,請提交一個 [改進建議](https://github.com/hwdsl2/setup-ipsec-vpn/issues/new/choose),或歡迎提交 [Pull request](https://github.com/hwdsl2/setup-ipsec-vpn/pulls)。
|
||||
- 如果你發現可重現的程式漏洞,請為 [IPsec VPN](https://github.com/libreswan/libreswan/issues?q=is%3Aissue) 或 [VPN 腳本](https://github.com/hwdsl2/setup-ipsec-vpn/issues/new/choose) 提交錯誤回報。
|
||||
- 有問題想提問?請先搜尋 [既有的 issues](https://github.com/hwdsl2/setup-ipsec-vpn/issues?q=is%3Aissue) 以及 [這個 Gist](https://gist.github.com/hwdsl2/9030462#comments) 和 [我的部落格](https://blog.ls20.com/ipsec-l2tp-vpn-auto-setup-for-ubuntu-12-04-on-amazon-ec2/#disqus_thread) 上已有的留言。
|
||||
- 如果你對本專案有建議,請提交一個[改進建議](https://github.com/hwdsl2/setup-ipsec-vpn/issues/new/choose),或歡迎提交 [Pull request](https://github.com/hwdsl2/setup-ipsec-vpn/pulls)。
|
||||
- 如果你發現可重現的程式漏洞,請為 [IPsec VPN](https://github.com/libreswan/libreswan/issues?q=is%3Aissue) 或 [VPN 腳本](https://github.com/hwdsl2/setup-ipsec-vpn/issues/new/choose)提交錯誤回報。
|
||||
- 有問題想提問?請先搜尋[既有的 issues](https://github.com/hwdsl2/setup-ipsec-vpn/issues?q=is%3Aissue) 以及[這個 Gist](https://gist.github.com/hwdsl2/9030462#comments) 和[我的部落格](https://blog.ls20.com/ipsec-l2tp-vpn-auto-setup-for-ubuntu-12-04-on-amazon-ec2/#disqus_thread)上已有的留言。
|
||||
- VPN 相關問題可在 [Libreswan](https://lists.libreswan.org) 或 [strongSwan](https://lists.strongswan.org) 郵件列表提問,或參考以下網站:[[1]](https://libreswan.org/wiki/Main_Page) [[2]](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-securing_virtual_private_networks) [[3]](https://wiki.strongswan.org/projects/strongswan/wiki/UserDocumentation) [[4]](https://wiki.gentoo.org/wiki/IPsec_L2TP_VPN_server) [[5]](https://wiki.archlinux.org/index.php/Openswan_L2TP/IPsec_VPN_client_setup)。
|
||||
|
||||
## 授權條款
|
||||
|
||||
33
README-zh.md
33
README-zh.md
@@ -203,7 +203,7 @@ sudo VPN_DNS_SRV1=1.1.1.1 VPN_DNS_SRV2=1.0.0.1 sh vpn.sh
|
||||
|
||||
如果你需要在安装 VPN 之后更改 DNS 服务器,参见[高级用法](docs/advanced-usage-zh.md)。
|
||||
|
||||
**注:** 如果服务器上已经配置了 IKEv2,则以上变量对 IKEv2 模式无效。在这种情况下,如需自定义 IKEv2 选项(例如 DNS 服务器),你可以首先 [移除 IKEv2](docs/ikev2-howto-zh.md#移除-ikev2),然后运行 `sudo ikev2.sh` 重新配置。
|
||||
**注:** 如果服务器上已经配置了 IKEv2,则以上变量对 IKEv2 模式无效。在这种情况下,如需自定义 IKEv2 选项(例如 DNS 服务器),你可以首先[移除 IKEv2](docs/ikev2-howto-zh.md#移除-ikev2),然后运行 `sudo ikev2.sh` 重新配置。
|
||||
|
||||
### 自定义 IKEv2 选项
|
||||
|
||||
@@ -230,7 +230,7 @@ sudo ikev2.sh
|
||||
|
||||
你可以自定义以下选项:VPN 服务器的域名,第一个客户端的名称和证书有效期,VPN 客户端的 DNS 服务器以及是否对客户端配置文件进行密码保护。
|
||||
|
||||
**注:** 如果服务器上已经配置了 IKEv2,则 `VPN_SKIP_IKEV2` 变量无效。在这种情况下,如需自定义 IKEv2 选项,你可以首先 [移除 IKEv2](docs/ikev2-howto-zh.md#移除-ikev2),然后运行 `sudo ikev2.sh` 重新配置。
|
||||
**注:** 如果服务器上已经配置了 IKEv2,则 `VPN_SKIP_IKEV2` 变量无效。在这种情况下,如需自定义 IKEv2 选项,你可以首先[移除 IKEv2](docs/ikev2-howto-zh.md#移除-ikev2),然后运行 `sudo ikev2.sh` 重新配置。
|
||||
</details>
|
||||
<details>
|
||||
<summary>
|
||||
@@ -297,7 +297,7 @@ sudo VPN_PROTECT_CONFIG=yes sh vpn.sh
|
||||
\*\*\* 可以在交互式配置 IKEv2 期间自定义 (`sudo ikev2.sh`)。参见上面的选项 1。
|
||||
\*\*\*\* 使用 `VPN_CLIENT_VALIDITY` 定义客户端证书的有效期(单位:月)。它必须是 1 到 120 之间的整数。
|
||||
|
||||
除了这些参数,高级用户还可以在安装时 [自定义 VPN 子网](docs/advanced-usage-zh.md#自定义-vpn-子网)。
|
||||
除了这些参数,高级用户还可以在安装时[自定义 VPN 子网](docs/advanced-usage-zh.md#自定义-vpn-子网)。
|
||||
</details>
|
||||
|
||||
## 下一步
|
||||
@@ -312,21 +312,21 @@ sudo VPN_PROTECT_CONFIG=yes sh vpn.sh
|
||||
|
||||
**[配置 IPsec/XAuth ("Cisco IPsec") VPN 客户端](docs/clients-xauth-zh.md)**
|
||||
|
||||
**阅读 [:book: VPN book](docs/vpn-book-zh.md) 以访问 [额外内容](https://ko-fi.com/post/Support-this-project-and-get-access-to-supporter-o-X8X5FVFZC)。**
|
||||
**阅读 [:book: VPN book](docs/vpn-book-zh.md) 以访问[额外内容](https://ko-fi.com/post/Support-this-project-and-get-access-to-supporter-o-X8X5FVFZC)。**
|
||||
|
||||
开始使用自己的专属 VPN! :sparkles::tada::rocket::sparkles:
|
||||
|
||||
## 重要提示
|
||||
|
||||
**Windows 用户** 对于 IPsec/L2TP 模式,在首次连接之前需要 [修改注册表](docs/clients-zh.md#windows-错误-809),以解决 VPN 服务器或客户端与 NAT(比如家用路由器)的兼容问题。
|
||||
**Windows 用户** 对于 IPsec/L2TP 模式,在首次连接之前需要[修改注册表](docs/clients-zh.md#windows-错误-809),以解决 VPN 服务器或客户端与 NAT(比如家用路由器)的兼容问题。
|
||||
|
||||
同一个 VPN 账户可以在你的多个设备上使用。但是由于 IPsec/L2TP 的局限性,如果需要连接在同一个 NAT(比如家用路由器)后面的多个设备,你必须使用 [IKEv2](docs/ikev2-howto-zh.md) 或者 [IPsec/XAuth](docs/clients-xauth-zh.md) 模式。要查看或更改 VPN 用户账户,请参见 [管理 VPN 用户](docs/manage-users-zh.md)。
|
||||
同一个 VPN 账户可以在你的多个设备上使用。但是由于 IPsec/L2TP 的局限性,如果需要连接在同一个 NAT(比如家用路由器)后面的多个设备,你必须使用 [IKEv2](docs/ikev2-howto-zh.md) 或者 [IPsec/XAuth](docs/clients-xauth-zh.md) 模式。要查看或更改 VPN 用户账户,请参见[管理 VPN 用户](docs/manage-users-zh.md)。
|
||||
|
||||
对于有外部防火墙的服务器(比如 [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html)/[GCE](https://cloud.google.com/vpc/docs/firewalls)),请为 VPN 打开 UDP 端口 500 和 4500。阿里云用户请参见 [#433](https://github.com/hwdsl2/setup-ipsec-vpn/issues/433)。
|
||||
|
||||
在 VPN 已连接时,客户端配置为使用 [Google Public DNS](https://developers.google.com/speed/public-dns/)。如果偏好其它的域名解析服务,请参见 [高级用法](docs/advanced-usage-zh.md)。
|
||||
在 VPN 已连接时,客户端配置为使用 [Google Public DNS](https://developers.google.com/speed/public-dns/)。如果偏好其它的域名解析服务,请参见[高级用法](docs/advanced-usage-zh.md)。
|
||||
|
||||
使用内核支持有助于提高 IPsec/L2TP 性能。它在所有 [受支持的系统](#系统要求) 上可用。Ubuntu 系统需要安装 `linux-modules-extra-$(uname -r)` 软件包并运行 `service xl2tpd restart`。
|
||||
使用内核支持有助于提高 IPsec/L2TP 性能。它在所有[受支持的系统](#系统要求)上可用。Ubuntu 系统需要安装 `linux-modules-extra-$(uname -r)` 软件包并运行 `service xl2tpd restart`。
|
||||
|
||||
这些脚本在更改现有的配置文件之前会先做备份,使用 `.old-日期-时间` 为文件名后缀。
|
||||
|
||||
@@ -365,7 +365,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnupgrade.sh
|
||||
|
||||
## 管理 VPN 用户
|
||||
|
||||
请参见 [管理 VPN 用户](docs/manage-users-zh.md)。
|
||||
请参见[管理 VPN 用户](docs/manage-users-zh.md)。
|
||||
|
||||
- [使用辅助脚本管理 VPN 用户](docs/manage-users-zh.md#使用辅助脚本管理-vpn-用户)
|
||||
- [查看 VPN 用户](docs/manage-users-zh.md#查看-vpn-用户)
|
||||
@@ -374,7 +374,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnupgrade.sh
|
||||
|
||||
## 高级用法
|
||||
|
||||
请参见 [高级用法](docs/advanced-usage-zh.md)。
|
||||
请参见[高级用法](docs/advanced-usage-zh.md)。
|
||||
|
||||
- [使用其他的 DNS 服务器](docs/advanced-usage-zh.md#使用其他的-dns-服务器)
|
||||
- [域名和更改服务器 IP](docs/advanced-usage-zh.md#域名和更改服务器-ip)
|
||||
@@ -382,6 +382,7 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnupgrade.sh
|
||||
- [VPN 内网 IP 和流量](docs/advanced-usage-zh.md#vpn-内网-ip-和流量)
|
||||
- [指定 VPN 服务器的公有 IP](docs/advanced-usage-zh.md#指定-vpn-服务器的公有-ip)
|
||||
- [自定义 VPN 子网](docs/advanced-usage-zh.md#自定义-vpn-子网)
|
||||
- [IPv6 支持](docs/advanced-usage-zh.md#ipv6-支持)
|
||||
- [转发端口到 VPN 客户端](docs/advanced-usage-zh.md#转发端口到-vpn-客户端)
|
||||
- [VPN 分流](docs/advanced-usage-zh.md#vpn-分流)
|
||||
- [访问 VPN 服务器的网段](docs/advanced-usage-zh.md#访问-vpn-服务器的网段)
|
||||
@@ -418,20 +419,20 @@ https://gitlab.com/hwdsl2/setup-ipsec-vpn/-/raw/master/extras/vpnuninstall.sh
|
||||
```
|
||||
</details>
|
||||
|
||||
更多信息请参见 [卸载 VPN](docs/uninstall-zh.md)。
|
||||
更多信息请参见[卸载 VPN](docs/uninstall-zh.md)。
|
||||
|
||||
## 问题和反馈
|
||||
|
||||
- 如果你有对本项目的建议,请提交一个 [改进建议](https://github.com/hwdsl2/setup-ipsec-vpn/issues/new/choose),或者欢迎提交 [Pull request](https://github.com/hwdsl2/setup-ipsec-vpn/pulls)。
|
||||
- 如果你发现了一个可重复的程序漏洞,请为 [IPsec VPN](https://github.com/libreswan/libreswan/issues?q=is%3Aissue) 或者 [VPN 脚本](https://github.com/hwdsl2/setup-ipsec-vpn/issues/new/choose) 提交一个错误报告。
|
||||
- 有问题需要提问?请先搜索 [已有的 issues](https://github.com/hwdsl2/setup-ipsec-vpn/issues?q=is%3Aissue) 以及在 [这个 Gist](https://gist.github.com/hwdsl2/9030462#comments) 和 [我的博客](https://blog.ls20.com/ipsec-l2tp-vpn-auto-setup-for-ubuntu-12-04-on-amazon-ec2/#disqus_thread) 上已有的留言。
|
||||
- 如果你有对本项目的建议,请提交一个[改进建议](https://github.com/hwdsl2/setup-ipsec-vpn/issues/new/choose),或者欢迎提交 [Pull request](https://github.com/hwdsl2/setup-ipsec-vpn/pulls)。
|
||||
- 如果你发现了一个可重复的程序漏洞,请为 [IPsec VPN](https://github.com/libreswan/libreswan/issues?q=is%3Aissue) 或者 [VPN 脚本](https://github.com/hwdsl2/setup-ipsec-vpn/issues/new/choose)提交一个错误报告。
|
||||
- 有问题需要提问?请先搜索[已有的 issues](https://github.com/hwdsl2/setup-ipsec-vpn/issues?q=is%3Aissue) 以及在[这个 Gist](https://gist.github.com/hwdsl2/9030462#comments) 和[我的博客](https://blog.ls20.com/ipsec-l2tp-vpn-auto-setup-for-ubuntu-12-04-on-amazon-ec2/#disqus_thread)上已有的留言。
|
||||
- VPN 的相关问题可在 [Libreswan](https://lists.libreswan.org) 或 [strongSwan](https://lists.strongswan.org) 邮件列表提问,或者参考这些网站:[[1]](https://libreswan.org/wiki/Main_Page) [[2]](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-securing_virtual_private_networks) [[3]](https://wiki.strongswan.org/projects/strongswan/wiki/UserDocumentation) [[4]](https://wiki.gentoo.org/wiki/IPsec_L2TP_VPN_server) [[5]](https://wiki.archlinux.org/index.php/Openswan_L2TP/IPsec_VPN_client_setup)。
|
||||
|
||||
## 授权协议
|
||||
|
||||
版权所有 (C) 2014-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
版权所有 (C) 2014-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
基于 [Thomas Sarlandie 的工作](https://github.com/sarfata/voodooprivacy) (版权所有 2012)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
这个项目是以 [知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
这个项目是以[知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
必须署名: 请包括我的名字在任何衍生产品,并且让我知道你是如何改善它的!
|
||||
|
||||
@@ -382,6 +382,7 @@ See [Advanced usage](docs/advanced-usage.md).
|
||||
- [Internal VPN IPs and traffic](docs/advanced-usage.md#internal-vpn-ips-and-traffic)
|
||||
- [Specify VPN server's public IP](docs/advanced-usage.md#specify-vpn-servers-public-ip)
|
||||
- [Customize VPN subnets](docs/advanced-usage.md#customize-vpn-subnets)
|
||||
- [IPv6 support](docs/advanced-usage.md#ipv6-support)
|
||||
- [Port forwarding to VPN clients](docs/advanced-usage.md#port-forwarding-to-vpn-clients)
|
||||
- [Split tunneling](docs/advanced-usage.md#split-tunneling)
|
||||
- [Access VPN server's subnet](docs/advanced-usage.md#access-vpn-servers-subnet)
|
||||
@@ -429,7 +430,7 @@ For more information, see [Uninstall the VPN](docs/uninstall.md).
|
||||
|
||||
## License
|
||||
|
||||
Copyright (C) 2014-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Copyright (C) 2014-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Based on [the work of Thomas Sarlandie](https://github.com/sarfata/voodooprivacy) (Copyright 2012)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
|
||||
@@ -2,7 +2,7 @@
|
||||
|
||||
# 使用 CloudFormation 在 Amazon EC2 上部署
|
||||
|
||||
使用这个模板,你可以在 Amazon Elastic Compute Cloud(Amazon EC2)上快速搭建一个 IPsec VPN 服务器。在继续之前,请参见 EC2 [定价细节](https://aws.amazon.com/cn/ec2/pricing/on-demand/)。在部署中使用 `t2.micro` 或 `t3.micro` 服务器实例可能符合 [AWS 免费套餐](https://aws.amazon.com/cn/free/) 的资格。
|
||||
使用这个模板,你可以在 Amazon Elastic Compute Cloud(Amazon EC2)上快速搭建一个 IPsec VPN 服务器。在继续之前,请参见 EC2 [定价细节](https://aws.amazon.com/cn/ec2/pricing/on-demand/)。在部署中使用 `t2.micro` 或 `t3.micro` 服务器实例可能符合 [AWS 免费套餐](https://aws.amazon.com/cn/free/)的资格。
|
||||
|
||||
可用的自定义参数:
|
||||
|
||||
|
||||
@@ -2,7 +2,7 @@
|
||||
|
||||
# 在 Microsoft Azure 上部署
|
||||
|
||||
使用这个模板,你可以在 Microsoft Azure Cloud 上快速搭建一个 VPN 服务器 ([定价细节](https://azure.microsoft.com/zh-cn/pricing/details/virtual-machines/))。
|
||||
使用这个模板,你可以在 Microsoft Azure Cloud 上快速搭建一个 VPN 服务器([定价细节](https://azure.microsoft.com/zh-cn/pricing/details/virtual-machines/))。
|
||||
|
||||
可根据偏好设置以下选项:
|
||||
|
||||
@@ -20,7 +20,7 @@
|
||||
|
||||
在完成部署之后,Azure 会有提示。下一步:[配置 VPN 客户端](../README-zh.md#下一步)。
|
||||
|
||||
**注:** 在使用 SSH 连接到服务器时,请使用你在部署模板中指定的用户名和密码。如果要添加或者导出 IKEv2 客户端,运行 `sudo ikev2.sh`。如果你在输入正确的登录凭证后仍然无法使用 SSH 连接到服务器,请参见 [解决与 Azure Linux VM 的 SSH 连接失败、出错或被拒绝的问题](https://learn.microsoft.com/zh-cn/troubleshoot/azure/virtual-machines/linux/troubleshoot-ssh-connection) 和/或 [无法 SSH 到 Azure Linux VM,因为权限太开放](https://learn.microsoft.com/zh-cn/troubleshoot/azure/virtual-machines/linux/troubleshoot-ssh-permissions-too-open)。
|
||||
**注:** 在使用 SSH 连接到服务器时,请使用你在部署模板中指定的用户名和密码。如果要添加或者导出 IKEv2 客户端,运行 `sudo ikev2.sh`。如果你在输入正确的登录凭证后仍然无法使用 SSH 连接到服务器,请参见[解决与 Azure Linux VM 的 SSH 连接失败、出错或被拒绝的问题](https://learn.microsoft.com/zh-cn/troubleshoot/azure/virtual-machines/linux/troubleshoot-ssh-connection)和/或[无法 SSH 到 Azure Linux VM,因为权限太开放](https://learn.microsoft.com/zh-cn/troubleshoot/azure/virtual-machines/linux/troubleshoot-ssh-permissions-too-open)。
|
||||
|
||||
## 作者
|
||||
|
||||
|
||||
@@ -44,19 +44,19 @@
|
||||
|
||||
对于 [IPsec/L2TP](clients-zh.md) 和 [IPsec/XAuth ("Cisco IPsec")](clients-xauth-zh.md) 模式,你可以在不需要额外配置的情况下使用一个域名(比如 `vpn.example.com`)而不是 IP 地址连接到 VPN 服务器。另外,一般来说,在服务器的 IP 更改后,比如在恢复一个映像到具有不同 IP 的新服务器后,VPN 会继续正常工作,虽然可能需要重启服务器。
|
||||
|
||||
对于 [IKEv2](ikev2-howto-zh.md) 模式,如果你想要 VPN 在服务器的 IP 更改后继续正常工作,参见 [这一小节](ikev2-howto-zh.md#更改-ikev2-服务器地址)。或者,你也可以在 [配置 IKEv2](ikev2-howto-zh.md#使用辅助脚本配置-ikev2) 时指定一个域名作为 IKEv2 服务器地址。该域名必须是一个全称域名(FQDN)。示例如下:
|
||||
对于 [IKEv2](ikev2-howto-zh.md) 模式,如果你想要 VPN 在服务器的 IP 更改后继续正常工作,参见[这一小节](ikev2-howto-zh.md#更改-ikev2-服务器地址)。或者,你也可以在[配置 IKEv2](ikev2-howto-zh.md#使用辅助脚本配置-ikev2) 时指定一个域名作为 IKEv2 服务器地址。该域名必须是一个全称域名(FQDN)。示例如下:
|
||||
|
||||
```
|
||||
sudo VPN_DNS_NAME='vpn.example.com' ikev2.sh --auto
|
||||
```
|
||||
|
||||
另外,你也可以自定义 IKEv2 选项,通过在运行 [辅助脚本](ikev2-howto-zh.md#使用辅助脚本配置-ikev2) 时去掉 `--auto` 参数来实现。
|
||||
另外,你也可以自定义 IKEv2 选项,通过在运行[辅助脚本](ikev2-howto-zh.md#使用辅助脚本配置-ikev2)时去掉 `--auto` 参数来实现。
|
||||
|
||||
## 仅限 IKEv2 的 VPN
|
||||
|
||||
使用 Libreswan 4.2 或更新版本,高级用户可以为 VPN 服务器启用仅限 IKEv2 模式。当启用该模式时,VPN 客户端仅能使用 IKEv2 连接到 VPN 服务器。所有的 IKEv1 连接(包括 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式)将被丢弃。
|
||||
|
||||
要启用仅限 IKEv2 模式,首先按照 [自述文件](../README-zh.md) 中的说明安装 VPN 服务器并且配置 IKEv2。然后运行 [辅助脚本](../extras/ikev2onlymode.sh) 并按提示操作。
|
||||
要启用仅限 IKEv2 模式,首先按照[自述文件](../README-zh.md)中的说明安装 VPN 服务器并且配置 IKEv2。然后运行[辅助脚本](../extras/ikev2onlymode.sh)并按提示操作。
|
||||
|
||||
```bash
|
||||
wget https://get.vpnsetup.net/ikev2only -O ikev2only.sh
|
||||
@@ -70,7 +70,7 @@ sudo bash ikev2only.sh
|
||||
另外,你也可以手动启用仅限 IKEv2 模式。
|
||||
</summary>
|
||||
|
||||
另外,你也可以手动启用仅限 IKEv2 模式。首先使用 `ipsec --version` 命令检查 Libreswan 版本,并 [更新 Libreswan](../README-zh.md#升级libreswan)(如果需要)。然后编辑 VPN 服务器上的 `/etc/ipsec.conf`。将 `ikev1-policy=accept` 替换为 `ikev1-policy=drop`。如果该行不存在,则在 `config setup` 小节的末尾添加 `ikev1-policy=drop`,开头必须空两格。保存文件并运行 `service ipsec restart`。在完成后,你可以使用 `ipsec status` 命令来验证仅启用了 `ikev2-cp` 连接。
|
||||
另外,你也可以手动启用仅限 IKEv2 模式。首先使用 `ipsec --version` 命令检查 Libreswan 版本,并[更新 Libreswan](../README-zh.md#升级libreswan)(如果需要)。然后编辑 VPN 服务器上的 `/etc/ipsec.conf`。将 `ikev1-policy=accept` 替换为 `ikev1-policy=drop`。如果该行不存在,则在 `config setup` 小节的末尾添加 `ikev1-policy=drop`,开头必须空两格。保存文件并运行 `service ipsec restart`。在完成后,你可以使用 `ipsec status` 命令来验证仅启用了 `ikev2-cp` 连接。
|
||||
</details>
|
||||
|
||||
## VPN 内网 IP 和流量
|
||||
@@ -90,7 +90,7 @@ IPsec/L2TP 模式:为 VPN 客户端分配静态 IP
|
||||
|
||||
下面的示例 **仅适用于** IPsec/L2TP 模式。这些命令必须用 `root` 账户运行。
|
||||
|
||||
1. 首先为要分配静态 IP 的每个 VPN 客户端创建一个新的 VPN 用户。参见 [管理 VPN 用户](manage-users-zh.md)。该文档包含辅助脚本,以方便管理 VPN 用户。
|
||||
1. 首先为要分配静态 IP 的每个 VPN 客户端创建一个新的 VPN 用户。参见[管理 VPN 用户](manage-users-zh.md)。该文档包含辅助脚本,以方便管理 VPN 用户。
|
||||
1. 编辑 VPN 服务器上的 `/etc/xl2tpd/xl2tpd.conf`。将 `ip range = 192.168.42.10-192.168.42.250` 替换为比如 `ip range = 192.168.42.100-192.168.42.250`。这样可以缩小自动分配的 IP 地址池,从而使更多的 IP 可以作为静态 IP 分配给客户端。
|
||||
1. 编辑 VPN 服务器上的 `/etc/ppp/chap-secrets`。例如,如果文件内容是:
|
||||
```
|
||||
@@ -120,7 +120,7 @@ IPsec/XAuth ("Cisco IPsec") 模式:为 VPN 客户端分配静态 IP
|
||||
|
||||
下面的示例 **仅适用于** IPsec/XAuth ("Cisco IPsec") 模式。这些命令必须用 `root` 账户运行。
|
||||
|
||||
1. 首先为要分配静态 IP 的每个 VPN 客户端创建一个新的 VPN 用户。参见 [管理 VPN 用户](manage-users-zh.md)。该文档包含辅助脚本,以方便管理 VPN 用户。
|
||||
1. 首先为要分配静态 IP 的每个 VPN 客户端创建一个新的 VPN 用户。参见[管理 VPN 用户](manage-users-zh.md)。该文档包含辅助脚本,以方便管理 VPN 用户。
|
||||
1. 编辑 VPN 服务器上的 `/etc/ipsec.conf`。将 `rightaddresspool=192.168.43.10-192.168.43.250` 替换为比如 `rightaddresspool=192.168.43.100-192.168.43.250`。这样可以缩小自动分配的 IP 地址池,从而使更多的 IP 可以作为静态 IP 分配给客户端。
|
||||
1. 编辑 VPN 服务器上的 `/etc/ipsec.d/ikev2.conf`(如果存在)。将 `rightaddresspool=192.168.43.10-192.168.43.250` 替换为与上一步 **相同的值**。
|
||||
1. 编辑 VPN 服务器上的 `/etc/ipsec.d/passwd`。例如,如果文件内容是:
|
||||
@@ -151,7 +151,7 @@ IKEv2 模式:为 VPN 客户端分配静态 IP
|
||||
|
||||
下面的示例 **仅适用于** IKEv2 模式。这些命令必须用 `root` 账户运行。
|
||||
|
||||
1. 首先为要分配静态 IP 的每个客户端创建一个新的 IKEv2 客户端证书,并且在纸上记下每个客户端的名称。参见 [添加客户端证书](ikev2-howto-zh.md#添加客户端证书)。
|
||||
1. 首先为要分配静态 IP 的每个客户端创建一个新的 IKEv2 客户端证书,并且在纸上记下每个客户端的名称。参见[添加客户端证书](ikev2-howto-zh.md#添加客户端证书)。
|
||||
1. 编辑 VPN 服务器上的 `/etc/ipsec.d/ikev2.conf`。将 `rightaddresspool=192.168.43.10-192.168.43.250` 替换为比如 `rightaddresspool=192.168.43.100-192.168.43.250`。这样可以缩小自动分配的 IP 地址池,从而使更多的 IP 可以作为静态 IP 分配给客户端。
|
||||
1. 编辑 VPN 服务器上的 `/etc/ipsec.conf`。将 `rightaddresspool=192.168.43.10-192.168.43.250` 替换为与上一步 **相同的值**。
|
||||
1. 再次编辑 VPN 服务器上的 `/etc/ipsec.d/ikev2.conf`。例如,如果文件内容是:
|
||||
@@ -210,7 +210,7 @@ iptables -I FORWARD 5 -s 192.168.43.0/24 -o ppp+ -j DROP
|
||||
sudo VPN_PUBLIC_IP=192.0.2.2 sh vpn.sh
|
||||
```
|
||||
|
||||
请注意,如果在服务器上已经配置了 IKEv2,则此变量对 IKEv2 模式无效。在这种情况下,你可以移除 IKEv2 并使用自定义选项重新配置它。参见 [使用辅助脚本配置 IKEv2](ikev2-howto-zh.md#使用辅助脚本配置-ikev2)。
|
||||
请注意,如果在服务器上已经配置了 IKEv2,则此变量对 IKEv2 模式无效。在这种情况下,你可以移除 IKEv2 并使用自定义选项重新配置它。参见[使用辅助脚本配置 IKEv2](ikev2-howto-zh.md#使用辅助脚本配置-ikev2)。
|
||||
|
||||
如果你想要 VPN 客户端在 VPN 连接处于活动状态时使用指定的公有 IP 作为其 "出站 IP",并且指定的 IP **不是** 服务器上的主 IP(或默认路由),则可能需要额外的配置。在这种情况下,你可能需要更改服务器上的 IPTables 规则。如果要在重启后继续有效,你可以将这些命令添加到 `/etc/rc.local`。
|
||||
|
||||
@@ -229,7 +229,7 @@ iptables -t nat -I POSTROUTING -s 192.168.42.0/24 -o "$netif" -j SNAT --to 192.0
|
||||
|
||||
**注:** 以上方法仅适用于服务器的默认网络接口对应多个公有 IP 的情况。如果服务器有多个网络接口,对应不同的公有 IP,则此方法无效。
|
||||
|
||||
要检查一个已连接的 VPN 客户端的 "出站 IP",你可以在该客户端上打开浏览器并到 [这里](https://www.ipchicken.com) 检测 IP 地址。
|
||||
要检查一个已连接的 VPN 客户端的 "出站 IP",你可以在该客户端上打开浏览器并到[这里](https://www.ipchicken.com)检测 IP 地址。
|
||||
|
||||
## 自定义 VPN 子网
|
||||
|
||||
@@ -237,7 +237,7 @@ iptables -t nat -I POSTROUTING -s 192.168.42.0/24 -o "$netif" -j SNAT --to 192.0
|
||||
|
||||
对于大多数用例,没有必要也 **不建议** 自定义这些子网。但是,如果你的用例需要它,你可以在安装 VPN 时指定自定义子网。
|
||||
|
||||
**重要:** 你只能在 **初始 VPN 安装时** 指定自定义子网。如果 IPsec VPN 已安装,你 **必须** 首先 [卸载 VPN](uninstall-zh.md),然后指定自定义子网并重新安装。否则,VPN 可能会停止工作。
|
||||
**重要:** 你只能在 **初始 VPN 安装时** 指定自定义子网。如果 IPsec VPN 已安装,你 **必须** 首先[卸载 VPN](uninstall-zh.md),然后指定自定义子网并重新安装。否则,VPN 可能会停止工作。
|
||||
|
||||
```
|
||||
# 示例:为 IPsec/L2TP 模式指定自定义 VPN 子网
|
||||
@@ -358,7 +358,7 @@ IKEv2 模式:启用 VPN 分流 (split tunneling)
|
||||
service ipsec restart
|
||||
```
|
||||
|
||||
**注:** 高级用户可以为特定的 IKEv2 客户端设置不同的 VPN 分流配置。请参见 [VPN 内网 IP 和流量](#vpn-内网-ip-和流量) 部分并展开 "IKEv2 模式:为 VPN 客户端分配静态 IP"。在该部分中的示例的基础上,你可以将 `leftsubnet=...` 选项添加到特定 IKEv2 客户端的 `conn` 小节,然后重启 IPsec 服务。
|
||||
**注:** 高级用户可以为特定的 IKEv2 客户端设置不同的 VPN 分流配置。请参见 [VPN 内网 IP 和流量](#vpn-内网-ip-和流量)部分并展开 "IKEv2 模式:为 VPN 客户端分配静态 IP"。在该部分中的示例的基础上,你可以将 `leftsubnet=...` 选项添加到特定 IKEv2 客户端的 `conn` 小节,然后重启 IPsec 服务。
|
||||
</details>
|
||||
|
||||
另外,Windows 用户也可以通过手动添加路由的方式启用 VPN 分流:
|
||||
@@ -420,7 +420,7 @@ iptables -t nat -I POSTROUTING -s 192.168.42.0/24 -o "$netif" -j MASQUERADE
|
||||
route add -net 192.168.43.0 netmask 255.255.255.0 gw 10.1.0.2 dev eth0
|
||||
```
|
||||
|
||||
在 [VPN 内网 IP 和流量](#vpn-内网-ip-和流量) 小节了解 VPN 内网 IP 的更多信息。
|
||||
在 [VPN 内网 IP 和流量](#vpn-内网-ip-和流量)小节了解 VPN 内网 IP 的更多信息。
|
||||
|
||||
## 更改 IPTables 规则
|
||||
|
||||
@@ -440,8 +440,8 @@ VPN 服务器搭建完成后,可以通过部署 Google BBR 拥塞控制算法
|
||||
|
||||
## 授权协议
|
||||
|
||||
版权所有 (C) 2021-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
版权所有 (C) 2021-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
这个项目是以 [知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
这个项目是以[知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
必须署名: 请包括我的名字在任何衍生产品,并且让我知道你是如何改善它的!
|
||||
|
||||
@@ -441,7 +441,7 @@ For detailed deployment methods, please refer to [this document](bbr.md).
|
||||
|
||||
## License
|
||||
|
||||
Copyright (C) 2021-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Copyright (C) 2021-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
This work is licensed under the [Creative Commons Attribution-ShareAlike 3.0 Unported License](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
|
||||
@@ -2,7 +2,7 @@
|
||||
|
||||
# 配置 IPsec/XAuth VPN 客户端
|
||||
|
||||
在成功 [搭建自己的 VPN 服务器](../README-zh.md) 之后,按照下面的步骤来配置你的设备。IPsec/XAuth ("Cisco IPsec") 在 Android, iOS 和 OS X 上均受支持,无需安装额外的软件。Windows 用户可以使用免费的 [Shrew Soft 客户端](https://www.shrew.net/download/vpn)。如果无法连接,请首先检查是否输入了正确的 VPN 登录凭证。
|
||||
在成功[搭建自己的 VPN 服务器](../README-zh.md)之后,按照下面的步骤来配置你的设备。IPsec/XAuth ("Cisco IPsec") 在 Android, iOS 和 OS X 上均受支持,无需安装额外的软件。Windows 用户可以使用免费的 [Shrew Soft 客户端](https://www.shrew.net/download/vpn)。如果无法连接,请首先检查是否输入了正确的 VPN 登录凭证。
|
||||
|
||||
IPsec/XAuth 模式也称为 "Cisco IPsec"。该模式通常能够比 IPsec/L2TP **更高效**地传输数据(较低的额外开销)。
|
||||
|
||||
@@ -34,9 +34,9 @@ IPsec/XAuth 模式也称为 "Cisco IPsec"。该模式通常能够比 IPsec/L2TP
|
||||
1. 在 **Password** 字段中输入`你的 VPN 密码`。
|
||||
1. 单击 **Connect**。
|
||||
|
||||
连接成功后,你会在 VPN Connect 状态窗口中看到 **tunnel enabled** 字样。单击 "Network" 选项卡,并确认 **Established - 1** 显示在 "Security Associations" 下面。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,你会在 VPN Connect 状态窗口中看到 **tunnel enabled** 字样。单击 "Network" 选项卡,并确认 **Established - 1** 显示在 "Security Associations" 下面。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
|
||||
## OS X (macOS)
|
||||
|
||||
@@ -57,9 +57,9 @@ IPsec/XAuth 模式也称为 "Cisco IPsec"。该模式通常能够比 IPsec/L2TP
|
||||
1. 单击 **创建** 保存 VPN 连接信息。
|
||||
1. 如果要在菜单栏显示 VPN 状态并快速访问相关设置,你可以转到系统设置的控制中心部分,滚动到页面底部并在 **VPN** 下拉菜单选择 **在菜单栏中显示**。
|
||||
|
||||
要连接到 VPN:使用菜单栏中的图标,或者打开系统设置的 **VPN** 部分并启用 VPN 连接。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:使用菜单栏中的图标,或者打开系统设置的 **VPN** 部分并启用 VPN 连接。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
|
||||
### macOS 12 (Monterey) 及以下
|
||||
|
||||
@@ -81,17 +81,17 @@ IPsec/XAuth 模式也称为 "Cisco IPsec"。该模式通常能够比 IPsec/L2TP
|
||||
1. 选中 **在菜单栏中显示 VPN 状态** 复选框。
|
||||
1. 单击 **应用** 保存 VPN 连接信息。
|
||||
|
||||
要连接到 VPN:使用菜单栏中的图标,或者打开系统偏好设置的网络部分,选择 VPN 并单击 **连接**。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:使用菜单栏中的图标,或者打开系统偏好设置的网络部分,选择 VPN 并单击 **连接**。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
|
||||
## Android
|
||||
|
||||
**重要:** Android 用户应该使用更安全的 [IKEv2 模式](ikev2-howto-zh.md) 连接(推荐)。Android 12+ 仅支持 IKEv2 模式。Android 系统自带的 VPN 客户端对 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式使用安全性较低的 `modp1024` (DH group 2)。
|
||||
**重要:** Android 用户应该使用更安全的 [IKEv2 模式](ikev2-howto-zh.md)连接(推荐)。Android 12+ 仅支持 IKEv2 模式。Android 系统自带的 VPN 客户端对 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式使用安全性较低的 `modp1024` (DH group 2)。
|
||||
|
||||
如果你仍然想用 IPsec/XAuth 模式连接,你必须首先编辑 VPN 服务器上的 `/etc/ipsec.conf` 并在 `ike=...` 一行的末尾加上 `,aes256-sha2;modp1024,aes128-sha1;modp1024` 字样。保存文件并运行 `service ipsec restart`。
|
||||
|
||||
Docker 用户:在 [你的 env 文件](https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md#如何使用本镜像) 中添加 `VPN_ENABLE_MODP1024=yes`,然后重新创建 Docker 容器。
|
||||
Docker 用户:在[你的 env 文件](https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md#如何使用本镜像)中添加 `VPN_ENABLE_MODP1024=yes`,然后重新创建 Docker 容器。
|
||||
|
||||
然后在你的 Android 设备上进行以下步骤:
|
||||
|
||||
@@ -111,9 +111,9 @@ Docker 用户:在 [你的 env 文件](https://github.com/hwdsl2/docker-ipsec-v
|
||||
1. 选中 **保存帐户信息** 复选框。
|
||||
1. 单击 **连接**。
|
||||
|
||||
连接成功后,会在通知栏显示图标。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,会在通知栏显示图标。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
|
||||
## iOS
|
||||
|
||||
@@ -131,9 +131,9 @@ Docker 用户:在 [你的 env 文件](https://github.com/hwdsl2/docker-ipsec-v
|
||||
1. 单击右上角的 **完成**。
|
||||
1. 启用 **VPN** 连接。
|
||||
|
||||
连接成功后,会在通知栏显示图标。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,会在通知栏显示图标。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](clients-zh.md#ikev1-故障排除)。
|
||||
|
||||
## Linux
|
||||
|
||||
@@ -158,7 +158,7 @@ Fedora 28 (和更新版本)和 CentOS 8/7 用户可以使用 `yum` 安装 `N
|
||||
1. 单击 **Add** 保存 VPN 连接信息。
|
||||
1. 启用 **VPN** 连接。
|
||||
|
||||
连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
### 其它 Linux
|
||||
|
||||
@@ -168,8 +168,8 @@ Fedora 28 (和更新版本)和 CentOS 8/7 用户可以使用 `yum` 安装 `N
|
||||
|
||||
注: 这个协议仅适用于本文档。
|
||||
|
||||
版权所有 (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
受到 [Joshua Lund 的工作](https://github.com/StreisandEffect/streisand/blob/6aa6b6b2735dd829ca8c417d72eb2768a89b6639/playbooks/roles/l2tp-ipsec/templates/instructions.md.j2) 的启发
|
||||
版权所有 (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
受到 [Joshua Lund 的工作](https://github.com/StreisandEffect/streisand/blob/6aa6b6b2735dd829ca8c417d72eb2768a89b6639/playbooks/roles/l2tp-ipsec/templates/instructions.md.j2)的启发
|
||||
|
||||
本程序为自由软件,在自由软件联盟发布的[ GNU 通用公共许可协议](https://www.gnu.org/licenses/gpl.html)的约束下,你可以对其进行再发布及修改。协议版本为第三版或(随你)更新的版本。
|
||||
|
||||
|
||||
@@ -168,7 +168,7 @@ Other Linux users can connect using [IPsec/L2TP](clients.md#linux) mode.
|
||||
|
||||
Note: This license applies to this document only.
|
||||
|
||||
Copyright (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Copyright (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Inspired by [the work of Joshua Lund](https://github.com/StreisandEffect/streisand/blob/6aa6b6b2735dd829ca8c417d72eb2768a89b6639/playbooks/roles/l2tp-ipsec/templates/instructions.md.j2)
|
||||
|
||||
This program is free software: you can redistribute it and/or modify it under the terms of the [GNU General Public License](https://www.gnu.org/licenses/gpl.html) as published by the Free Software Foundation, either version 3 of the License, or (at your option) any later version.
|
||||
|
||||
@@ -2,7 +2,7 @@
|
||||
|
||||
# 配置 IPsec/L2TP VPN 客户端
|
||||
|
||||
在成功 [搭建自己的 VPN 服务器](../README-zh.md) 之后,按照下面的步骤来配置你的设备。IPsec/L2TP 在 Android, iOS, OS X 和 Windows 上均受支持,无需安装额外的软件。设置过程通常只需要几分钟。如果无法连接,请首先检查是否输入了正确的 VPN 登录凭证。
|
||||
在成功[搭建自己的 VPN 服务器](../README-zh.md)之后,按照下面的步骤来配置你的设备。IPsec/L2TP 在 Android, iOS, OS X 和 Windows 上均受支持,无需安装额外的软件。设置过程通常只需要几分钟。如果无法连接,请首先检查是否输入了正确的 VPN 登录凭证。
|
||||
|
||||
---
|
||||
* 平台名称
|
||||
@@ -35,9 +35,9 @@
|
||||
|
||||
**注:** 在首次连接之前需要[修改一次注册表](#windows-错误-809),以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。
|
||||
|
||||
要连接到 VPN:单击 **连接** 按钮,或者单击系统托盘中的无线/网络图标,单击 **VPN**,然后选择新的 VPN 连接并单击 **连接**。如果出现提示,在登录窗口中输入 `你的 VPN 用户名` 和 `密码` ,并单击 **确定**。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:单击 **连接** 按钮,或者单击系统托盘中的无线/网络图标,单击 **VPN**,然后选择新的 VPN 连接并单击 **连接**。如果出现提示,在登录窗口中输入 `你的 VPN 用户名` 和 `密码` ,并单击 **确定**。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev1-故障排除)。
|
||||
|
||||
### Windows 10 and 8
|
||||
|
||||
@@ -59,9 +59,9 @@
|
||||
|
||||
**注:** 在首次连接之前需要[修改一次注册表](#windows-错误-809),以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。
|
||||
|
||||
要连接到 VPN:单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。如果出现提示,在登录窗口中输入 `你的 VPN 用户名` 和 `密码` ,并单击 **确定**。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。如果出现提示,在登录窗口中输入 `你的 VPN 用户名` 和 `密码` ,并单击 **确定**。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev1-故障排除)。
|
||||
|
||||
另外,除了按照以上步骤操作,你也可以运行下面的 Windows PowerShell 命令来创建 VPN 连接。将 `你的 VPN 服务器 IP` 和 `你的 VPN IPsec PSK` 换成你自己的值,用单引号括起来:
|
||||
|
||||
@@ -103,9 +103,9 @@ Add-VpnConnection -Name 'My IPsec VPN' -ServerAddress '你的 VPN 服务器 IP'
|
||||
|
||||
**注:** 在首次连接之前需要[修改一次注册表](#windows-错误-809),以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。
|
||||
|
||||
要连接到 VPN:单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。如果出现提示,在登录窗口中输入 `你的 VPN 用户名` 和 `密码` ,并单击 **确定**。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。如果出现提示,在登录窗口中输入 `你的 VPN 用户名` 和 `密码` ,并单击 **确定**。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev1-故障排除)。
|
||||
|
||||
## OS X (macOS)
|
||||
|
||||
@@ -130,9 +130,9 @@ Add-VpnConnection -Name 'My IPsec VPN' -ServerAddress '你的 VPN 服务器 IP'
|
||||
1. 单击 **创建** 保存 VPN 连接信息。
|
||||
1. 如果要在菜单栏显示 VPN 状态并快速访问相关设置,你可以转到系统设置的控制中心部分,滚动到页面底部并在 **VPN** 下拉菜单选择 **在菜单栏中显示**。
|
||||
|
||||
要连接到 VPN:使用菜单栏中的图标,或者打开系统设置的 **VPN** 部分并启用 VPN 连接。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:使用菜单栏中的图标,或者打开系统设置的 **VPN** 部分并启用 VPN 连接。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev1-故障排除)。
|
||||
|
||||
### macOS 12 (Monterey) 及以下
|
||||
|
||||
@@ -156,17 +156,17 @@ Add-VpnConnection -Name 'My IPsec VPN' -ServerAddress '你的 VPN 服务器 IP'
|
||||
1. **(重要)** 单击 **TCP/IP** 选项卡,并在 **配置IPv6** 部分中选择 **仅本地链接**。
|
||||
1. 单击 **好** 关闭高级设置,然后单击 **应用** 保存 VPN 连接信息。
|
||||
|
||||
要连接到 VPN:使用菜单栏中的图标,或者打开系统偏好设置的网络部分,选择 VPN 并单击 **连接**。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:使用菜单栏中的图标,或者打开系统偏好设置的网络部分,选择 VPN 并单击 **连接**。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev1-故障排除)。
|
||||
|
||||
## Android
|
||||
|
||||
**重要:** Android 用户应该使用更安全的 [IKEv2 模式](ikev2-howto-zh.md) 连接(推荐)。Android 12+ 仅支持 IKEv2 模式。Android 系统自带的 VPN 客户端对 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式使用安全性较低的 `modp1024` (DH group 2)。
|
||||
**重要:** Android 用户应该使用更安全的 [IKEv2 模式](ikev2-howto-zh.md)连接(推荐)。Android 12+ 仅支持 IKEv2 模式。Android 系统自带的 VPN 客户端对 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式使用安全性较低的 `modp1024` (DH group 2)。
|
||||
|
||||
如果你仍然想用 IPsec/L2TP 模式连接,你必须首先编辑 VPN 服务器上的 `/etc/ipsec.conf` 并在 `ike=...` 一行的末尾加上 `,aes256-sha2;modp1024,aes128-sha1;modp1024` 字样。保存文件并运行 `service ipsec restart`。
|
||||
|
||||
Docker 用户:在 [你的 env 文件](https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md#如何使用本镜像) 中添加 `VPN_ENABLE_MODP1024=yes`,然后重新创建 Docker 容器。
|
||||
Docker 用户:在[你的 env 文件](https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md#如何使用本镜像)中添加 `VPN_ENABLE_MODP1024=yes`,然后重新创建 Docker 容器。
|
||||
|
||||
然后在你的 Android 设备上进行以下步骤:
|
||||
|
||||
@@ -187,9 +187,9 @@ Docker 用户:在 [你的 env 文件](https://github.com/hwdsl2/docker-ipsec-v
|
||||
1. 选中 **保存帐户信息** 复选框。
|
||||
1. 单击 **连接**。
|
||||
|
||||
连接成功后,会在通知栏显示图标。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,会在通知栏显示图标。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev1-故障排除)。
|
||||
|
||||
## iOS
|
||||
|
||||
@@ -207,9 +207,9 @@ Docker 用户:在 [你的 env 文件](https://github.com/hwdsl2/docker-ipsec-v
|
||||
1. 单击右上角的 **完成**。
|
||||
1. 启用 **VPN** 连接。
|
||||
|
||||
连接成功后,会在通知栏显示图标。最后你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,会在通知栏显示图标。最后你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev1-故障排除)。
|
||||
|
||||
## Chrome OS
|
||||
|
||||
@@ -228,9 +228,9 @@ Docker 用户:在 [你的 env 文件](https://github.com/hwdsl2/docker-ipsec-v
|
||||
1. 启用 **保存身份信息和密码**。
|
||||
1. 单击 **连接**。
|
||||
|
||||
连接成功后,网络状态图标上会出现 VPN 指示。你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,网络状态图标上会出现 VPN 指示。你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev1-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev1-故障排除)。
|
||||
|
||||
## Linux
|
||||
|
||||
@@ -258,9 +258,9 @@ Ubuntu 18.04 和更新版本用户可以使用 `apt` 安装 [network-manager-l2t
|
||||
1. 单击 **OK**,然后单击 **Add** 保存 VPN 连接信息。
|
||||
1. 启用 **VPN** 连接。
|
||||
|
||||
如果在连接过程中遇到错误,请尝试 [这个解决方案](https://github.com/nm-l2tp/NetworkManager-l2tp/blob/2926ea0239fe970ff08cb8a7863f8cb519ece032/README.md#unable-to-establish-l2tp-connection-without-udp-source-port-1701)。
|
||||
如果在连接过程中遇到错误,请尝试[这个解决方案](https://github.com/nm-l2tp/NetworkManager-l2tp/blob/2926ea0239fe970ff08cb8a7863f8cb519ece032/README.md#unable-to-establish-l2tp-connection-without-udp-source-port-1701)。
|
||||
|
||||
连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
### Fedora 和 CentOS
|
||||
|
||||
@@ -268,11 +268,11 @@ Fedora 28(和更新版本)和 CentOS 8/7 用户可以使用 [IPsec/XAuth](cl
|
||||
|
||||
### 其它 Linux
|
||||
|
||||
首先看 [这里](https://github.com/nm-l2tp/NetworkManager-l2tp/wiki/Prebuilt-Packages) 以确认 `network-manager-l2tp` 和 `network-manager-l2tp-gnome` 软件包是否在你的 Linux 版本上可用。如果可用,安装它们(选择使用 strongSwan)并参见上面的说明。另外,你也可以使用命令行配置 Linux VPN 客户端。
|
||||
首先看[这里](https://github.com/nm-l2tp/NetworkManager-l2tp/wiki/Prebuilt-Packages)以确认 `network-manager-l2tp` 和 `network-manager-l2tp-gnome` 软件包是否在你的 Linux 版本上可用。如果可用,安装它们(选择使用 strongSwan)并参见上面的说明。另外,你也可以使用命令行配置 Linux VPN 客户端。
|
||||
|
||||
### 使用命令行配置 Linux VPN 客户端
|
||||
|
||||
高级用户可以使用命令行配置 Linux VPN 客户端。另外,你也可以使用 [IKEv2](ikev2-howto-zh.md) 模式连接(推荐),或者 [使用图形界面配置](#linux)。以下说明受到 [Peter Sanford 的工作](https://gist.github.com/psanford/42c550a1a6ad3cb70b13e4aaa94ddb1c) 的启发。这些命令必须在你的 VPN 客户端上使用 `root` 账户运行。
|
||||
高级用户可以使用命令行配置 Linux VPN 客户端。另外,你也可以使用 [IKEv2](ikev2-howto-zh.md) 模式连接(推荐),或者[使用图形界面配置](#linux)。以下说明受到 [Peter Sanford 的工作](https://gist.github.com/psanford/42c550a1a6ad3cb70b13e4aaa94ddb1c)的启发。这些命令必须在你的 VPN 客户端上使用 `root` 账户运行。
|
||||
|
||||
要配置 VPN 客户端,首先安装以下软件包:
|
||||
|
||||
@@ -415,7 +415,7 @@ ip route
|
||||
route add 你的VPN服务器的公有IP gw X.X.X.X
|
||||
```
|
||||
|
||||
如果你的 VPN 客户端是一个远程服务器,则必须从新的默认路由中排除你的本地电脑的公有 IP,以避免 SSH 会话被断开 (替换为[实际值](https://www.ipchicken.com)):
|
||||
如果你的 VPN 客户端是一个远程服务器,则必须从新的默认路由中排除你的本地电脑的公有 IP,以避免 SSH 会话被断开(替换为[实际值](https://www.ipchicken.com)):
|
||||
|
||||
```bash
|
||||
route add 你的本地电脑的公有IP gw X.X.X.X
|
||||
@@ -458,7 +458,7 @@ strongswan down myvpn
|
||||
|
||||
*其他语言版本: [English](clients.md#ikev1-troubleshooting), [中文](clients-zh.md#ikev1-故障排除)。*
|
||||
|
||||
**另见:** [IKEv2 故障排除](ikev2-howto-zh.md#ikev2-故障排除) 和 [高级用法](advanced-usage-zh.md)。
|
||||
**另见:** [IKEv2 故障排除](ikev2-howto-zh.md#ikev2-故障排除)和[高级用法](advanced-usage-zh.md)。
|
||||
|
||||
* [检查日志及 VPN 状态](#检查日志及-vpn-状态)
|
||||
* [Windows 错误 809](#windows-错误-809)
|
||||
@@ -523,7 +523,7 @@ ipsec trafficstatus
|
||||
|
||||
**注:** 仅当你使用 IPsec/L2TP 模式连接到 VPN 时,才需要进行下面的注册表更改。对于 [IKEv2](ikev2-howto-zh.md) 和 [IPsec/XAuth](clients-xauth-zh.md) 模式,**不需要** 进行此更改。
|
||||
|
||||
要解决此错误,在首次连接之前需要修改一次注册表,以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。请下载并导入下面的 `.reg` 文件,或者打开 [提升权限命令提示符](http://www.cnblogs.com/xxcanghai/p/4610054.html) 并运行以下命令。**完成后必须重启计算机。**
|
||||
要解决此错误,在首次连接之前需要修改一次注册表,以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。请下载并导入下面的 `.reg` 文件,或者打开[提升权限命令提示符](http://www.cnblogs.com/xxcanghai/p/4610054.html)并运行以下命令。**完成后必须重启计算机。**
|
||||
|
||||
- 适用于 Windows Vista, 7, 8, 10 和 11 ([下载 .reg 文件](https://github.com/hwdsl2/vpn-extras/releases/download/v1.0.0/Fix_VPN_Error_809_Windows_Vista_7_8_10_Reboot_Required.reg))
|
||||
|
||||
@@ -551,7 +551,7 @@ ipsec trafficstatus
|
||||
|
||||
> 错误 691:由于指定的用户名和/或密码无效而拒绝连接。下列条件可能会导致此情况:用户名和/或密码键入错误...
|
||||
|
||||
对于错误 789,点击 [这里](https://documentation.meraki.com/MX/Client_VPN/Guided_Client_VPN_Troubleshooting/Unable_to_Connect_to_Client_VPN_from_Some_Devices) 查看故障排除信息。对于错误 691,你可以尝试删除并重新创建 VPN 连接,按照本文档中的步骤操作。请确保输入了正确的 VPN 登录凭证。
|
||||
对于错误 789,点击[这里](https://documentation.meraki.com/MX/Client_VPN/Guided_Client_VPN_Troubleshooting/Unable_to_Connect_to_Client_VPN_from_Some_Devices)查看故障排除信息。对于错误 691,你可以尝试删除并重新创建 VPN 连接,按照本文档中的步骤操作。请确保输入了正确的 VPN 登录凭证。
|
||||
|
||||
### Windows 错误 628 或 766
|
||||
|
||||
@@ -587,7 +587,7 @@ ipsec trafficstatus
|
||||
|
||||
### Windows DNS 泄漏和 IPv6
|
||||
|
||||
Windows 8, 10 和 11 默认使用 "smart multi-homed name resolution" (智能多宿主名称解析)。如果你的因特网适配器的 DNS 服务器在本地网段上,在使用 Windows 自带的 IPsec VPN 客户端时可能会导致 "DNS 泄漏"。要解决这个问题,你可以 [禁用智能多宿主名称解析](https://www.neowin.net/news/guide-prevent-dns-leakage-while-using-a-vpn-on-windows-10-and-windows-8/),或者配置你的因特网适配器以使用在你的本地网段之外的 DNS 服务器(比如 8.8.8.8 和 8.8.4.4)。在完成后重启计算机。
|
||||
Windows 8, 10 和 11 默认使用 "smart multi-homed name resolution" (智能多宿主名称解析)。如果你的因特网适配器的 DNS 服务器在本地网段上,在使用 Windows 自带的 IPsec VPN 客户端时可能会导致 "DNS 泄漏"。要解决这个问题,你可以[禁用智能多宿主名称解析](https://www.neowin.net/news/guide-prevent-dns-leakage-while-using-a-vpn-on-windows-10-and-windows-8/),或者配置你的因特网适配器以使用在你的本地网段之外的 DNS 服务器(比如 8.8.8.8 和 8.8.4.4)。在完成后重启计算机。
|
||||
|
||||
另外,如果你的计算机启用了 IPv6,所有的 IPv6 流量(包括 DNS 请求)都将绕过 VPN。要在 Windows 上禁用 IPv6,请看[这里](https://support.microsoft.com/zh-cn/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users)。
|
||||
|
||||
@@ -632,10 +632,10 @@ OS X (macOS) 用户:如果可以成功地使用 IPsec/L2TP 模式连接,但
|
||||
|
||||
为了节约电池,iOS 设备 (iPhone/iPad) 在屏幕变黑(睡眠模式)之后会自动断开 Wi-Fi 连接。这会导致 IPsec VPN 断开。该行为是被[故意设计的](https://discussions.apple.com/thread/2333948)并且不能被配置。
|
||||
|
||||
如果需要 VPN 在设备唤醒后自动重连,你可以使用 [IKEv2](ikev2-howto-zh.md) 模式连接(推荐)并启用 "VPN On Demand" 功能。或者你也可以另外尝试使用 [OpenVPN](https://github.com/hwdsl2/openvpn-install/blob/master/README-zh.md),它支持 [一些选项](https://openvpn.net/vpn-server-resources/faq-regarding-openvpn-connect-ios/) 比如 "Reconnect on Wakeup" 和 "Seamless Tunnel"。
|
||||
如果需要 VPN 在设备唤醒后自动重连,你可以使用 [IKEv2](ikev2-howto-zh.md) 模式连接(推荐)并启用 "VPN On Demand" 功能。或者你也可以另外尝试使用 [OpenVPN](https://github.com/hwdsl2/openvpn-install/blob/master/README-zh.md),它支持[一些选项](https://openvpn.net/vpn-server-resources/faq-regarding-openvpn-connect-ios/)比如 "Reconnect on Wakeup" 和 "Seamless Tunnel"。
|
||||
|
||||
<a name="debian-10-内核"></a>
|
||||
Android 设备在进入睡眠模式后也会断开 Wi-Fi 连接。你可以尝试打开 "始终开启 VPN" 选项以保持连接。详情请看 [这里](https://support.google.com/android/answer/9089766?hl=zh-Hans)。
|
||||
Android 设备在进入睡眠模式后也会断开 Wi-Fi 连接。你可以尝试打开 "始终开启 VPN" 选项以保持连接。详情请看[这里](https://support.google.com/android/answer/9089766?hl=zh-Hans)。
|
||||
|
||||
### Debian 内核
|
||||
|
||||
@@ -647,8 +647,8 @@ Debian 用户:运行 `uname -r` 检查你的服务器的 Linux 内核版本。
|
||||
|
||||
注: 这个协议仅适用于本文档。
|
||||
|
||||
版权所有 (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
受到 [Joshua Lund 的工作](https://github.com/StreisandEffect/streisand/blob/6aa6b6b2735dd829ca8c417d72eb2768a89b6639/playbooks/roles/l2tp-ipsec/templates/instructions.md.j2) 的启发
|
||||
版权所有 (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
受到 [Joshua Lund 的工作](https://github.com/StreisandEffect/streisand/blob/6aa6b6b2735dd829ca8c417d72eb2768a89b6639/playbooks/roles/l2tp-ipsec/templates/instructions.md.j2)的启发
|
||||
|
||||
本程序为自由软件,在自由软件联盟发布的[ GNU 通用公共许可协议](https://www.gnu.org/licenses/gpl.html)的约束下,你可以对其进行再发布及修改。协议版本为第三版或(随你)更新的版本。
|
||||
|
||||
|
||||
@@ -645,7 +645,7 @@ To fix the issue with IPsec/L2TP mode, you may switch to the standard Linux kern
|
||||
|
||||
Note: This license applies to this document only.
|
||||
|
||||
Copyright (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Copyright (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Inspired by [the work of Joshua Lund](https://github.com/StreisandEffect/streisand/blob/6aa6b6b2735dd829ca8c417d72eb2768a89b6639/playbooks/roles/l2tp-ipsec/templates/instructions.md.j2)
|
||||
|
||||
This program is free software: you can redistribute it and/or modify it under the terms of the [GNU General Public License](https://www.gnu.org/licenses/gpl.html) as published by the Free Software Foundation, either version 3 of the License, or (at your option) any later version.
|
||||
|
||||
@@ -14,11 +14,11 @@
|
||||
|
||||
## 导言
|
||||
|
||||
现代操作系统支持 IKEv2 协议标准。因特网密钥交换(英语:Internet Key Exchange,简称 IKE 或 IKEv2)是一种网络协议,归属于 IPsec 协议族之下,用以创建安全关联 (Security Association, SA)。与 IKE 版本 1 相比较,IKEv2 的 [功能改进](https://en.wikipedia.org/wiki/Internet_Key_Exchange#Improvements_with_IKEv2) 包括比如通过 MOBIKE 实现 Standard Mobility 支持,以及更高的可靠性。
|
||||
现代操作系统支持 IKEv2 协议标准。因特网密钥交换(英语:Internet Key Exchange,简称 IKE 或 IKEv2)是一种网络协议,归属于 IPsec 协议族之下,用以创建安全关联 (Security Association, SA)。与 IKE 版本 1 相比较,IKEv2 的[功能改进](https://en.wikipedia.org/wiki/Internet_Key_Exchange#Improvements_with_IKEv2)包括比如通过 MOBIKE 实现 Standard Mobility 支持,以及更高的可靠性。
|
||||
|
||||
Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来对 IKEv2 客户端进行身份验证。该方法无需 IPsec PSK, 用户名或密码。它可以用于 Windows, macOS, iOS, Android, Chrome OS, Linux 和 RouterOS。
|
||||
|
||||
默认情况下,运行 VPN 安装脚本时会自动配置 IKEv2。如果你想了解有关配置 IKEv2 的更多信息,请参见 [使用辅助脚本配置 IKEv2](#使用辅助脚本配置-ikev2)。Docker 用户请看 [配置并使用 IKEv2 VPN](https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md#配置并使用-ikev2-vpn)。
|
||||
默认情况下,运行 VPN 安装脚本时会自动配置 IKEv2。如果你想了解有关配置 IKEv2 的更多信息,请参见[使用辅助脚本配置 IKEv2](#使用辅助脚本配置-ikev2)。Docker 用户请看[配置并使用 IKEv2 VPN](https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md#配置并使用-ikev2-vpn)。
|
||||
|
||||
## 配置 IKEv2 VPN 客户端
|
||||
|
||||
@@ -37,7 +37,7 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
了解如何更改 IKEv2 服务器地址。
|
||||
</summary>
|
||||
|
||||
在某些情况下,你可能需要更改 IKEv2 服务器地址,例如切换为使用域名,或者在服务器的 IP 更改之后。要了解更多信息,参见 [这一小节](#更改-ikev2-服务器地址)。
|
||||
在某些情况下,你可能需要更改 IKEv2 服务器地址,例如切换为使用域名,或者在服务器的 IP 更改之后。要了解更多信息,参见[这一小节](#更改-ikev2-服务器地址)。
|
||||
</details>
|
||||
|
||||
### Windows 7, 8, 10 和 11
|
||||
@@ -53,9 +53,9 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
1. 右键单击保存的脚本,选择 **属性**。单击对话框下方的 **解除锁定**,然后单击 **确定**。
|
||||
1. 右键单击保存的脚本,选择 **以管理员身份运行** 并按提示操作。
|
||||
|
||||
要连接到 VPN:单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev2-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev2-故障排除)。
|
||||
|
||||
**注:** 如果你重新安装了 VPN 服务器,你可能需要先删除现有的 IKEv2 客户端和 CA 证书,然后按照上述步骤导入新的 `.p12` 文件。这有助于确保 Windows 在连接到 VPN 时使用正确的客户端证书。有关详细信息,请参阅下面的 "删除 IKEv2 VPN 连接"。
|
||||
|
||||
@@ -67,7 +67,7 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
|
||||
1. 将生成的 `.p12` 文件安全地传送到你的计算机,然后导入到证书存储。
|
||||
|
||||
要导入 `.p12` 文件,打开 [提升权限命令提示符](http://www.cnblogs.com/xxcanghai/p/4610054.html) 并运行以下命令:
|
||||
要导入 `.p12` 文件,打开[提升权限命令提示符](http://www.cnblogs.com/xxcanghai/p/4610054.html)并运行以下命令:
|
||||
|
||||
```console
|
||||
# 导入 .p12 文件(换成你自己的值)
|
||||
@@ -76,7 +76,7 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
|
||||
**注:** 如果客户端配置文件没有密码,请按回车键继续,或者在手动导入 `.p12` 文件时保持密码字段空白。
|
||||
|
||||
或者,你也可以 [手动导入 .p12 文件](https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs/9)。在导入证书后,确保将客户端证书放在 "个人 -> 证书" 目录中,并且将 CA 证书放在 "受信任的根证书颁发机构 -> 证书" 目录中。
|
||||
或者,你也可以[手动导入 .p12 文件](https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs/9)。在导入证书后,确保将客户端证书放在 "个人 -> 证书" 目录中,并且将 CA 证书放在 "受信任的根证书颁发机构 -> 证书" 目录中。
|
||||
|
||||
1. 在 Windows 计算机上添加一个新的 IKEv2 VPN 连接。
|
||||
|
||||
@@ -94,13 +94,13 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
-DHGroup Group14 -PassThru -Force^"
|
||||
```
|
||||
|
||||
**Windows 7** 不支持这些命令,你可以 [手动创建 VPN 连接](https://wiki.strongswan.org/projects/strongswan/wiki/Win7Config/8)。
|
||||
**Windows 7** 不支持这些命令,你可以[手动创建 VPN 连接](https://wiki.strongswan.org/projects/strongswan/wiki/Win7Config/8)。
|
||||
|
||||
**注:** 你输入的服务器地址必须与 IKEv2 辅助脚本输出中的服务器地址 **完全一致**。例如,如果你在配置 IKEv2 时指定了服务器的域名,则必须在 **Internet地址** 字段中输入该域名。
|
||||
|
||||
1. **此步骤为必须,如果你手动创建了 VPN 连接。**
|
||||
|
||||
为 IKEv2 启用更强的加密算法,通过修改一次注册表来实现。请下载并导入下面的 `.reg` 文件,或者打开提升权限命令提示符并运行以下命令。更多信息请看 [这里](https://docs.strongswan.org/docs/5.9/interop/windowsClients.html)。
|
||||
为 IKEv2 启用更强的加密算法,通过修改一次注册表来实现。请下载并导入下面的 `.reg` 文件,或者打开提升权限命令提示符并运行以下命令。更多信息请看[这里](https://docs.strongswan.org/docs/5.9/interop/windowsClients.html)。
|
||||
|
||||
- 适用于 Windows 7, 8, 10 和 11 ([下载 .reg 文件](https://github.com/hwdsl2/vpn-extras/releases/download/v1.0.0/Enable_Stronger_Ciphers_for_IKEv2_on_Windows.reg))
|
||||
|
||||
@@ -108,9 +108,9 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /t REG_DWORD /d 0x1 /f
|
||||
```
|
||||
|
||||
要连接到 VPN:单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
要连接到 VPN:单击系统托盘中的无线/网络图标,选择新的 VPN 连接,然后单击 **连接**。连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev2-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev2-故障排除)。
|
||||
|
||||
<details>
|
||||
<summary>
|
||||
@@ -152,7 +152,7 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
|
||||
(可选功能)启用 **VPN On Demand(按需连接)** 以在你的 Mac 连接到 Wi-Fi 时自动启动 VPN 连接。要启用它,选中 VPN 连接的 **按需连接** 复选框,然后单击 **应用**。对于 macOS Ventura 和更新版本,首先单击 VPN 连接右边的 "i" 图标,然后配置该选项。
|
||||
|
||||
你可以自定义按需连接规则,以排除某些 Wi-Fi 网络(例如你的家庭网络)。有关更多详细信息,请参阅 [:book: Book: 搭建自己的 VPN 服务器](https://ko-fi.com/post/Support-this-project-and-get-access-to-supporter-o-X8X5FVFZC) 中的 "指南:为 macOS 和 iOS 自定义 IKEv2 VPN On Demand 规则" 一章。
|
||||
你可以自定义按需连接规则,以排除某些 Wi-Fi 网络(例如你的家庭网络)。有关更多详细信息,请参阅 [:book: Book: 搭建自己的 VPN 服务器](https://ko-fi.com/post/Support-this-project-and-get-access-to-supporter-o-X8X5FVFZC)中的 "指南:为 macOS 和 iOS 自定义 IKEv2 VPN On Demand 规则" 一章。
|
||||
|
||||
<details>
|
||||
<summary>
|
||||
@@ -183,9 +183,9 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
1. 单击 **连接**。
|
||||
</details>
|
||||
|
||||
连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev2-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev2-故障排除)。
|
||||
|
||||
**注:** macOS 14 (Sonoma) 存在一个小问题,可能会导致 IKEv2 VPN 每 24-48 分钟断开并重新连接一次。其他 macOS 版本不受影响。有关详细信息和解决方法,请参阅 [macOS Sonoma 客户端重新连接](#macos-sonoma-客户端重新连接)。
|
||||
|
||||
@@ -204,7 +204,7 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
首先,将生成的 `.mobileconfig` 文件安全地传送到你的 iOS 设备,并且导入为 iOS 配置描述文件。要传送文件,你可以使用:
|
||||
|
||||
1. AirDrop(隔空投送),或者
|
||||
1. 使用 [文件共享](https://support.apple.com/zh-cn/HT210598) 功能上传到设备(任何 App 目录),然后打开 iOS 设备上的 "文件" App,将上传的文件移动到 "On My iPhone" 目录下。然后单击它并到 "设置" App 中导入,或者
|
||||
1. 使用[文件共享](https://support.apple.com/zh-cn/HT210598)功能上传到设备(任何 App 目录),然后打开 iOS 设备上的 "文件" App,将上传的文件移动到 "On My iPhone" 目录下。然后单击它并到 "设置" App 中导入,或者
|
||||
1. 将文件放在一个你的安全的托管网站上,然后在 Mobile Safari 中下载并导入它们。
|
||||
|
||||
在完成之后,检查并确保 "IKEv2 VPN" 显示在设置 -> 通用 -> VPN 与设备管理(或者描述文件)中。
|
||||
@@ -216,7 +216,7 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
|
||||
(可选功能)启用 **VPN On Demand(按需连接)** 以在你的 iOS 设备连接到 Wi-Fi 时自动启动 VPN 连接。要启用它,单击 VPN 连接右边的 "i" 图标,然后启用 **按需连接**。
|
||||
|
||||
你可以自定义按需连接规则,以排除某些 Wi-Fi 网络(例如你的家庭网络)。有关更多详细信息,请参阅 [:book: Book: 搭建自己的 VPN 服务器](https://ko-fi.com/post/Support-this-project-and-get-access-to-supporter-o-X8X5FVFZC) 中的 "指南:为 macOS 和 iOS 自定义 IKEv2 VPN On Demand 规则" 一章。
|
||||
你可以自定义按需连接规则,以排除某些 Wi-Fi 网络(例如你的家庭网络)。有关更多详细信息,请参阅 [:book: Book: 搭建自己的 VPN 服务器](https://ko-fi.com/post/Support-this-project-and-get-access-to-supporter-o-X8X5FVFZC)中的 "指南:为 macOS 和 iOS 自定义 IKEv2 VPN On Demand 规则" 一章。
|
||||
|
||||
<details>
|
||||
<summary>
|
||||
@@ -254,7 +254,7 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
首先,将生成的 `ca.cer` 和 `.p12` 文件安全地传送到你的 iOS 设备,并且逐个导入为 iOS 配置描述文件。要传送文件,你可以使用:
|
||||
|
||||
1. AirDrop(隔空投送),或者
|
||||
1. 使用 [文件共享](https://support.apple.com/zh-cn/HT210598) 功能上传到设备(任何 App 目录),然后打开 iOS 设备上的 "文件" App,将上传的文件移动到 "On My iPhone" 目录下。然后逐个单击它们并到 "设置" App 中导入,或者
|
||||
1. 使用[文件共享](https://support.apple.com/zh-cn/HT210598)功能上传到设备(任何 App 目录),然后打开 iOS 设备上的 "文件" App,将上传的文件移动到 "On My iPhone" 目录下。然后逐个单击它们并到 "设置" App 中导入,或者
|
||||
1. 将文件放在一个你的安全的托管网站上,然后在 Mobile Safari 中下载并导入它们。
|
||||
|
||||
在完成之后,检查并确保新的客户端证书和 `IKEv2 VPN CA` 都显示在设置 -> 通用 -> VPN 与设备管理(或者描述文件)中。
|
||||
@@ -275,9 +275,9 @@ Libreswan 支持通过使用 RSA 签名算法的 X.509 Machine Certificates 来
|
||||
1. 启用 **VPN** 连接。
|
||||
</details>
|
||||
|
||||
连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev2-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev2-故障排除)。
|
||||
|
||||
<details>
|
||||
<summary>
|
||||
@@ -353,9 +353,9 @@ Android 用户可以使用 strongSwan VPN 客户端连接(推荐)。
|
||||
1. 保存新的 VPN 连接,然后单击它以开始连接。
|
||||
</details>
|
||||
|
||||
连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev2-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev2-故障排除)。
|
||||
|
||||
#### 使用系统自带的 IKEv2 客户端
|
||||
|
||||
@@ -383,9 +383,9 @@ Android 11+ 用户也可以使用系统自带的 IKEv2 客户端连接。
|
||||
1. 在 **IPSec 服务器证书** 下拉菜单选择 **(来自服务器)**。
|
||||
1. 单击 **保存**。然后单击新的 VPN 连接并单击 **连接**。
|
||||
|
||||
连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev2-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev2-故障排除)。
|
||||
|
||||
### Chrome OS
|
||||
|
||||
@@ -423,11 +423,11 @@ sudo certutil -L -d sql:/etc/ipsec.d -n "IKEv2 VPN CA" -a -o ca.cer
|
||||
1. 启用 **保存身份信息和密码**。
|
||||
1. 单击 **连接**。
|
||||
|
||||
连接成功后,网络状态图标上会出现 VPN 指示。你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,网络状态图标上会出现 VPN 指示。你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
(可选功能)你可以选择启用 Chrome OS 上的 "始终开启的 VPN" 功能。要管理该设置,进入设置 -> 网络,然后单击 **VPN**。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev2-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev2-故障排除)。
|
||||
|
||||
### Linux
|
||||
|
||||
@@ -491,9 +491,9 @@ sudo chmod 600 ca.cer client.cer client.key
|
||||
|
||||
另外,你也可以使用命令行连接。示例步骤请参见 [#1399](https://github.com/hwdsl2/setup-ipsec-vpn/issues/1399)、[#1007](https://github.com/hwdsl2/setup-ipsec-vpn/issues/1007) 和 [#1789](https://github.com/hwdsl2/setup-ipsec-vpn/issues/1789)。如果你遇到错误 `Could not find source connection`,编辑 `/etc/netplan/01-netcfg.yaml` 并将 `renderer: networkd` 替换为 `renderer: NetworkManager`,然后运行 `sudo netplan apply`。如果使用 `nmcli` 连接到 VPN,运行 `sudo nmcli c up VPN`。要断开连接:`sudo nmcli c down VPN`。
|
||||
|
||||
连接成功后,你可以到 [这里](https://www.ipchicken.com) 检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
连接成功后,你可以到[这里](https://www.ipchicken.com)检测你的 IP 地址,应该显示为`你的 VPN 服务器 IP`。
|
||||
|
||||
如果在连接过程中遇到错误,请参见 [故障排除](#ikev2-故障排除)。
|
||||
如果在连接过程中遇到错误,请参见[故障排除](#ikev2-故障排除)。
|
||||
|
||||
### RouterOS
|
||||
|
||||
@@ -573,7 +573,7 @@ sudo chmod 600 ca.cer client.cer client.key
|
||||
|
||||
*其他语言版本: [English](ikev2-howto.md#ikev2-troubleshooting), [中文](ikev2-howto-zh.md#ikev2-故障排除)。*
|
||||
|
||||
**另见:** [检查日志及 VPN 状态](clients-zh.md#检查日志及-vpn-状态),[IKEv1 故障排除](clients-zh.md#ikev1-故障排除) 和 [高级用法](advanced-usage-zh.md)。
|
||||
**另见:** [检查日志及 VPN 状态](clients-zh.md#检查日志及-vpn-状态),[IKEv1 故障排除](clients-zh.md#ikev1-故障排除)和[高级用法](advanced-usage-zh.md)。
|
||||
|
||||
* [无法连接到 VPN 服务器](#无法连接到-vpn-服务器)
|
||||
* [Ubuntu 20.04 无法导入客户端配置](#ubuntu-2004-无法导入客户端配置)
|
||||
@@ -670,7 +670,7 @@ REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2
|
||||
|
||||
### 参数错误 parameter is incorrect
|
||||
|
||||
如果你在尝试使用 IKEv2 模式连接时遇到 "错误 87:参数错误 The parameter is incorrect",请尝试 [这个 Issue](https://github.com/trailofbits/algo/issues/1051) 中的解决方案,更具体地说,第 2 步 "reset device manager adapters"。
|
||||
如果你在尝试使用 IKEv2 模式连接时遇到 "错误 87:参数错误 The parameter is incorrect",请尝试[这个 Issue](https://github.com/trailofbits/algo/issues/1051) 中的解决方案,更具体地说,第 2 步 "reset device manager adapters"。
|
||||
|
||||
### 连接 IKEv2 后不能打开网站
|
||||
|
||||
@@ -685,7 +685,7 @@ REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2
|
||||
|
||||
此设置 **不会** 在重启后保持。要永久更改 MTU 大小,请参阅网络上的相关文章。
|
||||
|
||||
1. 如果你的 Android 或 Linux VPN 客户端可以连接到 IKEv2 但是无法打开网站,请尝试 [Android/Linux MTU/MSS 问题](clients-zh.md#androidlinux-mtumss-问题) 中的解决方案。
|
||||
1. 如果你的 Android 或 Linux VPN 客户端可以连接到 IKEv2 但是无法打开网站,请尝试 [Android/Linux MTU/MSS 问题](clients-zh.md#androidlinux-mtumss-问题)中的解决方案。
|
||||
|
||||
1. Windows VPN 客户端在连接后可能不使用 IKEv2 指定的 DNS 服务器,如果该客户端的因特网适配器的 DNS 服务器在本地网段上。要解决此问题,可以在网络连接属性 -> TCP/IPv4 中手动输入 DNS 服务器,例如 Google Public DNS (8.8.8.8, 8.8.4.4)。更多信息请参见 [Windows DNS 泄漏和 IPv6](clients-zh.md#windows-dns-泄漏和-ipv6)。
|
||||
|
||||
@@ -725,7 +725,7 @@ sudo ikev2.sh --listclients
|
||||
sudo ikev2.sh --addclient [client name]
|
||||
```
|
||||
|
||||
另外,你也可以手动添加客户端证书。参见 [这一小节](#手动配置-ikev2) 的第 4 步。
|
||||
另外,你也可以手动添加客户端证书。参见[这一小节](#手动配置-ikev2)的第 4 步。
|
||||
|
||||
### 导出已有的客户端的配置
|
||||
|
||||
@@ -876,7 +876,7 @@ sudo ikev2.sh --revokeclient [client name]
|
||||
CRL Extensions:
|
||||
```
|
||||
|
||||
**注:** 如果需要从 CRL 删除一个证书,可以将上面的 `addcert 3446275956 20200606220100Z` 替换为 `rmcert 3446275956`。关于 `crlutil` 的其它用法参见 [这里](https://firefox-source-docs.mozilla.org/security/nss/legacy/tools/nss_tools_crlutil/index.html)。
|
||||
**注:** 如果需要从 CRL 删除一个证书,可以将上面的 `addcert 3446275956 20200606220100Z` 替换为 `rmcert 3446275956`。关于 `crlutil` 的其它用法参见[这里](https://firefox-source-docs.mozilla.org/security/nss/legacy/tools/nss_tools_crlutil/index.html)。
|
||||
|
||||
1. 最后,让 Libreswan 重新读取已更新的 CRL。
|
||||
|
||||
@@ -889,7 +889,7 @@ sudo ikev2.sh --revokeclient [client name]
|
||||
|
||||
在某些情况下,你可能需要在配置之后更改 IKEv2 服务器地址。例如切换为使用域名,或者在服务器的 IP 更改之后。请注意,你在 VPN 客户端指定的服务器地址必须与 IKEv2 辅助脚本输出中的服务器地址 **完全一致**,否则客户端可能无法连接。
|
||||
|
||||
要更改服务器地址,运行 [辅助脚本](../extras/ikev2changeaddr.sh) 并按提示操作。
|
||||
要更改服务器地址,运行[辅助脚本](../extras/ikev2changeaddr.sh)并按提示操作。
|
||||
|
||||
```bash
|
||||
wget https://get.vpnsetup.net/ikev2addr -O ikev2addr.sh
|
||||
@@ -909,11 +909,11 @@ chmod +x /opt/src/ikev2.sh && ln -s /opt/src/ikev2.sh /usr/bin 2>/dev/null
|
||||
|
||||
## 使用辅助脚本配置 IKEv2
|
||||
|
||||
**注:** 默认情况下,运行 VPN 安装脚本时会自动配置 IKEv2。你可以跳过此部分并转到 [配置 IKEv2 VPN 客户端](#配置-ikev2-vpn-客户端)。
|
||||
**注:** 默认情况下,运行 VPN 安装脚本时会自动配置 IKEv2。你可以跳过此部分并转到[配置 IKEv2 VPN 客户端](#配置-ikev2-vpn-客户端)。
|
||||
|
||||
**重要:** 在继续之前,你应该已经成功地 [搭建自己的 VPN 服务器](../README-zh.md)。Docker 用户请看 [配置并使用 IKEv2 VPN](https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md#配置并使用-ikev2-vpn)。
|
||||
**重要:** 在继续之前,你应该已经成功地[搭建自己的 VPN 服务器](../README-zh.md)。Docker 用户请看[配置并使用 IKEv2 VPN](https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md#配置并使用-ikev2-vpn)。
|
||||
|
||||
使用这个 [辅助脚本](../extras/ikev2setup.sh) 来自动地在 VPN 服务器上配置 IKEv2:
|
||||
使用这个[辅助脚本](../extras/ikev2setup.sh)来自动地在 VPN 服务器上配置 IKEv2:
|
||||
|
||||
```bash
|
||||
# 使用默认选项配置 IKEv2
|
||||
@@ -922,9 +922,9 @@ sudo ikev2.sh --auto
|
||||
sudo ikev2.sh
|
||||
```
|
||||
|
||||
**注:** 如果已配置 IKEv2,但是你想要自定义 IKEv2 选项,首先 [移除 IKEv2](#移除-ikev2),然后运行 `sudo ikev2.sh` 重新配置。
|
||||
**注:** 如果已配置 IKEv2,但是你想要自定义 IKEv2 选项,首先[移除 IKEv2](#移除-ikev2),然后运行 `sudo ikev2.sh` 重新配置。
|
||||
|
||||
在完成之后,请转到 [配置 IKEv2 VPN 客户端](#配置-ikev2-vpn-客户端)。高级用户可以启用 [仅限 IKEv2 模式](advanced-usage-zh.md#仅限-ikev2-的-vpn)。这是可选的。
|
||||
在完成之后,请转到[配置 IKEv2 VPN 客户端](#配置-ikev2-vpn-客户端)。高级用户可以启用[仅限 IKEv2 模式](advanced-usage-zh.md#仅限-ikev2-的-vpn)。这是可选的。
|
||||
|
||||
<details>
|
||||
<summary>
|
||||
@@ -994,7 +994,7 @@ To customize IKEv2 or client options, run this script without arguments.
|
||||
|
||||
## 手动配置 IKEv2
|
||||
|
||||
除了使用 [辅助脚本](#使用辅助脚本配置-ikev2) 之外,高级用户也可以手动在 VPN 服务器上配置 IKEv2。在继续之前,推荐 [升级 Libreswan](../README-zh.md#升级libreswan) 到最新版本。
|
||||
除了使用[辅助脚本](#使用辅助脚本配置-ikev2)之外,高级用户也可以手动在 VPN 服务器上配置 IKEv2。在继续之前,推荐[升级 Libreswan](../README-zh.md#升级libreswan) 到最新版本。
|
||||
|
||||
下面举例说明如何手动在 Libreswan 上配置 IKEv2。以下命令必须用 `root` 账户运行。
|
||||
|
||||
@@ -1191,7 +1191,7 @@ To customize IKEv2 or client options, run this script without arguments.
|
||||
vpnclient u,u,u
|
||||
```
|
||||
|
||||
**注:** 如需显示证书内容,可使用 `certutil -L -d sql:/etc/ipsec.d -n "Nickname"`。要吊销客户端证书,请转到[这一节](#吊销客户端证书)。关于 `certutil` 的其它用法参见 [这里](https://firefox-source-docs.mozilla.org/security/nss/legacy/tools/nss_tools_certutil/index.html)。
|
||||
**注:** 如需显示证书内容,可使用 `certutil -L -d sql:/etc/ipsec.d -n "Nickname"`。要吊销客户端证书,请转到[这一节](#吊销客户端证书)。关于 `certutil` 的其它用法参见[这里](https://firefox-source-docs.mozilla.org/security/nss/legacy/tools/nss_tools_certutil/index.html)。
|
||||
|
||||
1. **(重要)重启 IPsec 服务**:
|
||||
|
||||
@@ -1210,7 +1210,7 @@ To customize IKEv2 or client options, run this script without arguments.
|
||||
sudo ikev2.sh --removeikev2
|
||||
```
|
||||
|
||||
在移除 IKEv2 之后,如果你想要重新配置 IKEv2,参见 [这一小节](#使用辅助脚本配置-ikev2)。
|
||||
在移除 IKEv2 之后,如果你想要重新配置 IKEv2,参见[这一小节](#使用辅助脚本配置-ikev2)。
|
||||
|
||||
<details>
|
||||
<summary>
|
||||
@@ -1278,8 +1278,8 @@ sudo ikev2.sh --removeikev2
|
||||
|
||||
## 授权协议
|
||||
|
||||
版权所有 (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
版权所有 (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
这个项目是以 [知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
这个项目是以[知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
必须署名: 请包括我的名字在任何衍生产品,并且让我知道你是如何改善它的!
|
||||
|
||||
@@ -1378,7 +1378,7 @@ To manually remove IKEv2 from the VPN server, but keep the [IPsec/L2TP](clients.
|
||||
|
||||
## License
|
||||
|
||||
Copyright (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Copyright (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
This work is licensed under the [Creative Commons Attribution-ShareAlike 3.0 Unported License](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
|
||||
@@ -2,7 +2,7 @@
|
||||
|
||||
# 管理 VPN 用户
|
||||
|
||||
在默认情况下,将只创建一个用于 VPN 登录的用户账户。如果你需要查看或管理 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式的用户,请阅读本文档。对于 IKEv2,参见 [管理 IKEv2 客户端](ikev2-howto-zh.md#管理-ikev2-客户端)。
|
||||
在默认情况下,将只创建一个用于 VPN 登录的用户账户。如果你需要查看或管理 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式的用户,请阅读本文档。对于 IKEv2,参见[管理 IKEv2 客户端](ikev2-howto-zh.md#管理-ikev2-客户端)。
|
||||
|
||||
* [使用辅助脚本管理 VPN 用户](#使用辅助脚本管理-vpn-用户)
|
||||
* [查看 VPN 用户](#查看-vpn-用户)
|
||||
@@ -11,7 +11,7 @@
|
||||
|
||||
## 使用辅助脚本管理 VPN 用户
|
||||
|
||||
你可以使用辅助脚本添加,删除或者更新 VPN 用户。它们将同时更新 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式的用户。对于 IKEv2,参见 [管理 IKEv2 客户端](ikev2-howto-zh.md#管理-ikev2-客户端)。
|
||||
你可以使用辅助脚本添加,删除或者更新 VPN 用户。它们将同时更新 IPsec/L2TP 和 IPsec/XAuth ("Cisco IPsec") 模式的用户。对于 IKEv2,参见[管理 IKEv2 客户端](ikev2-howto-zh.md#管理-ikev2-客户端)。
|
||||
|
||||
**注:** 将下面的命令的参数换成你自己的值。VPN 用户信息保存在文件 `/etc/ppp/chap-secrets` 和 `/etc/ipsec.d/passwd`。脚本在修改这些文件之前会先做备份,使用 `.old-日期-时间` 为后缀。
|
||||
|
||||
@@ -129,7 +129,7 @@ bash updateusers.sh
|
||||
... ...
|
||||
```
|
||||
|
||||
对于 IPsec/XAuth ("Cisco IPsec"),VPN 用户信息保存在文件 `/etc/ipsec.d/passwd`。这个文件中的密码以加盐哈希值的形式保存。更多详情请见 [手动管理 VPN 用户](#手动管理-vpn-用户)。
|
||||
对于 IPsec/XAuth ("Cisco IPsec"),VPN 用户信息保存在文件 `/etc/ipsec.d/passwd`。这个文件中的密码以加盐哈希值的形式保存。更多详情请见[手动管理 VPN 用户](#手动管理-vpn-用户)。
|
||||
|
||||
## 查看或更改 IPsec PSK
|
||||
|
||||
@@ -178,8 +178,8 @@ openssl passwd -1 '密码1'
|
||||
|
||||
## 授权协议
|
||||
|
||||
版权所有 (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
版权所有 (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
这个项目是以 [知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
这个项目是以[知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
必须署名: 请包括我的名字在任何衍生产品,并且让我知道你是如何改善它的!
|
||||
|
||||
@@ -178,7 +178,7 @@ openssl passwd -1 'password1'
|
||||
|
||||
## License
|
||||
|
||||
Copyright (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Copyright (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
This work is licensed under the [Creative Commons Attribution-ShareAlike 3.0 Unported License](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
|
||||
@@ -147,8 +147,8 @@ apk del fail2ban
|
||||
|
||||
## 授权协议
|
||||
|
||||
版权所有 (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
版权所有 (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
这个项目是以 [知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
这个项目是以[知识共享署名-相同方式共享3.0](http://creativecommons.org/licenses/by-sa/3.0/) 许可协议授权。
|
||||
必须署名: 请包括我的名字在任何衍生产品,并且让我知道你是如何改善它的!
|
||||
|
||||
@@ -147,7 +147,7 @@ Reboot your server.
|
||||
|
||||
## License
|
||||
|
||||
Copyright (C) 2016-2025 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
Copyright (C) 2016-2026 [Lin Song](https://github.com/hwdsl2) [](https://www.linkedin.com/in/linsongui)
|
||||
|
||||
[](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
This work is licensed under the [Creative Commons Attribution-ShareAlike 3.0 Unported License](http://creativecommons.org/licenses/by-sa/3.0/)
|
||||
|
||||
Reference in New Issue
Block a user