CentOS 8 使用 Strongswan 搭梯(IPsec IKEv2 VPN)

特色

发表于2020-12-18由jgh004

本文介绍使用 StrongSwan 搭建 VPN 的过程，适合有一定 linux 基础的用户。

本文使用的服务器

1CPU,1G, 优惠码
CentOS 8.3
StrongSwan 5.8.2

StrongSwan 简介

StrongSwan 是基于 OpenSource IPsec 的 VPN 解决方案，官方网站：https://www.strongswan.org/ ，如果无法访问请使用科学上网，原因你懂的。阅读全文

为 npm 设置代理

发表于2020-02-12由jgh004

npm 有两个代理设置，一个是 http 代理，一个是 https 代理。

在命令行设置代理服务器。

#获取 http 请求的代理设置
npm config get proxy
npm config set proxy="http://127.0.0.1:1080"
#获取 https 请求的代理设置
npm config get https-proxy
npm config set https-proxy="http://127.0.0.1:1080"

#获取 http 请求的代理设置

npm config get proxy

npm config set proxy="http://127.0.0.1:1080"

#获取 https 请求的代理设置

npm config get https-proxy

npm config set https-proxy="http://127.0.0.1:1080"

代理服务器可以使用小灰机（小灰机同时支持 socks 代理和 http 代理）

为 Visual Studio 设置 NuGet 代理

发表于2020-02-12由jgh004

因为众所周知的原因，在国内使用 NuGet 时会经常无法下载包，严重影响工作效率，下面说一下如何给 NuGet 设置代理。

找到 NuGet 配置文件

NuGet 仅支持 HTTP 代理，Visual Studio 的 NuGet 配置文件位于 “ %appdata%\NuGet\NuGet.Config” 目录，此配置的作用域为当前 Windows 用户，详情可参考微软文档。

设置 NuGet 代理

在 “ <configuration> ” 节下增加 “ <config> ” 节，添加 “ http_proxy” 配置项，值为 HTTP 代理服务器 url。

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <config>
    <add key="http_proxy" value="http://127.0.0.1:1080" />
  </config>
  <packageSources>
    <add key="nuget.org" value="https://api.nuget.org/v3/index.json" protocolVersion="3" />
    <add key="Microsoft Visual Studio Offline Packages" value="C:\Program Files (x86)\Microsoft SDKs\NuGetPackages\" />
  </packageSources>
  <packageRestore>
    <add key="enabled" value="True" />
    <add key="automatic" value="True" />
  </packageRestore>
  <bindingRedirects>
    <add key="skip" value="False" />
  </bindingRedirects>
  <packageManagement>
    <add key="format" value="0" />
    <add key="disabled" value="False" />
  </packageManagement>
  <disabledPackageSources>
    <add key="Microsoft Visual Studio Offline Packages" value="true" />
  </disabledPackageSources>
</configuration>

<?xml version="1.0" encoding="utf-8"?>

</config>

</packageSources>

</packageRestore>

</bindingRedirects>

</packageManagement>

</disabledPackageSources>

</configuration>

代理服务器可以是任何 http 代理，也可以用小灰机代理（小灰机本身即是 socks 代理也是 http 代理）。阅读全文

Hyper-V 固定内网IP及连外网设置

发表于2019-04-27由jgh004

Win10 的 Hyper-V 虚拟机默认安装有一个虚拟交换机，这个交换机不能修改，也不能删除，它默认启用NAT, 可以连接外网。但有一个缺点，每次重启主机系统后它的ip都会随机改变，当有多个虚拟机想组内网时无法使用这个交换机。阅读全文

CentOS 7 安装 OpenVPN

发表于2018-09-18由jgh004

本文使用的服务器

阿里云ECS香港服务器, 1CPU,1G, 优惠码
CentOS 7.5
OpenVPN 2.4.6

安装 OpenVPN

#下载安装脚本
wget https://raw.githubusercontent.com/Angristan/OpenVPN-install/master/openvpn-install.sh

#给脚本增加可执行权限
chmod +x openvpn-install.sh

#运行脚本安装
./openvpn-install.sh

#下载安装脚本

wget https://raw.githubusercontent.com/Angristan/OpenVPN-install/master/openvpn-install.sh

#给脚本增加可执行权限

chmod +x openvpn-install.sh

#运行脚本安装

./openvpn-install.sh

想要更多？没了！就是这么简单。

安装过程需要用户选择多次选择设置项。按提示输入序号就可以。具体说明请看这里

用老版本客户端连接

如果你同我一样需要在路由器上连接 OpenVPN 服务端，可能会遇到一些问题，最典型的就是客户端的版本过低，服务端不支持。例如我的华硕路由器的 OpenVPN 客户端是 2.3.2 版本的，上面安装的服务端加密方式要求最低版本为2.4。

要解决这个问题，只需修改几项配置即可。

修改服务端配置

nano /etc/openvpn/server.conf

1	nano /etc/openvpn/server.conf

port 1194
proto udp
dev tun
user nobody
group nobody
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "redirect-gateway def1 bypass-dhcp" 
crl-verify crl.pem
ca ca.crt
cert server_7nXHxN25RjHzpvzv.crt
key server_7nXHxN25RjHzpvzv.key
dh dh.pem
compress lz4-v2
push "compress lz4-v2"
tls-server
tls-auth tls-auth.key 0
cipher AES-256-CBC
status /var/log/openvpn/status.log
verb 3

port 1194

proto udp

dev tun

user nobody

group nobody

persist-key

persist-tun

keepalive 10 120

topology subnet

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 8.8.4.4"

push "redirect-gateway def1 bypass-dhcp"

crl-verify crl.pem

ca ca.crt

cert server_7nXHxN25RjHzpvzv.crt

key server_7nXHxN25RjHzpvzv.key

dh dh.pem

compress lz4-v2

push "compress lz4-v2"

tls-server

tls-auth tls-auth.key 0

cipher AES-256-CBC

status /var/log/openvpn/status.log

verb 3

修改客户端配置

在脚本的同一目录下会生成一个 .ovpn 文件，这是给客户端的配置文件。编辑它。

nano client.ovpn

1	nano client.ovpn

client
proto udp
remote 你的ip或域名 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_TP2kfJ5lwhmkDCEc name
auth SHA256
auth-nocache
cipher AES-128-CBC
tls-client
#注释掉下面两行
#tls-version-min 1.2
#tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
setenv opt block-outside-dns
verb 3
<ca>
#此处省略
</ca>
<cert>
#此处省略
</cert>
<key>
#此处省略
</key>
key-direction 1
<tls-auth>
#此处省略
</tls-auth>

client

proto udp

remote 你的ip或域名 1194

dev tun

resolv-retry infinite

nobind

persist-key

persist-tun

remote-cert-tls server

verify-x509-name server_TP2kfJ5lwhmkDCEc name

auth SHA256

auth-nocache

cipher AES-128-CBC

tls-client

#注释掉下面两行

#tls-version-min 1.2

#tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256

setenv opt block-outside-dns

verb 3

<ca>

#此处省略

</ca>

<cert>

#此处省略

</cert>

<key>

#此处省略

</key>

key-direction 1

<tls-auth>

#此处省略

</tls-auth>

保存之后将此文件上传到路由器，即可成功连接vpn。

查看服务端运行状态

systemctl status openvpn@server

1	systemctl status openvpn@server

CentOS 7 使用 Strongswan 配置 IKEv2 VPN

发表于2018-08-28由jgh004

CentOS 8 安装请移步《CentOS 8 使用 Strongswan IPsec IKEv2 搭梯》

本文介绍使用 StrongSwan 搭建 VPN 的过程，适合有一定 linux 基础的用户。

本文使用的服务器

阿里云ECS香港服务器, 1CPU,1G, 优惠码
CentOS 7.5
StrongSwan 5.6.3

StrongSwan 简介

StrongSwan 是基于 OpenSource IPsec 的 VPN 解决方案，官方网站：https://www.strongswan.org/ ，如果无法访问请使用科学上网，原因你懂的。

StrongSwan 运行于 Linux 系统上，本文使用 CentOS 7 系统。

安装StrongSwan

由于基于源码自行编译安装过于繁琐，这里只介绍使用 yum 的安装方式。

首先，配置 StrongSwan 的源，此软件已包含在 EPEL 源中，关于配置 yum 源，请参考《CentOS 7 配置 LNMP + FTP 环境》文中的 “添加常用软件源” 部分。

安装 StrongSwan

yum install strongswan

1	yum install strongswan

启用开机启动

systemctl enable strongswan

1	systemctl enable strongswan

申请 ssl 证书

StrongSwan IPsec IKEv2 连接需要用到服务器证书，用于验证服务器身份。由于自签发证书不受操作系统信任，我们需要申请 Let’s Encrypt 免费证书。

申请方式参考《CentOS 7 Nginx Let’ s Encrypt SSL 证书安装配置》, 申请的域名必须是明确的，不能用通配符证书代替。例如，vpn.xxx.com, 申请证书时，必须带上 -d vpn.xxx.com 参数。

配置 StrongSwan

安装证书

假设上一步我们申请的证书保存在 /etc/letsencrypt/live/xxx.com 中，xxx.com 是你申请证书使用的域名。

我们使用创建软连接的方式使用证书

cd /etc/strongswan/ipsec.d
ln -s /etc/letsencrypt/live/xxx.com/fullchain.pem ./certs/fullchain.pem
ln -s /etc/letsencrypt/live/xxx.com/privkey.pem ./private/privkey.pem

#下载 letsencrype 中间证书, 此步对于 windows 客户端连接至关重要。
wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem -O /etc/strongswan/ipsec.d/cacerts/lets-encrypt-x3-cross-signed.pem

cd /etc/strongswan/ipsec.d

ln -s /etc/letsencrypt/live/xxx.com/fullchain.pem ./certs/fullchain.pem

ln -s /etc/letsencrypt/live/xxx.com/privkey.pem ./private/privkey.pem

#下载 letsencrype 中间证书, 此步对于 windows 客户端连接至关重要。

wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem -O /etc/strongswan/ipsec.d/cacerts/lets-encrypt-x3-cross-signed.pem

证书安装完成

修改 ipsec.conf 主配置文件

nano /etc/strongswan/ipsec.conf

1	nano /etc/strongswan/ipsec.conf

删除原有内容，写入已下内容

conn setup
    uniqueids = no

conn %default
    compress = yes
    keyexchange=ike
    ike=aes256-sha256-sha1-modp2048-modp1024,3des-sha256-sha1-modp2048-modp1024!
    esp=aes256-sha256-sha1,3des-sha256-sha1!
    leftdns=8.8.8.8,8.8.4.4
    rightdns=8.8.8.8,8.8.4.4

conn ikev2
    dpdaction=clear
    dpddelay=60s
    rekey=no
    fragmentation=yes
    eap_identity=%identity

    left=%any
    leftid=这里用你申请证书时使用的域名，如“xxx.com”
    leftsubnet=0.0.0.0/0
    leftauth=pubkey
    leftcert=fullchain.pem
    leftsendcert=always
    leftfirewall=yes

    right=%any
    rightid=%any
    rightsourceip=10.1.0.0/24
    rightauth=eap-mschapv2
    rightsendcert=never

    auto=add

conn setup

uniqueids = no

conn %default

compress = yes

keyexchange=ike

ike=aes256-sha256-sha1-modp2048-modp1024,3des-sha256-sha1-modp2048-modp1024!

esp=aes256-sha256-sha1,3des-sha256-sha1!

leftdns=8.8.8.8,8.8.4.4

rightdns=8.8.8.8,8.8.4.4

conn ikev2

dpdaction=clear

dpddelay=60s

rekey=no

fragmentation=yes

eap_identity=%identity

left=%any

leftid=这里用你申请证书时使用的域名，如“xxx.com”

leftsubnet=0.0.0.0/0

leftauth=pubkey

leftcert=fullchain.pem

leftsendcert=always

leftfirewall=yes

right=%any

rightid=%any

rightsourceip=10.1.0.0/24

rightauth=eap-mschapv2

rightsendcert=never

auto=add

修改 charon.conf, 配置日志输出文件。

nano /etc/strongswan/strongswan.d/charon.conf

1	nano /etc/strongswan/strongswan.d/charon.conf

日志不是必要项，建议只用在调试配置时使用，配置正常后注释掉 filelog 节部分。

charon {
    filelog {
        charon-debug-log {
            path = /var/log/charon_debug.log
            time_format = %b %e %T
            default = 2
            mgr = 0
            net = 1
            enc = 1
            asn = 1
            job = 1
            ike_name = yes
            append = no
            flush_line = yes
        }
    }
    #这里是其它设置......
}

charon {

filelog {

charon-debug-log {

path = /var/log/charon_debug.log

time_format = %b %e %T

default = 2

mgr = 0

net = 1

enc = 1

asn = 1

job = 1

ike_name = yes

append = no

flush_line = yes

}

#这里是其它设置......

}

修改 ipsec.secrets , 增加 vpn 账户。

nano /etc/strongswan/ipsec.secrets

1	nano /etc/strongswan/ipsec.secrets

添加服务端证书私钥，新建用户账号。

#这是申请的证书的私钥
: RSA privkey.pem
#这是用户账号，每行一个账号，格式为 [账号 %any : EAP "密码"]
user1 %any : EAP "password1"
user2 %any : EAP "password2"

#这是申请的证书的私钥

: RSA privkey.pem

#这是用户账号，每行一个账号，格式为 [账号 %any : EAP "密码"]

user1 %any : EAP "password1"

user2 %any : EAP "password2"

开启内核转发

nano /etc/sysctl.conf

1	nano /etc/sysctl.conf

增加下面的内容

# VPN
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv6.conf.all.forwarding=1

# VPN

net.ipv4.ip_forward = 1

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

net.ipv6.conf.all.forwarding=1

重新加载规则

sysctl -p

sysctl -p

配置防火墙

CentOS 7 默认使用 firewalld 防火墙，有关 firewalld 的介绍请看这里。

允许 ‘AH’ 和 ‘ESP’ 身份验证协议和加密协议通过防火墙

firewall-cmd --zone=public --permanent --add-rich-rule='rule protocol value="esp" accept'
firewall-cmd --zone=public --permanent --add-rich-rule='rule protocol value="ah" accept'

1 2	firewall-cmd --zone=public --permanent --add-rich-rule='rule protocol value="esp" accept' firewall-cmd --zone=public --permanent --add-rich-rule='rule protocol value="ah" accept'

开放 ipsec 和相关端口

firewall-cmd --zone=public --permanent --add-port=500/udp
firewall-cmd --zone=public --permanent --add-port=4500/udp
firewall-cmd --zone=public --permanent --add-service="ipsec"

firewall-cmd --zone=public --permanent --add-port=500/udp

firewall-cmd --zone=public --permanent --add-port=4500/udp

firewall-cmd --zone=public --permanent --add-service="ipsec"

允许 ip 伪装

firewall-cmd --zone=public --permanent --add-masquerade

1	firewall-cmd --zone=public --permanent --add-masquerade

然后重新加载防火墙

firewall-cmd --reload

1	firewall-cmd --reload

如果 vps 配置较低，内存有限，可以使用 iptables 替换 firewalld 防火墙。

首先禁用 firewalld

systemctl stop firewalld
systemctl disable firewalld

1 2	systemctl stop firewalld systemctl disable firewalld

然后安装 iptables

yum install iptables-services
systemctl enable iptables

1 2	yum install iptables-services systemctl enable iptables

配置 iptables

nano /etc/sysconfig/iptables

1	nano /etc/sysconfig/iptables

在默认内容基础上，添加几条规则（下面高亮的部分）。

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.1.0.0/24 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i eth0 -m policy --pol ipsec --dir in -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

*nat

:PREROUTING ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

-A POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT

-A POSTROUTING -s 10.1.0.0/24 -o eth0 -j MASQUERADE

COMMIT

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -i eth0 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p ah -j ACCEPT

-A INPUT -p esp -j ACCEPT

-A INPUT -p udp -m udp --dport 500 -j ACCEPT

-A INPUT -p udp -m udp --dport 4500 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -i eth0 -m policy --pol ipsec --dir in -j ACCEPT

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

重新加载 iptables 规则

systemctl restart iptables

1	systemctl restart iptables

启动 StrongSwan 服务

systemctl restart strongswan

1	systemctl restart strongswan

配置客户端

windows 10

开始->设置->网络和Internet->vpn->添加vpn连接

添加完成后点击“更改适配器选项”

在vpn连接项点右键，属性->网络

双击 ipv4 ，点击“高级”

勾选“在远程网络上使用默认网关”，取消“自动跃点”，手动填写跃点数为“10”（当自动跃点无法上网时才设置手动跃点）。如何确定跃点数，请看下面内容。

确定后连接 vpn 即可。

确定跃点数

因为 win10 系统的问题，经常会出现vpn连接能连上，就是打不开网页的情况，这是因为“本地连接”的优先级高于“vpn”的优先级，导致所有的请求优先使用“本地连接”的dns去解析域名，由于我们国家坚持推行使用社会主义特色的dns，所以某些域名解析会返回无效或错误的ip地址，这就导致我们无法正常访问网站！跃点数就是设定优先级用的。

我们需要做的就是让 “vpn 连接” 的跃点数小于 “本地连接” 的跃点数。

断开vpn, 打开 PowerShell 窗口，输入下面命令。

#查看接口
Get-NetIPInterface -AddressFamily ipv4

1 2	#查看接口 Get-NetIPInterface -AddressFamily ipv4

第一列表示当前接口的索引号，第二列是名称，InterfaceMetric 列即接口的跃点，我的本地连接名是 WLAN, 跃点是35。

查看“本地连接”网卡的跃点数为 35，因此上一步中设置的跃点数只要小于35即可（跃点数越小优先级越高），所以我们设置为10。

IOS

“设置->VPN->添加配置”, 选 IKEv2

描述: 随便填
服务器: 填url或ip
远程ID: ipsec.conf 中的 leftid, 如 “xxx.com”
用户鉴定: 用户名
用户名: EAP 项用户名, 如 “user1”
密码: EAP 项密码, 如 “password1”

MAC

原理同 ios, 我没有 mac 做验证。

Android

需下载安装客户端程序，前往官网下载

最新版 apk 程序阅读全文

Windows 下安装 MySql 8 zip 版

发表于2018-06-14由jgh004

更新日期：2018-09-12

目前 8.0.12 版本有 bug, 无法在指定目录初始化数据文件, 请下载 8.0.11 版本.

MySql for Windows 5.7.7 之前的 zip 版中都会附带 Data 目录, 里面有 MySql 的初始数据库. 从 5.7.7 版本开始, 就没有这个目录了, 需要用命令初始化数据库. 阅读全文

CentOS 7 安装 .Net Core 环境

发表于2018-06-11由jgh004

当前最新 .net core 版本为 2.1

打开 .net core 下载页面，https://www.microsoft.com/net/download/linux ，页面包含 .net core sdk 及 .net core runtime 两个安装包。

如果需要在 linux 上进行开发，要安装 .net core sdk 版本，不需要开发推荐安装 .net core runtime 版本。

点击 install .NET Core 2.1 Runtime ，进入下载页面,在下拉框中选择 Centos。

按提示输入以下命令

rpm -Uvh https://packages.microsoft.com/config/rhel/7/packages-microsoft-prod.rpm

#如果需要同时支持运行 asp.net core 和 .net core app ,则运行这条命令
yum install aspnetcore-runtime-2.1

#如果只要需运行 .net core app, 不需要 asp.net core ,则运行这条命令
yum install dotnet-runtime-2.1

rpm -Uvh https://packages.microsoft.com/config/rhel/7/packages-microsoft-prod.rpm

#如果需要同时支持运行 asp.net core 和 .net core app ,则运行这条命令

yum install aspnetcore-runtime-2.1

#如果只要需运行 .net core app, 不需要 asp.net core ,则运行这条命令

yum install dotnet-runtime-2.1

安装完成后运行 dotnet –info 查看版本信息

MySql 单表 join 删除

发表于2018-03-23由jgh004

#从学生表中删除姓名重复的学生记录, 仅保留重复记录中id最大的一条
delete a
from t_student as a
 join (select name, max(id) as maxid
         from t_student 
       group by name
       having count(*) > 1
      ) as b
	on a.name = b.name and a.id < b.maxid

#从学生表中删除姓名重复的学生记录, 仅保留重复记录中id最大的一条

delete a

from t_student as a

join (select name, max(id) as maxid

from t_student

group by name

having count(*) > 1

) as b

on a.name = b.name and a.id < b.maxid

2018, 你好!

发表于2018-01-01由jgh004

辞别2017, 迎来2018, 愿新一年, 实现更多的小目标!

IT农民工

又一码农的一亩三分地

作者归档：jgh004

CentOS 8 使用 Strongswan 搭梯(IPsec IKEv2 VPN)

特色

本文使用的服务器

StrongSwan 简介

为 npm 设置代理

为 Visual Studio 设置 NuGet 代理

找到 NuGet 配置文件

设置 NuGet 代理

Hyper-V 固定内网IP及连外网设置

CentOS 7 安装 OpenVPN

安装 OpenVPN

用老版本客户端连接

CentOS 7 使用 Strongswan 配置 IKEv2 VPN

StrongSwan 简介

安装StrongSwan

申请 ssl 证书

配置 StrongSwan

开启内核转发

配置防火墙

如果 vps 配置较低，内存有限，可以使用 iptables 替换 firewalld 防火墙。

启动 StrongSwan 服务

配置客户端

windows 10

IOS

MAC

Android

Windows 下安装 MySql 8 zip 版

CentOS 7 安装 .Net Core 环境

MySql 单表 join 删除

2018, 你好!