HQY 一个和谐有爱的空间

❝原文链接?：https://icloudnative.io/posts/wireguard-over-tcp-using-phantun/或者点击左下角的 阅读原文 直接查看原文??WireGuard 作为一个更先进、更现代的 VPN 协议，比起传统的 IPSec、OpenVPN 等实现，效率更高，配置更简单，并且已经合并入 Linux 内核，使用起来更加方便，简直就是 VPN 中的战斗机。越来越多的高人利用 WireGuard 实现很多奇奇怪怪的需求。例如国内与国外机器通过 WireGuar

前言随着对隐私保护和数据安全要求的不断提高，虚拟私人网络（VPN）成为了确保数据安全、匿名上网和跨区域访问的核心技术。WireGuard 是一种新兴的 VPN 协议，凭借其简洁高效的设计和出色的性能，迅速成为业内的热门选择。相比传统的 VPN 协议如 OpenVPN 和 IPsec，WireGuard 不仅在性能上有所提升，而且配置简便，易于审计。本文将详细介绍如何部署和配置 WireGuard，并提供优化、安全加固、性能调优等最佳实践。一、WireGuard 简介WireGuard

在多机房之间联通或机房和办公区之间异构网络网络联通时，考虑到数据和网络安全，我们通常会搭建IPSec VPN做site-to-site通信。下面我们来看一下需求场景：母公司自建IDC有网络设备可以搭建IPsec VPN隧道，子公司公有云没有网络设备1. 母公司访问子公司A服务http 18080端口2. 母公司访问子公司的B服务3306端口方案网络安全上：子公司侧部署一台Linux服务器，安装开源软件Strongswan，和母公司配置Site-To-Site&nbs

strongSwan是一个开源的基于IPsec的VPN解决方案，最近要用到strongSwan来对接其他系统的IPsec，不能贸然行动，先在Linux环境下测试一下相同环境下如何配置。通过上次的配置（如果把Linux主机作为路由器转发流量，性能可靠吗？），我们现在已经有配置strongSwan的环境了，就是两台开启了IP转发功能的Linux主机。安装strongSwanstrongSwan的安装还是很简单的，可以直接从yum仓库安装。yum install -y s

突然间想到一个问题，那就是我们之前介绍了怎么使用Windows客户端连接SSL VPN（VSR白送的的SSL VPN功能，你要不要？），也介绍了如何使用macOS客户端连接SSL VPN（MacOS iNode客户端连接SSL VPN），好像把Linux客户端给漏下了，今天就补上。（官网的指导已经有年头没更新了，我这个是使用最新版本操作的，不会搞得可以参考一下。）演示用的操作系统为Ubuntu 20.04.4 LTS（64）位首先还是要下载iNode安装包，下载路径为“首页→支持→文档与软件→软

通过上次的案例（配置strongSwan和H3C VSR的IPsec对接案例），我们已经掌握了strongSwan和VSR基于IKEv1主模式进行对接的配置方法。有同学提出，实际使用中穿越NAT在所难免，其实这种也好解决，按照前面配置H3C的思路，我们调整对应的配置为野蛮模式+FQDN应该就可以了。本次我们先把VSR作为公网端，strongSwan经过NAT设备和VSR进行对接。照例，我们先调整VSR的配置：#ike keychain swan pre-shared

IPsec的案例已经介绍了很多了（IPsec合集），突然发现原来很多地方已经开始用IKEv2了。说实话，之前还真没深入了解过，我一直以为IKEv2应该是给IPv6用的，没想到我还真就理解错了。其实IKEv2是IKEv1的增强版本，具有抗攻击能力、更强的密钥交换能力以及减少报文交互数量等特点。可能比较直观能看到的就是报文交互数量的减少吧。当需要建立一对IPsec SA时，IKEv1需要经历两个阶段，至少需要交换6条消息；而IKEv2只需要进行两次交互，使用4条消息就可以完成一个IKEv2 SA和一

strongSwan是一个开源的基于IPsec的VPN解决方案，ipsec.conf是strongSwan的关键配置，文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥，配置保存在ipsec.secrets文件中。该文件是一个文本文件，由一个或多个部分组成。#后面跟空格，再后面任何到行尾的任何内容都是注释并被忽略，不在一个部分内的空行也是如此。包含include和文件名的行，以空格分隔，将替换为该文件的内容。如果文件名不是完整路径名，则认为它是相对

strongSwan是一个开源的基于IPsec的VPN解决方案，ipsec.secrets是strongSwan的关键配置，文件保存了strongSwan IPsec子系统用于IKE身份验证的密钥表信息。这些密钥被strongSwan互联网密钥交换（Internet Key Exchange，IKE）守护程序pluto（IKEv1）和charon（IKEv2）用于验证其他主机。这些密钥必须被妥善保管，该文件应为超级用户所有，其权限应设置为阻止其他人的所有访问。strongSwan的配置和控制信息

方案1、H3C MER路由器固定IP，Centos 动态或者固定外网IP(适合vps 有固定IP地址，但网卡是内网IP，VPS做了外网映射到内网IP，即使VPS网卡是外网固定IP，也适用，野蛮模式，范围更广，不管对端是否有固定IP或者动态ADSL 内网、外网IP)方案2，H3C MER路由器固定IP，Centos 固定外网IP（vps网卡直接外网IP，没有NAT地址映射，否则协商会出现问题，类似Cannot installed tunnel - IKE_SA checkout not succe

在Ubuntu上使用Strongswan设置点对点IPSec VPN 原文setup-a-site-to-site-ipsec-vpn-with-strongswan-on-ubuntu前言多机房情况下，有时候需要将跨机房内网打通，现在还是使用ipsec的多。而且相对也比较成熟。IPsec全称ip Security，由两类协议组成，分别为AH协议（Authentication Header）和ESP协议（Encapsulated Security Payload），由于AH协议无法提供

在CentOS7上使用Libreswan设置点对点IPSec VPN前言这是在两个CentOS 7主机之间设置主机到主机IPsec隧道的指南。我们将使用Libreswan作为IPsec的实现。Libreswan在CentOS 7的默认软件包存储库中可用。 Libreswan自Openswan分支出來。初始化准备两台服务器服务器A：Location: FuZhou / cqnetcq External IP: 218.106.151.125&nb

https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples Usable Examples configurations目录Usable Examples configurationsFor a local LANFor remote networksFor specific protocols or portsResponderInitiatorRoadwarrior scenarioSite-To-Site-Scen

https://wiki.strongswan.org/projects/strongswan/wiki/IKEv1CipherSuites https://wiki.strongswan.org/projects/strongswan/wiki/IKEv1CipherSuitesIKEv1 Cipher SuitesThe keywords listed below can be used with the ike and esp directives

https://docs.strongswan.org/docs/latest/config/proposals.html Algorithm Proposals (Cipher Suites)The keywords listed below can be used with the proposals and ah|esp_proposals settings in swanctl.conf to define IKE and ES

https://wiki.strongswan.org/projects/strongswan/wiki/ConnSectionDeprecation NoticeConfiguration via ipsec.conf, ipsec.secrets, and ipsec.d using the stroke plugin, as well as using the ipsec command, are deprec

1、使用strongSwan搭建IPsecVPN一、需求背景介绍:客户业务在往腾讯云迁移的过程中，因为两边的数据需要同步，所以需要建立站点到站点的IPsec V**连接，由于某些公司没有V**设备或者其他云不支持V** Gateway产品的时候，就需要我们自己搭建IPsec V**服务。本文以strongSwan为例介绍如何在本地站点中加载IPsec V**配置，配置信息如下：腾讯云VPC的网段：172.16.10.0/16本地IDC的网段：10.0.0.0/16strongSwan的公网IP地

strongSwan是一个开源的基于IPsec的VPN解决方案，经过前面几篇文章的铺垫，今天终于可以测试strongSwan和华三设备的对接情况了。strongSwan的默认安装路径是/etc/strongswan/，这里面比较重要的就是ipsec.conf和ipsec.secrets这两个配置文件了。这两个文件的配置已经指导过了，有需要的小伙伴可以参考（strongSwan之ipsec.conf配置手册）和（strongSwan之ipsec.secrets配置手册）。对组网拓扑稍作调整，用一台

什么是 AnyLink ？AnyLink 是一个企业级远程办公 ssl vpn 软件，可以支持多人同时在线使用。基于 openconnect 协议开发，并且借鉴了 ocserv 的开发思路，可以完全兼容 AnyConnect 客户端。什么是 OTP ？一次性密码（One Time Password，简称 OTP），又称 “一次性口令”，是指只能使用一次的密码。一次性密码是根据专门算法、每隔 60 秒生成一个不可预测的随机数字组合，iKEY 一次性密码已在金融、电信、网游等领域被广泛应用，有效地保

开源免费vρν平台Anylink部署使用——具备图形化管理界面AnyLink 基于 ietf-openconnect 协议开发，并且借鉴了 ocserv 的开发思路，使其可以同时兼容 AnyConnect 客户端。AnyLink 使用 TLS/DTLS 进行数据加密，因此需要 RSA 或 ECC 证书，可以使用私有自签证书，可以通过 Let's Encrypt 和 TrustAsia 申请免费的 SSL 证书。项目地址：github地址：https://github.com/bjdgyc