sh文件下载

install-ikev2.zip---需要2个内核转发命令

2install-ikev2.zip

chmod +x  ./mine.sh

导入 CA 证书

1. 把服务器上的 CA 文件 /etc/strongswan/ipsec.d/cacerts/ca-cert.pem 下载到 Windows（改个名字 ca-cert.cer 也行）。

2. 双击证书文件 → 点击 安装证书。

3. 选择 本地计算机（需要管理员权限）。

4. 存储位置选择 受信任的根证书颁发机构。

5. 完成后，可以在 certmgr.msc → 「受信任的根证书颁发机构 → 证书」里看到 VPN Root CA。

现象：提示策略匹配错误

解决办法：添加注册表项，不需要重启生效

ikev2.zip

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters里

新建类型为DWORD的NegotiateDH2048_AES256 键，值设置为1

0 禁用AES-256-CBC和MODP-2048

1 启用AES-256-CBC和MODP-2048

2 强制使用AES-256-CBC和MODP-2048

问题解决

检查日志

在服务器上执行：

journalctl -u strongswan -f

提交chat 查看问题

设置转发

sysctl -w net.ipv4.ip_forward=1

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

确认客户端认证方式选的是 EAP-MSCHAPv2（用户名/密码），而不是“证书”

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

第二种方法:

CentOS 7.6 + strongSwan + Let’s Encrypt + iptables

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

下载sh脚本

install-ikev2-letsencrypt.zip

chmod +x ./########

ca文件下载,同时改后缀为.cer

地址:/etc/letsencrypt/archive/域名/

导入 CA 证书

1. 把服务器上的 CA 文件 /etc/strongswan/ipsec.d/cacerts/ca-cert.pem 下载到 Windows（改个名字 ca-cert.cer 也行）。

2. 双击证书文件 → 点击 安装证书。

3. 选择 本地计算机（需要管理员权限）。

4. 存储位置选择 受信任的根证书颁发机构。

5. 完成后，可以在 certmgr.msc → 「受信任的根证书颁发机构 → 证书」里看到 VPN Root CA。

现象：提示策略匹配错误

解决办法：添加注册表项，不需要重启生效

ikev2.zip

=============端口控制=================

UDP500

UDP 4500