前言
使用 Linux 脚本一键快速搭建自己的 IPsec VPN 服务器。支持 IPsec/L2TP 和 Cisco IPsec 协议,可用于 Ubuntu/Debian/CentOS 系统。你只需提供自己的 VPN 登录凭证,然后运行脚本自动完成安装。
IPsec VPN 可以加密你的网络流量,以防止在通过因特网传送时,你和 VPN 服务器之间的任何人对你的数据的未经授权的访问。在使用不安全的网络时,这是特别有用的,例如在咖啡厅,机场或旅馆房间。
我们将使用 Libreswan 作为 IPsec 服务器,以及 xl2tpd 作为 L2TP 提供者。
安装 Docker
首先,在你的 Linux 服务器上 安装并运行 Docker。
注: 本镜像不支持 Docker for Mac 或者 Windows。
下载
预构建的可信任镜像可在 Docker Hub registry 下载:
1 | docker pull hwdsl2/ipsec-vpn-server |
如何使用本镜像
环境变量
这个 Docker 镜像使用以下几个变量,可以在一个 env 文件中定义:
1 | VPN_IPSEC_PSK=your_ipsec_pre_shared_key |
这将创建一个用于 VPN 登录的用户账户,它可以在你的多个设备上使用*。 IPsec PSK (预共享密钥) 由 VPN_IPSEC_PSK 环境变量指定。 VPN 用户名和密码分别在 VPN_USER 和 VPN_PASSWORD 中定义。
支持创建额外的 VPN 用户,如果需要,可以像下面这样在你的 env 文件中定义。用户名和密码必须分别使用空格进行分隔,并且用户名不能有重复。所有的 VPN 用户将共享同一个 IPsec PSK。
1 | VPN_ADDL_USERS=additional_username_1 additional_username_2 |
注: 在你的 env 文件中,不要为变量值添加 "" 或者 '',或在 = 两边添加空格。不要在值中使用这些字符: \ " '。一个安全的 IPsec PSK 应该至少包含 20 个随机字符。
所有这些环境变量对于本镜像都是可选的,也就是说无需定义它们就可以搭建 IPsec VPN 服务器。详情请参见以下部分。
运行 IPsec VPN 服务器
重要: 首先,在 Docker 主机上加载 IPsec af_key 内核模块。该步骤在 Ubuntu 和 Debian 上为可选步骤。
1 | sudo modprobe af_key |
为保证这个内核模块在服务器启动时加载,请参见以下链接: Ubuntu/Debian, CentOS 6, CentOS 7, Fedora 和 CoreOS。
使用本镜像创建一个新的 Docker 容器 (将 ./vpn.env 替换为你自己的 env 文件):
1 | docker run \ |
获取 VPN 登录信息
如果你在上述 docker run 命令中没有指定 env 文件,VPN_USER 会默认为 vpnuser,并且 VPN_IPSEC_PSK 和 VPN_PASSWORD 会被自动随机生成。要获取这些登录信息,可以查看容器的日志:
1 | docker logs ipsec-vpn-server |
在命令输出中查找这些行:
1 | Connect to your new VPN with these details: |
(可选步骤)备份自动生成的 VPN 登录信息(如果有)到当前目录:
1 | docker cp ipsec-vpn-server:/opt/src/vpn-gen.env ./ |
查看服务器状态
如需查看你的 IPsec VPN 服务器状态,可以在容器中运行 ipsec status 命令:
1 | docker exec -it ipsec-vpn-server ipsec status |
或者查看当前已建立的 VPN 连接:
1 | docker exec -it ipsec-vpn-server ipsec whack --trafficstatus |
下一步
配置你的计算机或其它设备使用 VPN 。请参见:
配置 IPsec/XAuth (“Cisco IPsec”) VPN 客户端
如果在连接过程中遇到错误,请参见 故障排除。
开始使用自己的专属 VPN !
重要提示
Windows 用户 在首次连接之前需要修改注册表,以解决 VPN 服务器 和/或 客户端与 NAT(比如家用路由器)的兼容问题。
同一个 VPN 账户可以在你的多个设备上使用。但是由于 IPsec/L2TP 的局限性,如果需要同时连接在同一个 NAT (比如家用路由器)后面的多个设备到 VPN 服务器,你必须仅使用 IPsec/XAuth 模式。
对于有外部防火墙的服务器(比如 EC2/GCE),请为 VPN 打开 UDP 端口 500 和 4500。阿里云用户请参见 #433。
如果需要编辑 VPN 配置文件,你必须首先在正在运行的 Docker 容器中 开始一个 Bash 会话。
如需添加,修改或者删除 VPN 用户账户,首先更新你的 env 文件,然后你必须按照 下一节 的说明来删除并重新创建 Docker 容器。高级用户可以 绑定挂载 env 文件。
在 VPN 已连接时,客户端配置为使用 Google Public DNS。如果偏好其它的域名解析服务,请看这里。
更新 Docker 镜像
如需更新你的 Docker 镜像和容器,请按以下步骤进行:
1 | docker pull hwdsl2/ipsec-vpn-server |
如果 Docker 镜像已经是最新的,你会看到提示:
1 | Status: Image is up to date for hwdsl2/ipsec-vpn-server:latest |
否则,将会下载最新版本。要更新你的 Docker 容器,首先在纸上记下你所有的 VPN 登录信息(参见上面的 “获取 VPN 登录信息”)。然后删除 Docker 容器: docker rm -f ipsec-vpn-server。最后按照 “如何使用本镜像” 的说明来重新创建它。
高级用法
使用其他的 DNS 服务器
在 VPN 已连接时,客户端配置为使用 Google Public DNS。如果偏好其它的域名解析服务,你可以在 env 文件中定义 VPN_DNS_SRV1 和 VPN_DNS_SRV2(可选),然后按照上面的说明重新创建 Docker 容器。比如你想使用 Cloudflare 的 DNS 服务:
1 | VPN_DNS_SRV1=1.1.1.1 |
从源代码构建
高级用户可以从 GitHub 下载并自行编译源代码:
1 | git clone https://github.com/dislazy/docker-ipsec-vpn-server.git |
若不需要改动源码,也可以这样:
1 | docker build -t dislazy/ipsec-vpn-server github.com/dislazy/docker-ipsec-vpn-server.git |
在容器中运行 Bash shell
在正在运行的 Docker 容器中开始一个 Bash 会话:
1 | docker exec -it ipsec-vpn-server env TERM=xterm bash -l |
(可选步骤) 安装 nano 编辑器:
1 | apt-get update && apt-get -y install nano |
然后在容器中运行你的命令。完成后退出并重启 Docker 容器 (如果需要):
1 | exit |
绑定挂载 env 文件
作为 --env-file 选项的替代方案,高级用户可以绑定挂载 env 文件。该方法的好处是你在更新 env 文件之后可以重启 Docker 容器以生效,而不需要重新创建它。要使用这个方法,你必须首先编辑你的 env 文件并将所有的变量值用单引号 '' 括起来。然后(重新)创建 Docker 容器(将第一个 vpn.env 替换为你自己的 env 文件):
1 | docker run \ |
启用 Libreswan 日志
为了保持较小的 Docker 镜像,Libreswan (IPsec) 日志默认未开启。如果你是高级用户,并且需要启用它以便进行故障排除,首先在正在运行的 Docker 容器中开始一个 Bash 会话:
1 | docker exec -it ipsec-vpn-server env TERM=xterm bash -l |
然后运行以下命令:
1 | apt-get update && apt-get -y install rsyslog |
完成后你可以这样查看 Libreswan 日志:
1 | docker exec -it ipsec-vpn-server grep pluto /var/log/auth.log |
如需查看 xl2tpd 日志,请运行 docker logs ipsec-vpn-server。
技术细节
需要运行以下两个服务: Libreswan (pluto) 提供 IPsec VPN, xl2tpd 提供 L2TP 支持。
默认的 IPsec 配置支持以下协议:
- IKEv1 with PSK and XAuth (“Cisco IPsec”)
- IPsec/L2TP with PSK
为使 VPN 服务器正常工作,将会打开以下端口:
- 4500/udp and 500/udp for IPsec
