linux搭建ipsecvpn伺服器

1、如何在 Debian / Ubuntu 伺服器上架設 L2TP / IPSec VPN

首先解釋一個問題：在 iPhone 的 VPN 設置介面里（Settings >> General >> Network >> VPN），你可以看到三個標簽：L2TP, PPTP, IPSec。但上面我們又講本次介紹的 VPN 方式叫「L2TP / IPSec」，這兩者究竟是什麼關系？

這三個標簽確實令人混淆，准確的寫法應該是：L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外兩者關系不大，且大家較為熟悉，暫且不提，L2TP 和 IPSec 的區別如下。

L2TP：一個「包裝」協議，本身並不提供加密和驗證的功能。

IPSec：在 IP 數據包的層級提供加密和驗證功能，確保中間人無法解密或者偽造數據包。

本來，只用 IPSec 就可以實現 VPN，Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推薦使用 L2TP over IPSec，在兩者的圖形介面上也只能設置這個。L2TP / IPSec 是業界標准，微軟也支持。而只用 IPSec 的常見於 Linux-to-Linux 的應用，比如將兩個位於不同地區的辦公室網路安全地連在一起。這多是固定 IP 路由器到固定 IP 路由器級別的連接，只需保證數據包不被中途截獲或者偽造就可以，故使用 L2TP 的意義不大。L2TP / IPSec 主要是實現所謂「Road Warrior」的設置，即用變動的客戶端連固定的伺服器。

Cisco 的 VPN 用的也是 IPSec 加密，但那是一套不同於 L2TP 的私有包裝協議，用於提供用戶管理之類的功能，因此一般都需要用 Cisco 自家的 VPN 客戶端連接。iPhone / iPad 的 VPN 設置介面中的 IPSec 標簽里有 Cisco 的標識，就是這個原因。

以下是在 Ubuntu 和 Debian 主機上架設 L2TP / IPSec VPN 的步驟，一共十四步。你需要有伺服器的 root 許可權（所以 DreamHost, BlueHost, MediaTemple 這些服務供應商幫你把一切打點周到的主機就無緣了），也需要一些基本的 Linux 知識。不然的話，我們還是推薦您找一位比較熟技術的朋友幫忙。

一、安裝 IPSec。如上所述，IPSec 會對 IP 數據包進行加密和驗證。這意味著你的電腦 / 移動設備與伺服器之間傳輸的數據無法被解密、也不能被偽造。我推薦用 openswan 這個後台軟體包來跑 IPSec。

用以下命令安裝 openswan:

sudo aptitude install openswan二、用文字編輯器打開 /etc/ipsec.conf，改成這樣：

version 2.0
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=YOUR.SERVER.IP.ADDRESS
leftprotoport=17/1701
right=%any
rightprotoport=17/%any三、用文字編輯器打開 /etc/ipsec.secrets，改成這樣：

YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret"（別忘了把「YOUR.SERVER.IP.ADDRESS」這部分換成你的伺服器的 IP 地址，把「YourSharedSecret」部分換成隨便一個字串，例如你喜歡的一句話，等等。）

四、運行以下命令：

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done五、檢查一下 IPSec 能否正常工作：

sudo ipsec verify如果在結果中看到「Opportunistic Encryption Support」被禁用了，沒關系，其他項 OK 即可。

六、重啟 openswan:

sudo /etc/init.d/ipsec restart七、安裝 L2TP。常用的 L2TP 後台軟體包是 xl2tpd，它和 openswan 是同一幫人寫的。

運行以下命令：

sudo aptitude install xl2tpd八、用文字編輯器打開 /etc/xl2tpd/xl2tpd.conf，改成這樣：

[global]
ipsec saref = yes

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
;require chap = yes
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes這里要注意的是 ip range 一項里的 IP 地址不能和你正在用的 IP 地址重合，也不可與網路上的其他 IP 地址沖突。

九、安裝 ppp。這是用來管理 VPN 用戶的。

sudo aptitude install ppp十、檢查一下 /etc/ppp 目錄里有沒有 options.xl2tpd 這個文件，沒有的話就建一個，文件內容如下：

require-mschap-v2
ms-dns 208.67.222.222
ms-dns 208.67.220.220
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4注意 ms-dns 兩行我填的是 OpenDNS。如果你想用其他的 DNS 伺服器（例如谷歌的公共 DNS），請自行更換。

十一、現在可以添加一個 VPN 用戶了。用文字編輯器打開 /etc/ppp/chap-secrets:

# user server password ip
test l2tpd testpassword *如果你之前設置過 PPTP VPN，chap-secrets 文件里可能已經有了其他用戶的列表。你只要把 test l2tpd testpassword * 這樣加到後面即可。

十二、重啟 xl2tpd:

sudo /etc/init.d/xl2tpd restart十三、設置 iptables 的數據包轉發：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward十四、因為某種原因，openswan 在伺服器重啟後無法正常自動，所以我們可以在 /etc/rc.local 文件里寫入如下語句：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart到這里，設置工作已經基本完成。你可以用 iPhone 或 iPad 試著連一下。記得在「Secret」中填入你在上述第三步里填的 YourSharedSecret。

如果連接成功，上網也沒問題的話，恭喜你，大功告成。如果連不上，恐怕還得多做一步。

Ubuntu 9.10 自帶的 openswan 版本是 2.6.22, Debian Lenny 帶的版本是 2.4.12。這兩個版本的 openswan 都有問題。我們的測試結果表明，2.6.24 版的 openswan 可以在上述兩版的 Linux 操作系統下正常工作。所以如果做完以上十四步還是連不上的話，請考慮從源碼編譯 openswan 2.6.24 ：

sudo aptitude install libgmp3-dev gawk flex bison
wget http://www.openswan.org/download/openswan-2.6.24.tar.gz
tar xf openswan-2.6.24.tar.gz
cd openswan-2.6.24
make programs
sudo make install編譯需要一段時間。你的 Linux 內核版本需要高於 2.6.6。

然後可以刪除原先通過 aptitude 安裝的 openswan，並重啟之：

sudo aptitude remove openswan
sudo /etc/init.d/ipsec restart

2、如何查看ipsec/l2tpd 伺服器的證書認證模式

什麼是 IPsec？
IPsec 是 虛擬私密網路（VPN） 的一種，用於在伺服器和客戶端之間建立加密隧道並傳輸敏感數據之用。它由兩個階段組成，第一階段（Phrase 1, ph1），交換金鑰建立連接，使用互聯網金鑰交換（ike）協議; 第二階段（Phrase 2, ph2），連接建立後對數據進行加密傳輸，使用封裝安全載荷（esp）協議。參考：維基百科 IPsec 詞條。
其中，第一階段和第二階段可以使用不同的加密方法（cipher suites）。甚至，第一階段 ike 協議的第一版（ikev1）有兩種模式，主力模式（main mode）和積極模式（aggressive mode），主力模式進行六次加密握手，而積極模式並不加密，以實現快速建立連接的目的。
第一階段的 ike 協議有兩個版本（ikev1/ikev2），不同的開源/閉源軟體實現的版本均不同，不同的設備實現的版本也不同。再聯繫到第一階段/第二階段使用的各種不同加密方法，使得 IPsec 的配置有點黑魔法的性質，要麼完全懂，通吃; 要麼完全不懂，照抄。
設備/操作系統規格
這里主要介紹了設備/操作系統使用的 ike 版本及其特殊要求。
Linux
命令行客戶端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的連接。因此如果用戶只使用 Linux 命令行客戶端，不使用各種移動設備也不使用 Windows，那麼完全沒有那麼多事。
但 Linux 的圖形界面客戶端 NetworkManager-strongswan 目前只支持 ikev2 連接，必須使用證書或 EAP （各種加密方法都支持，包括微軟的 MSCHAPv2）進行認證，不支持純密碼（PSK）認證。這並不是 strongswan 的錯誤，或者技術不行（開源總是走在技術最前沿的，畢竟命令行是支持的），而僅僅是體現一種選擇：ikev1 被 strongswan 項目認為是該淘汰的協議，而 PSK 加密被認為是非常不安全的。參考 strongswan 維基 NetworkManager 詞條。
Android
Android 和 Linux 不一樣，只支持 ikev1。其它方面和 Linux 一樣，甚至有好多種 IPsec VPN 配置模式可供選擇。
iOS/Mac OS X
它們聲明使用的 IPsec 客戶端為 Cisco，實際為自己修改的 racoon。它只支持 ike 協議的第一版即 ikev1，可以使用證書或純密碼（PSK）認證，但必須輔之 xauth 用戶名/密碼認證。
該修改版的 racoon 會優先使用不加密的積極模式，而積極模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 還有一個「銜尾」故障：它在第一階段握手時會把數據包拆分成小塊（fragmentation），然後「加密」發送。然而這種加密僅僅是聲明的，其實並未加密，這就導致 strongSwan 及其它標准伺服器端/Cisco 設備無法解密。另外 ikev1 的 fragmentation 插件是閉源的。開源伺服器端無法對這些小塊進行重組。參考：Cisco VPN stop working after upgrading to IOS 6

3、大家說說，我的VPN連接老是有事沒事就蹦800錯誤，怎麼辦？

信息不全，你用的是什麼VPN，專用的軟體還是Windows/Linux自帶的VPN，用的是L2tp、PPTP、IPSec還是什麼其他的，800錯誤進一步提示是什麼？這里按照猜測先給一些參考： 解決辦法:
1.檢查配置中的「目的地的主機名或IP地址」使用的是域名而不是IP地址，

由於VPN隧道需要定期進行維護，我們有可能變更VPN隧道伺服器的IP地址，但域名不會改變。

2.您所在網路與我們的VPN隧道伺服器沒有正確的通道，

請嘗試更換配置中的「目的地的主機名或IP地址」，將其調整為我們的登陸伺服器IP地址或者域名。

3.臨時性故障，多半是由於您使用的DNS伺服器繁忙無法對伺服器IP地址

或者域名的名字進行解析所引起，可以使用以下操作：開始->運行->打開：cmd->確定，執行命令ipconfig /flushdns後再進行VPN連接嘗試。

4.由於配置異常造成的無法連接，雖然用戶沒有做過任何的配置修改，

但由於系統內部的故障會導致配置（注冊表信息）出現異常，這是Windows系統中常見的問題。
處理方法是刪除原VPN隧道連接的配置，重新建立一個新的VPN隧道連接即可。

5.檢查連接的安全參數配置與配置要求一致。

6.您機器上的防火牆規則設置過於嚴格，導致無法對外進行連接，請調整或關閉所有防火牆再進行嘗試。

7.如果有安裝家庭網關的用戶，也建議重啟一下家庭網關設備。

另外一種情況：

由於Windows2000/XP/2003 系統預設情況下啟動了IPSec功能,因此在發起VPN請求時應禁止IPSec功能,需要更改注冊表

在cmd中執行regedit,找到如下路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
新建一個鍵值
名稱ProhibitIPSec
類型dword
值1

4、在Linux中 ipsec.d 什麼意思?

建議使用32位的，建抄議使用襲centos linux；linux64位系統比較占內存如果內存足夠大可以 1、32位是90%用戶用的，就是普通用戶用的，32位支持的軟體非常多，應該說是幾乎的全部 2、64位系統比較特別是針對特殊職業用的版本比如設計建築和大型圖形設...

5、如何在Ubuntu下配置L2TP VPN

安裝軟體包
sudo apt-get install xl2tpd openswan ppp

IPSec / Openswan
打開 /etc/ipsec.conf 文件，做如下配置：
config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.152.2.0/24 # 這里包含的網路地址允許配置為遠程客戶端所在的子網。換句話說， # 這些地址范圍應該是你的NAT路由器後面的客戶端的地址。 oe=off protostack=netkey conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 rekey=no # Apple 的 iOS 不會發送 delete 提醒， # 所以我們需要通過死亡對端（dead peer）檢測來識別斷掉的客戶端 dpddelay=30 dpdtimeout=120 dpdaction=clear # 設置 ikelifetime 和 keylife 和 Windows 的默認設置一致 ikelifetime=8h keylife=1h type=transport # 替換 IP 地址為你的本地IP （一般是，私有地址、NAT內的地址） left=x.x.x.x # 用於升級過的 Windows 2000/XP 客戶端 leftprotoport=17/1701 # 要支持老的客戶端，需要設置 leftprotoport=17/%any right=%any rightprotoport=17/%any # 強制所有連接都NAT，因為 iOS forceencaps=yes

注意你的ipsec.conf文件，"config setup" 和 "L2TP-PSK-NAT"、 "L2TP-PSK-NAT"應該頂著行頭寫，而其它行應該以8個空格縮進。
打開 /etc/ipsec.secrets，配置：
x.x.x.x %any: PSK "somegoodpassword"

這里x.x.x.x 替換為你的伺服器的IP地址，並設置一個復雜的密碼。
啟動 IPSEC 服務：
/etc/init.d/ipsec start

使用如下命令確認 ipsec 是否工作正常：
sudo ipsec verify

應該沒有任何錯誤才行：
Checking your system to see if IPsec got installed and started correctly:Version check and ipsec on-path [OK]Linux Openswan U2.6.28/K2.6.32-32-generic-pae (netkey)Checking for IPsec support in kernel [OK]NETKEY detected, testing for disabled ICMP send_redirects [OK]NETKEY detected, testing for disabled ICMP accept_redirects [OK]Checking that pluto is running [OK]Pluto listening for IKE on udp 500 [OK]Pluto listening for NAT-T on udp 4500 [OK]Checking for 'ip' command [OK]Checking for 'iptables' command [OK]Opportunistic Encryption Support [DISABLED]

在 /etc/init.d 下創建一個名為 ipsec.vpn 的文件，內容如下：
case "$1" in start) echo "Starting my Ipsec VPN" iptables -t nat -A POSTROUTING -o eth0 -s 10.152.2.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec start /etc/init.d/xl2tpd start;; stop) echo "Stopping my Ipsec VPN" iptables --table nat --flush echo 0 > /proc/sys/net/ipv4/ip_forward /etc/init.d/ipsec stop /etc/init.d/xl2tpd stop;; restart) echo "Restarting my Ipsec VPN" iptables -t nat -A POSTROUTING -o eth0 -s 10.152.2.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec restart /etc/init.d/xl2tpd restart ;; *) echo "Usage: /etc/init.d/ipsec.vpn {start|stop|restart}" exit 1;;esac

這會配置防火牆轉發。記得修改上面文件的本地IP地址池10.152.2.0/24為你自己的。
然後給這個文件設置可執行許可權：
sudo chmod 755 ipsec.vpn

禁止默認的 ipsec 服務腳本運行：
sudo update-rc.d -f ipsec remove

然後，啟用我們剛才定製的這個：
sudo update-rc.d ipsec.vpn defaults

L2TP
修改 /etc/xl2tpd/xl2tpd.conf ：
[global]ipsec saref = no [lns default]ip range = 10.152.2.2-10.152.2.254local ip = 10.152.2.1require chap = yesrefuse pap = yesrequire authentication = yesppp debug = yespppoptfile = /etc/ppp/options.xl2tpdlength bit = yes

配置說明如下：
ip range = 可以連接VPN服務的客戶端IP地址范圍
local ip = VPN 伺服器的IP，必須在客戶端IP范圍之外
refuse pap = 拒絕 pap 認證
ppp debug = 測試時打開
選擇一個復雜的挑戰-響應式驗證字元串。雖然沒有最短長度限制，不過它應該至少有16個字元，也應該足夠復雜才能保證安全。
打開文件 /etc/xl2tpd/l2tp-secrets ，填入你的密碼：
* * exampleforchallengestring

打開文件 /etc/ppp/options.xl2tpd，做如下配置：

refuse-mschap-v2refuse-mschapms-dns 8.8.8.8ms-dns 8.8.4.4asyncmap 0authcrtsctsidle 1800mtu 1200mru 1200lockhide-passwordlocal#debugname l2tpdproxyarplcp-echo-interval 30lcp-echo-failure 4

ms-dns 選項設置要給客戶端分配的 DNS 伺服器，當客戶端連接時，就會被分配這些 DNS。如果要加入多個 DNS，就每行一個，分別寫幾行。
如果你要給客戶端推送wins設置，可以分別設置如下選項。
mtu 和 mru 按照openswan.org的說法，減小 mru/mtu 的大小非常重要。因為 l2tp/ipsec 會封裝幾次，可能導致性能下降，減小這個配置的大小可以一次性傳輸全部的包。
proxyarp 可以將連接的客戶端的IP地址和乙太網地址加入的系統的ARP表中。這會影響到本地區域網內其它客戶端。
name l2tpd 用在 PPP驗證文件裡面。
添加用戶
打開文件 /etc/ppp/chap-secrets ，做如下配置：
user1 l2tpd chooseagoodpassword *user2 * chooseagoodpassword *

每行包括如下欄位：
客戶端 = 用戶名稱
伺服器 = 在上面的 /etc/ppp/options.xl2tpd 定義的名字
密碼 = 用戶密碼，你應該設置一個足夠復雜的密碼
IP 地址 = * 表示用戶可以從任何地址連接，否則設置用戶只能從特定的地址連接
注意：你可以添加多個用戶。
IP轉發
打開文件 /etc/sysctl.conf，修改配置：
net.ipv4.ip_forward=1

載入新的配置：
sysctl -p

啟動VPN
sudo /etc/init.d/ipsec.vpn restartsudo /etc/init.d/xl2tpd restart

排除故障
如果遇到了問題，以下命令可以幫助你找到問題：
sudo tcpmp -i ppp0sudo tail -f /var/log/auth.logsudo tail -f /var/log/syslog

你可以可以在伺服器上使用如下命令來監控：
sudo tcpmp -i eth0 host aaa.bbb.ccc.ddd and not port ssh

這里aaa.bbb.ccc.ddd 是你的客戶端的公網地址。

6、如何查看建立的VPN連接是否成功

查看建立的VPN連接是否成功的方法如下：

1、通過開始菜單然後選擇控制專面板。

2、在控制面板中屬點擊網路和共享中心。

3、通過在下圖中點擊更改適配器設置並且進入。

4、通過查看當前網路連接，其中可包含本地連接-無線連接-vpn連接等。

7、如何使用預共享密鑰身份驗證配置 L2TP/IPSec 連接？

其實VPN是虛擬專用網路技術,在伺服器數據中轉過程中，一般採用三種加密模式，PPTP ，l2tp和IKE2 ，這裡面PPTP是最主流，也是網路支持。

最簡單的協議，現在IOS限制了PPTP模式，那我們可以用l2tp模式來連接VPN，不必擔心上不了instagram，下面我教大家設置l2tp的過程。

一、點擊桌面上的-設置-圖標進入設置(如圖)

二、點擊-通用-進入通用設置

三、點擊-VPN-進入VPN設置(如圖)

四、點擊添加VPN設置進行設置，這里注意，模式選擇l2tp 密鑰123（雙魚ip轉換器統一密鑰都是123 ）

五、選擇並連接，成功之後 照常玩轉INS

8、l2tp over ipsec with psk in linux server&client

How To Install Setup L2TP over IPsec VPN in Debian Lenny Jan 11 wingloonLinux 5 Comments In this how to, I am going to share how to install setup L2TP over IPsec VPN in Debian Lenny using openswan and xl2tpd package. I am going to use Pre-Shared Key (PSK) in IPsec and CHAP as an authentication mechanism. This how to has been tested on iPad 2, Mac OS X Lion and Windows 7. However, if you tested this how to with other OSes and smartphones, I would like to hear from you in the comments. I am using Hostigation KVM (affiliate link) for this how to. Let』 get started and I am using root. 1. Install Openswan using command below in Debian Lenny (answer the default questions asked): - # aptitude install openswan 2. Add the below configuration to /etc/ipsec.conf file: - # basic configuration config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 nhelpers=0 protostack=netkey # Add connections here conn L2TP-PSK-CLIENTS authby=secret pfs=no auto=add keyingtries=3 rekey=no type=transport left=%defaultroute leftnexthop=%defaultroute leftprotoport=17/1701 right=%any rightsubnet=vhost:%priv,%no rightprotoport=17/%any dpddelay=40 dpdtimeout=130 dpdaction=clear #Disable Opportunistic Encryption include /etc/ipsec.d/examples/no_oe.conf 3. Next, enter your prefer Pre-Shared Key (PSK) to /etc/ipsec.secrets file below: - YourIPHere %any: PSK "sharedsecrethere" 4. Then, restart IPsec service using command below: - # /etc/init.d/ipsec restart 5. Then, configure the Linux Kernel using command below: - # for each in /proc/sys/net/ipv4/conf/*; do echo 0 > $each/accept_redirects; echo 0 > $each/send_redirects; done 6. By now, IPsec configuration is done and you can verify it and you must get no errors using command below: - # ipsec verify 7. Install xl2tpd using the command below in Debian Lenny: - # aptitude install xl2tpd 8. Add the below xl2tpd configuration to /etc/xl2tpd/xl2tpd.conf file: - [lns default] ip range = 10.20.30.2-10.20.30.254 local ip = 10.20.30.1 require chap = yes require authentication = yes refuse pap = yes name = LinuxVPNserver hostname = YourVPNHostname ppp debug = yes length bit = yes pppoptfile = /etc/xl2tpd/ppp-options.xl2tpd 9. Add the below PPP configuration to /etc/xl2tpd/ppp-options.xl2tpd file: - crtscts idle 1800 mtu 1200 mru 1200 nodefaultroute debug lock proxyarp connect-delay 5000 ms-dns 8.8.4.4 ms-dns 8.8.8.8 name l2tpd lcp-echo-interval 30 lcp-echo-failure 4 logfile /var/log/ppp.log 10. Configure CHAP as the above xl2tpd configuration only require CHAP and not PAP by modify /etc/ppp/chap-secrets file as below: - username l2tpd password * 11. Next, enable routing in Linux Kernel using command below: - # echo 1 > /proc/sys/net/ipv4/ip_forward 12. Next, configure the Linux firewall (iptables) to enable masquerading (Internet sharing) using command below: - # iptables -t nat -A POSTROUTING -o eth0 -s 10.20.30.0/24 -j MASQUERADE Resources:

9、如何將 Synology NAS 設置為 VPN 伺服器

先登錄進群暉(Synology) DSM系統，在套件中心安裝「VPN Server」

然後在主菜單里就可以設置你所需要的VPN服務了

設置完畢後，如果你的群暉伺服器是在區域網內，那麼別忘記打開對應VPN服務的防火牆/路由器埠，讓外網能訪問你的NAS。

10、安裝完openswan後，Linux Openswan U2.6.38/K(no kernel code presently loaded)，我的linux內核是2.6.32

不需要，一般沒那麼嚴重。可以用journalctl -u ipsec顯示詳細的錯誤信息，這種情形
很可能是某個配置文件格式錯誤導致的，修改此配置文件重啟動IPSec就會發現一切很正常了。