linux搭建ipsecvpn服务器

1、如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

首先解释一个问题：在 iPhone 的 VPN 设置介面里（Settings >> General >> Network >> VPN），你可以看到三个标签：L2TP, PPTP, IPSec。但上面我们又讲本次介绍的 VPN 方式叫「L2TP / IPSec」，这两者究竟是什么关系？

这三个标签确实令人混淆，准确的写法应该是：L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外两者关系不大，且大家较为熟悉，暂且不提，L2TP 和 IPSec 的区别如下。

L2TP：一个「包装」协议，本身并不提供加密和验证的功能。

IPSec：在 IP 数据包的层级提供加密和验证功能，确保中间人无法解密或者伪造数据包。

本来，只用 IPSec 就可以实现 VPN，Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推荐使用 L2TP over IPSec，在两者的图形介面上也只能设置这个。L2TP / IPSec 是业界标准，微软也支持。而只用 IPSec 的常见于 Linux-to-Linux 的应用，比如将两个位于不同地区的办公室网络安全地连在一起。这多是固定 IP 路由器到固定 IP 路由器级别的连接，只需保证数据包不被中途截获或者伪造就可以，故使用 L2TP 的意义不大。L2TP / IPSec 主要是实现所谓「Road Warrior」的设置，即用变动的客户端连固定的服务器。

Cisco 的 VPN 用的也是 IPSec 加密，但那是一套不同于 L2TP 的私有包装协议，用于提供用户管理之类的功能，因此一般都需要用 Cisco 自家的 VPN 客户端连接。iPhone / iPad 的 VPN 设置介面中的 IPSec 标签里有 Cisco 的标识，就是这个原因。

以下是在 Ubuntu 和 Debian 主机上架设 L2TP / IPSec VPN 的步骤，一共十四步。你需要有服务器的 root 权限（所以 DreamHost, BlueHost, MediaTemple 这些服务供应商帮你把一切打点周到的主机就无缘了），也需要一些基本的 Linux 知识。不然的话，我们还是推荐您找一位比较熟技术的朋友帮忙。

一、安装 IPSec。如上所述，IPSec 会对 IP 数据包进行加密和验证。这意味着你的电脑 / 移动设备与服务器之间传输的数据无法被解密、也不能被伪造。我推荐用 openswan 这个后台软件包来跑 IPSec。

用以下命令安装 openswan:

sudo aptitude install openswan二、用文字编辑器打开 /etc/ipsec.conf，改成这样：

version 2.0
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=YOUR.SERVER.IP.ADDRESS
leftprotoport=17/1701
right=%any
rightprotoport=17/%any三、用文字编辑器打开 /etc/ipsec.secrets，改成这样：

YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret"（别忘了把「YOUR.SERVER.IP.ADDRESS」这部分换成你的服务器的 IP 地址，把「YourSharedSecret」部分换成随便一个字串，例如你喜欢的一句话，等等。）

四、运行以下命令：

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done五、检查一下 IPSec 能否正常工作：

sudo ipsec verify如果在结果中看到「Opportunistic Encryption Support」被禁用了，没关系，其他项 OK 即可。

六、重启 openswan:

sudo /etc/init.d/ipsec restart七、安装 L2TP。常用的 L2TP 后台软件包是 xl2tpd，它和 openswan 是同一帮人写的。

运行以下命令：

sudo aptitude install xl2tpd八、用文字编辑器打开 /etc/xl2tpd/xl2tpd.conf，改成这样：

[global]
ipsec saref = yes

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
;require chap = yes
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes这里要注意的是 ip range 一项里的 IP 地址不能和你正在用的 IP 地址重合，也不可与网络上的其他 IP 地址冲突。

九、安装 ppp。这是用来管理 VPN 用户的。

sudo aptitude install ppp十、检查一下 /etc/ppp 目录里有没有 options.xl2tpd 这个文件，没有的话就建一个，文件内容如下：

require-mschap-v2
ms-dns 208.67.222.222
ms-dns 208.67.220.220
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4注意 ms-dns 两行我填的是 OpenDNS。如果你想用其他的 DNS 服务器（例如谷歌的公共 DNS），请自行更换。

十一、现在可以添加一个 VPN 用户了。用文字编辑器打开 /etc/ppp/chap-secrets:

# user server password ip
test l2tpd testpassword *如果你之前设置过 PPTP VPN，chap-secrets 文件里可能已经有了其他用户的列表。你只要把 test l2tpd testpassword * 这样加到后面即可。

十二、重启 xl2tpd:

sudo /etc/init.d/xl2tpd restart十三、设置 iptables 的数据包转发：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward十四、因为某种原因，openswan 在服务器重启后无法正常自动，所以我们可以在 /etc/rc.local 文件里写入如下语句：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart到这里，设置工作已经基本完成。你可以用 iPhone 或 iPad 试着连一下。记得在「Secret」中填入你在上述第三步里填的 YourSharedSecret。

如果连接成功，上网也没问题的话，恭喜你，大功告成。如果连不上，恐怕还得多做一步。

Ubuntu 9.10 自带的 openswan 版本是 2.6.22, Debian Lenny 带的版本是 2.4.12。这两个版本的 openswan 都有问题。我们的测试结果表明，2.6.24 版的 openswan 可以在上述两版的 Linux 操作系统下正常工作。所以如果做完以上十四步还是连不上的话，请考虑从源码编译 openswan 2.6.24 ：

sudo aptitude install libgmp3-dev gawk flex bison
wget http://www.openswan.org/download/openswan-2.6.24.tar.gz
tar xf openswan-2.6.24.tar.gz
cd openswan-2.6.24
make programs
sudo make install编译需要一段时间。你的 Linux 内核版本需要高于 2.6.6。

然后可以删除原先通过 aptitude 安装的 openswan，并重启之：

sudo aptitude remove openswan
sudo /etc/init.d/ipsec restart

2、如何查看ipsec/l2tpd 服务器的证书认证模式

什么是 IPsec？
IPsec 是 虚拟私密网络（VPN） 的一种，用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成，第一阶段（Phrase 1, ph1），交换金钥建立连接，使用互联网金钥交换（ike）协议; 第二阶段（Phrase 2, ph2），连接建立后对数据进行加密传输，使用封装安全载荷（esp）协议。参考：维基百科 IPsec 词条。
其中，第一阶段和第二阶段可以使用不同的加密方法（cipher suites）。甚至，第一阶段 ike 协议的第一版（ikev1）有两种模式，主力模式（main mode）和积极模式（aggressive mode），主力模式进行六次加密握手，而积极模式并不加密，以实现快速建立连接的目的。
第一阶段的 ike 协议有两个版本（ikev1/ikev2），不同的开源/闭源软件实现的版本均不同，不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法，使得 IPsec 的配置有点黑魔法的性质，要么完全懂，通吃; 要么完全不懂，照抄。
设备/操作系统规格
这里主要介绍了设备/操作系统使用的 ike 版本及其特殊要求。
Linux
命令行客户端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端，不使用各种移动设备也不使用 Windows，那么完全没有那么多事。
但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接，必须使用证书或 EAP （各种加密方法都支持，包括微软的 MSCHAPv2）进行认证，不支持纯密码（PSK）认证。这并不是 strongswan 的错误，或者技术不行（开源总是走在技术最前沿的，毕竟命令行是支持的），而仅仅是体现一种选择：ikev1 被 strongswan 项目认为是该淘汰的协议，而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。
Android
Android 和 Linux 不一样，只支持 ikev1。其它方面和 Linux 一样，甚至有好多种 IPsec VPN 配置模式可供选择。
iOS/Mac OS X
它们声明使用的 IPsec 客户端为 Cisco，实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1，可以使用证书或纯密码（PSK）认证，但必须辅之 xauth 用户名/密码认证。
该修改版的 racoon 会优先使用不加密的积极模式，而积极模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 还有一个「衔尾」故障：它在第一阶段握手时会把数据包拆分成小块（fragmentation），然后「加密」发送。然而这种加密仅仅是声明的，其实并未加密，这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考：Cisco VPN stop working after upgrading to IOS 6

3、大家说说，我的VPN连接老是有事没事就蹦800错误，怎么办？

信息不全，你用的是什么VPN，专用的软件还是Windows/Linux自带的VPN，用的是L2tp、PPTP、IPSec还是什么其他的，800错误进一步提示是什么？这里按照猜测先给一些参考： 解决办法:
1.检查配置中的“目的地的主机名或IP地址”使用的是域名而不是IP地址，

由于VPN隧道需要定期进行维护，我们有可能变更VPN隧道服务器的IP地址，但域名不会改变。

2.您所在网络与我们的VPN隧道服务器没有正确的通道，

请尝试更换配置中的“目的地的主机名或IP地址”，将其调整为我们的登陆服务器IP地址或者域名。

3.临时性故障，多半是由于您使用的DNS服务器繁忙无法对服务器IP地址

或者域名的名字进行解析所引起，可以使用以下操作：开始->运行->打开：cmd->确定，执行命令ipconfig /flushdns后再进行VPN连接尝试。

4.由于配置异常造成的无法连接，虽然用户没有做过任何的配置修改，

但由于系统内部的故障会导致配置（注册表信息）出现异常，这是Windows系统中常见的问题。
处理方法是删除原VPN隧道连接的配置，重新建立一个新的VPN隧道连接即可。

5.检查连接的安全参数配置与配置要求一致。

6.您机器上的防火墙规则设置过于严格，导致无法对外进行连接，请调整或关闭所有防火墙再进行尝试。

7.如果有安装家庭网关的用户，也建议重启一下家庭网关设备。

另外一种情况：

由于Windows2000/XP/2003 系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁止IPSec功能,需要更改注册表

在cmd中执行regedit,找到如下路径
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
新建一个键值
名称ProhibitIPSec
类型dword
值1

4、在Linux中 ipsec.d 什么意思?

建议使用32位的，建抄议使用袭centos linux；linux64位系统比较占内存如果内存足够大可以 1、32位是90%用户用的，就是普通用户用的，32位支持的软件非常多，应该说是几乎的全部 2、64位系统比较特别是针对特殊职业用的版本比如设计建筑和大型图形设...

5、如何在Ubuntu下配置L2TP VPN

安装软件包
sudo apt-get install xl2tpd openswan ppp

IPSec / Openswan
打开 /etc/ipsec.conf 文件，做如下配置：
config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.152.2.0/24 # 这里包含的网络地址允许配置为远程客户端所在的子网。换句话说， # 这些地址范围应该是你的NAT路由器后面的客户端的地址。 oe=off protostack=netkey conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 rekey=no # Apple 的 iOS 不会发送 delete 提醒， # 所以我们需要通过死亡对端（dead peer）检测来识别断掉的客户端 dpddelay=30 dpdtimeout=120 dpdaction=clear # 设置 ikelifetime 和 keylife 和 Windows 的默认设置一致 ikelifetime=8h keylife=1h type=transport # 替换 IP 地址为你的本地IP （一般是，私有地址、NAT内的地址） left=x.x.x.x # 用于升级过的 Windows 2000/XP 客户端 leftprotoport=17/1701 # 要支持老的客户端，需要设置 leftprotoport=17/%any right=%any rightprotoport=17/%any # 强制所有连接都NAT，因为 iOS forceencaps=yes

注意你的ipsec.conf文件，"config setup" 和 "L2TP-PSK-NAT"、 "L2TP-PSK-NAT"应该顶着行头写，而其它行应该以8个空格缩进。
打开 /etc/ipsec.secrets，配置：
x.x.x.x %any: PSK "somegoodpassword"

这里x.x.x.x 替换为你的服务器的IP地址，并设置一个复杂的密码。
启动 IPSEC 服务：
/etc/init.d/ipsec start

使用如下命令确认 ipsec 是否工作正常：
sudo ipsec verify

应该没有任何错误才行：
Checking your system to see if IPsec got installed and started correctly:Version check and ipsec on-path [OK]Linux Openswan U2.6.28/K2.6.32-32-generic-pae (netkey)Checking for IPsec support in kernel [OK]NETKEY detected, testing for disabled ICMP send_redirects [OK]NETKEY detected, testing for disabled ICMP accept_redirects [OK]Checking that pluto is running [OK]Pluto listening for IKE on udp 500 [OK]Pluto listening for NAT-T on udp 4500 [OK]Checking for 'ip' command [OK]Checking for 'iptables' command [OK]Opportunistic Encryption Support [DISABLED]

在 /etc/init.d 下创建一个名为 ipsec.vpn 的文件，内容如下：
case "$1" in start) echo "Starting my Ipsec VPN" iptables -t nat -A POSTROUTING -o eth0 -s 10.152.2.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec start /etc/init.d/xl2tpd start;; stop) echo "Stopping my Ipsec VPN" iptables --table nat --flush echo 0 > /proc/sys/net/ipv4/ip_forward /etc/init.d/ipsec stop /etc/init.d/xl2tpd stop;; restart) echo "Restarting my Ipsec VPN" iptables -t nat -A POSTROUTING -o eth0 -s 10.152.2.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec restart /etc/init.d/xl2tpd restart ;; *) echo "Usage: /etc/init.d/ipsec.vpn {start|stop|restart}" exit 1;;esac

这会配置防火墙转发。记得修改上面文件的本地IP地址池10.152.2.0/24为你自己的。
然后给这个文件设置可执行权限：
sudo chmod 755 ipsec.vpn

禁止默认的 ipsec 服务脚本运行：
sudo update-rc.d -f ipsec remove

然后，启用我们刚才定制的这个：
sudo update-rc.d ipsec.vpn defaults

L2TP
修改 /etc/xl2tpd/xl2tpd.conf ：
[global]ipsec saref = no [lns default]ip range = 10.152.2.2-10.152.2.254local ip = 10.152.2.1require chap = yesrefuse pap = yesrequire authentication = yesppp debug = yespppoptfile = /etc/ppp/options.xl2tpdlength bit = yes

配置说明如下：
ip range = 可以连接VPN服务的客户端IP地址范围
local ip = VPN 服务器的IP，必须在客户端IP范围之外
refuse pap = 拒绝 pap 认证
ppp debug = 测试时打开
选择一个复杂的挑战-响应式验证字符串。虽然没有最短长度限制，不过它应该至少有16个字符，也应该足够复杂才能保证安全。
打开文件 /etc/xl2tpd/l2tp-secrets ，填入你的密码：
* * exampleforchallengestring

打开文件 /etc/ppp/options.xl2tpd，做如下配置：

refuse-mschap-v2refuse-mschapms-dns 8.8.8.8ms-dns 8.8.4.4asyncmap 0authcrtsctsidle 1800mtu 1200mru 1200lockhide-passwordlocal#debugname l2tpdproxyarplcp-echo-interval 30lcp-echo-failure 4

ms-dns 选项设置要给客户端分配的 DNS 服务器，当客户端连接时，就会被分配这些 DNS。如果要加入多个 DNS，就每行一个，分别写几行。
如果你要给客户端推送wins设置，可以分别设置如下选项。
mtu 和 mru 按照openswan.org的说法，减小 mru/mtu 的大小非常重要。因为 l2tp/ipsec 会封装几次，可能导致性能下降，减小这个配置的大小可以一次性传输全部的包。
proxyarp 可以将连接的客户端的IP地址和以太网地址加入的系统的ARP表中。这会影响到本地局域网内其它客户端。
name l2tpd 用在 PPP验证文件里面。
添加用户
打开文件 /etc/ppp/chap-secrets ，做如下配置：
user1 l2tpd chooseagoodpassword *user2 * chooseagoodpassword *

每行包括如下字段：
客户端 = 用户名称
服务器 = 在上面的 /etc/ppp/options.xl2tpd 定义的名字
密码 = 用户密码，你应该设置一个足够复杂的密码
IP 地址 = * 表示用户可以从任何地址连接，否则设置用户只能从特定的地址连接
注意：你可以添加多个用户。
IP转发
打开文件 /etc/sysctl.conf，修改配置：
net.ipv4.ip_forward=1

载入新的配置：
sysctl -p

启动VPN
sudo /etc/init.d/ipsec.vpn restartsudo /etc/init.d/xl2tpd restart

排除故障
如果遇到了问题，以下命令可以帮助你找到问题：
sudo tcpmp -i ppp0sudo tail -f /var/log/auth.logsudo tail -f /var/log/syslog

你可以可以在服务器上使用如下命令来监控：
sudo tcpmp -i eth0 host aaa.bbb.ccc.ddd and not port ssh

这里aaa.bbb.ccc.ddd 是你的客户端的公网地址。

6、如何查看建立的VPN连接是否成功

查看建立的VPN连接是否成功的方法如下：

1、通过开始菜单然后选择控制专面板。

2、在控制面板中属点击网络和共享中心。

3、通过在下图中点击更改适配器设置并且进入。

4、通过查看当前网络连接，其中可包含本地连接-无线连接-vpn连接等。

7、如何使用预共享密钥身份验证配置 L2TP/IPSec 连接？

其实VPN是虚拟专用网络技术,在服务器数据中转过程中，一般采用三种加密模式，PPTP ，l2tp和IKE2 ，这里面PPTP是最主流，也是网络支持。

最简单的协议，现在IOS限制了PPTP模式，那我们可以用l2tp模式来连接VPN，不必担心上不了instagram，下面我教大家设置l2tp的过程。

一、点击桌面上的-设置-图标进入设置(如图)

二、点击-通用-进入通用设置

三、点击-VPN-进入VPN设置(如图)

四、点击添加VPN设置进行设置，这里注意，模式选择l2tp 密钥123（双鱼ip转换器统一密钥都是123 ）

五、选择并连接，成功之后 照常玩转INS

8、l2tp over ipsec with psk in linux server&client

How To Install Setup L2TP over IPsec VPN in Debian Lenny Jan 11 wingloonLinux 5 Comments In this how to, I am going to share how to install setup L2TP over IPsec VPN in Debian Lenny using openswan and xl2tpd package. I am going to use Pre-Shared Key (PSK) in IPsec and CHAP as an authentication mechanism. This how to has been tested on iPad 2, Mac OS X Lion and Windows 7. However, if you tested this how to with other OSes and smartphones, I would like to hear from you in the comments. I am using Hostigation KVM (affiliate link) for this how to. Let’ get started and I am using root. 1. Install Openswan using command below in Debian Lenny (answer the default questions asked): - # aptitude install openswan 2. Add the below configuration to /etc/ipsec.conf file: - # basic configuration config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 nhelpers=0 protostack=netkey # Add connections here conn L2TP-PSK-CLIENTS authby=secret pfs=no auto=add keyingtries=3 rekey=no type=transport left=%defaultroute leftnexthop=%defaultroute leftprotoport=17/1701 right=%any rightsubnet=vhost:%priv,%no rightprotoport=17/%any dpddelay=40 dpdtimeout=130 dpdaction=clear #Disable Opportunistic Encryption include /etc/ipsec.d/examples/no_oe.conf 3. Next, enter your prefer Pre-Shared Key (PSK) to /etc/ipsec.secrets file below: - YourIPHere %any: PSK "sharedsecrethere" 4. Then, restart IPsec service using command below: - # /etc/init.d/ipsec restart 5. Then, configure the Linux Kernel using command below: - # for each in /proc/sys/net/ipv4/conf/*; do echo 0 > $each/accept_redirects; echo 0 > $each/send_redirects; done 6. By now, IPsec configuration is done and you can verify it and you must get no errors using command below: - # ipsec verify 7. Install xl2tpd using the command below in Debian Lenny: - # aptitude install xl2tpd 8. Add the below xl2tpd configuration to /etc/xl2tpd/xl2tpd.conf file: - [lns default] ip range = 10.20.30.2-10.20.30.254 local ip = 10.20.30.1 require chap = yes require authentication = yes refuse pap = yes name = LinuxVPNserver hostname = YourVPNHostname ppp debug = yes length bit = yes pppoptfile = /etc/xl2tpd/ppp-options.xl2tpd 9. Add the below PPP configuration to /etc/xl2tpd/ppp-options.xl2tpd file: - crtscts idle 1800 mtu 1200 mru 1200 nodefaultroute debug lock proxyarp connect-delay 5000 ms-dns 8.8.4.4 ms-dns 8.8.8.8 name l2tpd lcp-echo-interval 30 lcp-echo-failure 4 logfile /var/log/ppp.log 10. Configure CHAP as the above xl2tpd configuration only require CHAP and not PAP by modify /etc/ppp/chap-secrets file as below: - username l2tpd password * 11. Next, enable routing in Linux Kernel using command below: - # echo 1 > /proc/sys/net/ipv4/ip_forward 12. Next, configure the Linux firewall (iptables) to enable masquerading (Internet sharing) using command below: - # iptables -t nat -A POSTROUTING -o eth0 -s 10.20.30.0/24 -j MASQUERADE Resources:

9、如何将 Synology NAS 设置为 VPN 服务器

先登录进群晖(Synology) DSM系统，在套件中心安装“VPN Server”

然后在主菜单里就可以设置你所需要的VPN服务了

设置完毕后，如果你的群晖服务器是在局域网内，那么别忘记打开对应VPN服务的防火墙/路由器端口，让外网能访问你的NAS。

10、安装完openswan后，Linux Openswan U2.6.38/K(no kernel code presently loaded)，我的linux内核是2.6.32

不需要，一般没那么严重。可以用journalctl -u ipsec显示详细的错误信息，这种情形
很可能是某个配置文件格式错误导致的，修改此配置文件重启动IPSec就会发现一切很正常了。