7.16. 使用 control-center 配置 VPN 连接

流程

1. 按 Super 键，输入 Settings，然后按 Enter 键打开 control-center 应用程序。
2. 选择左侧的 Network 条目。
3. 点 + 图标。
4. 选择 VPN。

5. 选择 Identity 菜单项来查看基本配置选项：

   一般的

   Gateway - 远程 VPN 网关的名称或 IP 地址。

   身份验证

   Type

   • IKEv2(证书)- 客户端通过证书进行身份验证。它更安全（默认）。

   • IKEv1(XAUTH) - 客户端通过用户名和密码或预共享密钥(PSK)进行身份验证。

     以下配置设置在 高级 部分中提供：

     图 7.1. VPN 连接的高级选项

     

     View larger image

     
     警告

     当使用 gnome-control-center 应用程序配置基于 IPsec 的 VPN 连接时，高级 对话框会显示配置，但它不允许任何更改。因此，用户无法更改任何高级 IPsec 选项。使用 nm-connection-editor 或 nmcli 工具来配置高级属性。

     识别

   • Domain -如果需要，请输入域名。

     安全性

   • Phase1 Algorithms - 对应于 ike Libreswan 参数 - 输入要用来验证的算法，并设置加密渠道。

   • Phase2 Algorithms - 对应于 esp Libreswan 参数 - 输入用于 IPsec 协商的算法。

     选择 Disable PFS 字段来关闭 Perfect Forward Secrecy(PFS)，以确保与不支持 PFS 的旧服务器兼容。

   • Phase1 Lifetime - 对应于 ikelifetime Libreswan 参数 - 用于加密流量的密钥的有效期有多长。

   • Phase2 Lifetime - 对应于 salifetime Libreswan 参数 - 连接的特定实例在过期前应持续多长时间。

     注意：为了安全起见，加密密钥应该不时地更改。

   • Remote network - 对应于 rightsubnet Libreswan 参数 - 应该通过 VPN 访问的目标私有远程网络。

     检查 narrowing 字段以启用缩小。请注意，它只在 IKEv2 协商中有效。

   • Enable fragmentation - 对应于 fragmentation Libreswan 参数 - 是否允许 IKE 分片。有效值为 yes （默认）或 no。
   • Enable Mobike - 对应于 mobike Libreswan 参数 - 是否允许移动和多宿主协议(MOBIKE、RFC 4555)启用连接来迁移其端点，而无需从头开始重启连接。这可用于在有线、无线或者移动数据连接之间进行切换的移动设备。值为 no （默认）或 yes。

6. 选择 IPv4 菜单条目：

   IPv4 方法

   • Automatic (DHCP) - 如果您要连接的网络使用 DHCP 服务器来分配动态 IP 地址，请选择此选项。
   • Link-Local Only - 如果您要连接的网络没有 DHCP 服务器且您不想手动分配 IP 地址，请选择此选项。随机地址将根据 RFC 3927 分配，带有前缀 169.254/16。
   • Manual - 如果要手动分配 IP 地址，请选择此选项。

   • Disable - 对此连接禁用了 IPv4。

     DNS

     在 DNS 部分，当 Automatic 为 ON 时，将其切换到 OFF 以输入您要用逗号分开的 DNS 服务器的 IP 地址。

     Routes

     请注意，在 Routes 部分，当 Automatic 为 ON 时，会使用 DHCP 的路由，但您也可以添加额外的静态路由。当 OFF 时，只使用静态路由。

   • address - 输入远程网络或主机的 IP 地址。
   • netmask - 上面输入的 IP 地址的子网掩码或前缀长度。
   • Gateway - 到上面输入的远程网络或主机的网关的 IP 地址。

   • Metric - 网络成本，赋予此路由的首选值。数值越低，优先级越高。

     仅将此连接用于其网络上的资源

     选择这个复选框以防止连接成为默认路由。选择这个选项意味着只有特别用于路由的流量才会通过连接自动获得，或者手动输入到连接上。

7. 要在 VPN 连接中配置 IPv6 设置，请选择 IPv6 菜单条目：

   IPv6 方法

   • Automatic 选择此选项以使用 IPv6 无状态地址自动配置(SLAAC)，来根据硬件地址和路由器公告(RA)创建一个自动的、无状态的配置。
   • Automatic, DHCP only - 选择此选项以便不使用 RA，但从 DHCPv6 直接请求信息，以创建有状态的配置。
   • Link-Local Only - 如果您要连接的网络没有 DHCP 服务器且您不想手动分配 IP 地址，请选择此选项。随机地址将根据 RFC 4862 分配，前缀为 FE80::0。
   • Manual - 如果要手动分配 IP 地址，请选择此选项。

   • Disable - 对此连接禁用了 IPv6。

     请注意，DNS, Routes, Use this connection only for resources on its network 项是 IPv4 的常规设置。

8. 编辑完 VPN 连接后，点添加按钮自定义配置或应用按钮为现有配置保存它。
9. 将配置文件切换到 ON 以激活 VPN 连接。
10. 如果您在具有 DHCP 或无状态地址自动配置(SLAAC)的网络中使用此主机，则连接可能容易被重定向。有关详情和缓解步骤，请参阅将 VPN 连接分配给专用路由表，以防止连接绕过隧道。