7.17. 使用 nm-connection-editor 配置 VPN 连接

流程

1. 打开终端窗口，输入：

   $ nm-connection-editor

   Copy to Clipboard Toggle word wrap
2. 点击 + 按钮来添加一个新的连接。
3. 选择 IPsec based VPN 连接类型，然后点击 Create。

4. 在 VPN 选项卡中：

   1. 在 Gateway 字段中输入 VPN 网关的主机名或 IP 地址，然后选择验证类型。根据验证类型，您必须输入不同的额外信息：

      • IKEv2（认证） 使用证书验证客户端，这会更安全。这个设置需要在 IPsec NSS 数据库中指定证书的 nickname

      • IKEv1(XAUTH) 使用用户名和密码（预共享密钥）验证用户身份。此设置要求您输入以下值：

        • 用户名
        • 密码
        • 组名称
        • Secret

   2. 如果远程服务器为 IKE 交换指定了本地标识符，在 Remote ID 字段中输入准确的字符串。在运行 Libreswan 的远程服务器中，这个值是在服务器的 leftid 参数中设置的。

      

   3. 可选：点 Advanced 按钮来配置其他设置。您可以配置以下设置：

      • 识别

        • 域 -如果需要，请输入域名。

      • 安全性

        • Phase1 Algorithms 对应于 ike Libreswan 参数。输入用来验证和设置加密频道的算法。

        • Phase2 Algorithms 对应于 esp Libreswan 参数。输入用于 IPsec 协商的算法。

          选择 Disable PFS 字段来关闭 Perfect Forward Secrecy(PFS)，以确保与不支持 PFS 的旧服务器兼容。

        • Phase1 Lifetime 与 ikelifetime Libreswan 参数对应。此参数定义用于加密流量的密钥的有效期。
        • Phase2 Lifetime 与 salifetime Libreswan 参数对应。这个参数定义安全关联有效期。

      • 连接性

        • 远程网络 与 rightsubnet Libreswan 参数对应，并定义应通过 VPN 访问的目标专用远程网络。

          检查 缩减 字段以启用缩小字段。请注意，它只在 IKEv2 协商中有效。

        • Enable fragmentation 与 segmentation Libreswan 参数对应，并定义是否允许 IKE 分段。有效值为 yes （默认）或 no。
        • Enable Mobike 与 mobike 参数对应。参数定义是否允许移动和多宿主协议(MOBIKE) (RFC 4555)启用连接来迁移其端点，而无需从头开始重启连接。这可用于在有线、无线或者移动数据连接之间进行切换的移动设备。值为 no （默认）或 yes。

5. 在 IPv4 Settings 选项卡中，选择 IP 分配方法，并可选择设置额外的静态地址、DNS 服务器、搜索域和路由。

   

6. 保存连接。
7. 关闭 nm-connection-editor。
8. 如果您在具有 DHCP 或无状态地址自动配置(SLAAC)的网络中使用此主机，则连接可能容易被重定向。有关详情和缓解步骤，请参阅将 VPN 连接分配给专用路由表，以防止连接绕过隧道。