事情的起因是不小心更新了手机上的spark(一款非常舒服的邮件app),新版的app第一次登陆需要访问它们架在google云上的服务器,国内理所当然的就无法使用了。
从此心里埋下一根刺,必须要在手机上解决VPN的事情。那就开始安装strongswan呗。按理说对着教程安装一个服务应该难不倒我(况且3年前我就成功安装过ikev2)。最后用时比3年前那次多了1倍还多。。。
中间的曲折就不细说了,捡重要的说。
1、ikev2服务要用到2个私钥2个证书。
root.key.pem, root.pem, server.key.pem, server.pem
利用私钥生成证书。私钥root.key.pem生成根证书root.pem,生成根证书后就不在使用了该私钥了,自己藏藏好。服务器上用的server.pem证书是通过root.pem根证书签发。因为root.pem根证书是私人小作坊生成的,它签发的东西大家都不认可,所以需要手动将root.pem安装到客户端(比如手机、mac),这样客户端就认可server.pem了。
划重点:用认证机构生成的server_niubi.pem所有客户端默认就认可,可以省略手动安装认证机构根证书的步骤,挺方便的。利用acme.sh可一站式自动申请Let’s Encrypt证书。
2、不知道是年纪大了思维钝化了,还是脑子笨了。服务搭建完之后连不上服务器,只知道不停的google各种安装教程,不停的修改配置文件,不停的重启服务再试。走了许许多多弯路,直到最后才想起来看下日志文件,log中明明白白、清清楚楚的写着各种不成功的原因,之后就迎刃而解了。这里详细的记载了log的用法。
3、参考过的网页千千万,留几个最经典的。手把手教你在Ubuntu上安装ikev2、在centos和Ubuntu上一键安装ikev2、strongswan官方教你写no_use.mobileconfig配置文件。
到这里本文应该结束了。最后说一下写本文的引子。所有服务搭建好之后,在linode后台的stackscript里看到了linode官方认可的一键部署ikev2的脚本,它用的是libreswan,目测应该是100%可用。我又浪费了一个宝贵的周末。
全文完。