译者注：希望你看英文不晕，否则请关掉吧。 yep, pretty strong swan 如果你想找一个全平台制霸，连路由器都不用刷的VPN，那基本上就是PPTP和L2TP+IPsec这两个中选了。因为安全和NAT穿越（以及GFW——Beining注）的问题，这年头不流行PPTP了。而L2TP的无用内容（overhead）有点多，而且还有个L2包的传输——这玩意有啥用啊。 挺奇怪，虽然IPsec很灵活，很成熟，网上却没有非L2TP的IPsec指南。黑喂狗。 深♂入IPsec 大体上，“所有的IPsec都是VPN”不大准确。IPsec不是为了VPN开发的，是为了签名并端到端发送加密IP数据的。IPsec在IP层的上面（OSI的第3层——网络层，相对于PPTP和L2TP的第二层——数据链路层  Beining注）和一般创建一个新的网络层，数据被路由到上面的VPN不同，IPsec只加密外部服务器和客户端的连接。神奇吧。 现代的IPsec使用这些东西： 认证头（AH），“保证被传输分组的完整性和可靠性”（wikipedia——Beining注）。这不仅仅加密数据，也包括包头，除了有些可变的东西，例如ToS和TTL。 封装安全载荷（ESP），“对分组提供了源可靠性、完整性和保密性的支持”。 安全关联（SA），“为了提供安全的通讯环境”。 因特网密钥交换（IKE/IKEv2），”归属于IPsec协议族之下，用以创建安全联结”。 AH和ESP都在IP头有自己的协议号。在大局域网要建成，满地都是内网IP的时候，这种东西更加常见。IPsec支持ESP包的UDP封装，可以内网穿越；AH不能和NAT共用。 IPsec有两种模式： 透明模式：签名IP头和数据（AH），或签名并加密数据（ESP）。不隐藏目标IP。在L2TP+IPsec中使用。 隧道模式：签名（AH）而且加密（ESP）整个包。 IKE协议允许你使用X.509证书，预共享密钥或者扩展认证协议(EAP)认证。二元认证也可以。 所有的现代桌面操作系统（Windows  Vista以及以后，OSX，Linux），移动系统（Android，iOS, Blackberry，甚至WP）以及一些路由器支持IPsec使用ESP的隧道模式，我们就用这个。 注意：是IPsec，不是那个Cisco IPsec。 Linux下的IPsec IPsec（AH/ESP, SA）在内核模式工作，只需要为客户端安装并设置IKE守护进程。虽然选择不少，但是只有两个还活跃：strongSwan和libreswan。第二个我不评价，没用过。（我也没用过——Beining注）第一个不错。而且，这个东西是唯一自带IPSec用户空间的，所以可以和OpenVZ的老内核一起用（这个东西的IPsec路由是坏的） OpenVZ的IPsec注释 OVZ可以开L2TP，但是路由有问题。可以加防火墙规则解决，但是问题是——不可能这么做。你需要用strongSwan用户IPsec空间，libIPsec。编译strongSwan时，加上… Read more »