随着云计算的普及,越来越多的企业选择将业务部署在阿里云等公有云平台上,如何安全地访问云服务器成为运维人员面临的重要问题,传统方式如开放SSH端口(22)存在被暴力破解的风险,而使用IPsec(Internet Protocol Security)协议搭建私有网络隧道,则能提供加密、认证和完整性保护,是构建企业级远程访问解决方案的理想选择,本文将以阿里云Centos操作系统为例,详细讲解如何在阿里云ECS实例中配置IPsec VPN服务。
确保你已准备好以下资源:
- 一台运行CentOS 7或8的阿里云ECS实例(建议使用专有网络VPC)
- 已开通公网IP(用于VPN网关访问)
- 安全组规则允许UDP 500(IKE)、UDP 4500(ESP)和ICMP流量
- 管理员权限(root或sudo)
第一步:安装StrongSwan(开源IPsec实现)
sudo yum update -y sudo yum install -y strongswan strongswan-libcharon
第二步:配置IPsec策略文件 /etc/strongswan/ipsec.conf
config setup
charondebug="all"
uniqueids=yes
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
authby=secret
ike=aes256-sha256-modp2048!
esp=aes256-sha256!
conn my-vpn
left=%any
leftid=@your-server-ip
leftsubnet=192.168.1.0/24
right=%any
rightid=%any
rightsubnet=10.0.0.0/24
auto=add
dpdaction=restart
注:
leftsubnet是阿里云内部网段(如192.168.1.0/24),rightsubnet是客户端所在网段(如10.0.0.0/24),根据实际环境调整。
第三步:设置预共享密钥(PSK)
编辑 /etc/strongswan/ipsec.secrets:
@your-server-ip %any : PSK "your-strong-password-here"
请用强密码替换“your-strong-password-here”,并执行:
chmod 600 /etc/strongswan/ipsec.secrets
第四步:启动服务并设置开机自启
sudo systemctl enable strongswan sudo systemctl start strongswan sudo systemctl status strongswan
第五步:配置阿里云安全组 登录阿里云控制台,在ECS实例的安全组中添加入方向规则:
- 协议类型:UDP
- 端口范围:500(IKE)
- 授权对象:你的客户端公网IP或0.0.0.0/0(测试时可开放)
- 同样添加UDP 4500(ESP)
第六步:客户端连接(以Windows为例)
- 打开“网络和共享中心” → “设置新的连接或网络”
- 选择“连接到工作场所”
- 输入阿里云ECS公网IP作为服务器地址
- 身份验证方式选择“使用数字证书”或“使用用户名和密码”
- 输入预共享密钥(PSK)
- 连接成功后,可通过内网IP(如192.168.1.x)访问服务器资源
注意事项:
- 建议使用静态IP而非弹性IP,避免频繁变更导致连接中断
- 使用DNS解析代替IP地址,便于维护
- 定期更新密钥并监控日志(
/var/log/secure和journalctl -u strongswan) - 生产环境推荐结合证书认证(X.509)替代PSK,提升安全性
通过上述步骤,你可以在阿里云CentOS服务器上成功部署IPsec VPN服务,为远程办公、跨地域访问提供安全通道,此方案具备高可用性、低延迟和强加密特性,是现代云原生架构下不可或缺的基础能力。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
