Red Hat Training

A Red Hat training course is available for RHEL 8

4.10. 配置 IPsec VPN 以使用 TCP

Libreswan 支持 IKE 和 IPsec 数据包的 TCP 封装,如 RFC 8229 所述。使用这个功能,您可以在网络上建立 IPsec VPN,以防止通过 UDP 传输的流量并封装安全负载(ESP)。您可以将 VPN 服务器和客户端配置为使用 TCP 作为回退,或者作为主 VPN 传输协议。由于 TCP 封装的性能成本较高,因此只有在您的场景中永久阻止 UDP 时,才使用 TCP 作为主 VPN 协议。

先决条件

流程

  1. config setup 部分的 /etc/ipsec.conf 文件中添加以下选项:

    listen-tcp=yes
  2. 要在第一次尝试 UDP 失败时使用 TCP 封装作为回退选项,请在客户端的连接定义中添加以下两个选项:

    enable-tcp=fallback
    tcp-remoteport=4500

    另外,如果您知道 UDP 被永久阻止,请在客户端的连接配置中使用以下选项:

    enable-tcp=yes
    tcp-remoteport=4500