OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。 OpenWrt 官方网站
这是一个创建于 193 天前的主题,其中的信息可能已经有所发展或是发生改变。
前提:路由器可以通过大机场正常上网
在 Openwrt 上 部署 strongswan + freeradius + letsencrypt 证书 , 实现手机在外面通过 Android/iOS 通过内置的 IKEv2 VPN 拨号回家科学上网, 这样每台路由器可以分出十个账号 也毫无压力。
strongswan 相关配置:
connections { xyzvpn { local_addrs = %any remote_addrs = %any vips = 0.0.0.0 fragmentation = yes pools = ipv4addr send_cert = always unique = never local { auth = pubkey id = "xyz.yourdomain.cn" certs = xyz.yourdomain.cn.cer } remote { #auth = eap-mschapv2 auth = eap-radius eap_id=%any } children { sstun { local_ts = 0.0.0.0/0 remote_ts = dynamic,224.0.0.1,224.0.0.22,224.0.0.251,224.0.0.252,239.255.255.250 if_id_in = 666 if_id_out = 666 esp_proposals = aes256-sha1 mode = tunnel life_time = 66m rekey_time = 1h dpd_action = clear hw_offload = auto updown = sh /etc/config/updown.sh } } version = 2 mobike = yes rekey_time = 6h over_time = 36m proposals = aes256gcm16-sha256-modp1024 keyingtries = 3 } } pools { ipv4addr { addrs = 192.168.8.32/27 dns = 192.168.88.1 } } freeradius 上 可以配置用户及密码,还可以按需进行流量统计
第 1 条附言 193 天前
需要调整 ike 和 esp proposals 的时候,大家只要把 log 中 接收到 proposals 组合字符串 给 AI ,他们很快会给你最优的选择,这个对配置很有帮助
14 条回复 2025-04-17 04:30:17 +08:00
 | 1 a56143575 193 天前 家宽正常都是拨号上网的,IP 变来变去咋整 |
 | 4 vcn8yjOogEL 193 天前 |
 | 5 wuruxu OP @vcn8yjOogEL proposals 这两个配置 我有删减的 每个用户可能会不一样 |
| 6 wuruxu OP @vcn8yjOogEL windows 10 内置的 IKEv2 的客户端,还是需要配置 ike proposals 为 aes256gcm16-sha384-modp1024,aes256gcm16-sha256-modp1024 才可以 |
 | 7 chuxi 191 天前 openvpn/wireguard ... |
 | 10 chlolo 183 天前 用了 letsencrypt 的话 ios 需要倒入证书嘛?我用 strongswan 搭的 ios 死活连不上。能联系帮忙看看嘛 |
Select Language