我见过一些写作大约讨论 VPN 服务器配置。在所有这些配置中,都有 2 或 3 个预共享密钥/密码用于隧道的各个级别 - 一个用于 IPSec,一个用于 L2TP,一个用于 PPP。
这似乎很愚蠢。我一直认为,如果可以使用任意长度的软件令牌,为什么要使用(相对)短小、不安全的密码呢?
不过,我最多只看到了racoon在 IPSec 层使用基于证书的身份验证的建议。但仍然有另外 2 层需要担心。我能做得更好吗?如果不行,是否可以/安全地在 3 层中的 2 层省略 PSK,同时仍将使用限制在授权帐户上?
我正在寻找一种可以跨平台运行的产品,既适用于移动客户端,也适用于桌面客户端。我更关心的是 IP 伪装而不是安全性,因此“最佳”加密不是问题。
答案1
当您愿意接受其他 VPN 解决方案时,我建议您使用 OpenVPN 设置,它更易于配置、支持证书认证,并且为所有平台提供大量客户端。
它附带 easyrsa3,可轻松进行 PKI 管理。
使用此 PKI 设置,您可以为服务器和所有客户端生成客户端,并以 pkcs12 格式分发它们
与我迄今所见过的任何 IPSec 实现相比,它的设置和维护都要容易得多。