strongswan

Debian 7.0 下的 openswan 版本有问题

在 DigitalOcean 上买的 VPS, 兼做个人翻墙用, 但是上面的 VPN 配置总是出问题, 按教程重新走了两遍还是不行

相关教程: 如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

找了很久终于还是揪到问题的根源在 openswan 的版本上, Debian 7.0 上最新的是 1:2.6.37-3+deb7u1, 如果默认 apt-get install openswan 就是这个版本, 但这个版本有问题, 用 Debian openswan l2tp 2.6.37 搜索就能发现一堆人吐槽

Debian 的 Maillist 里有人提到过: L2TP/IPSec on Mac OSX stop working after openswan upgrade [with patches], 在 BugTrack Debian Bug report logs – #744717
openswan: After wheezy security update from version 1:2.6.37-3 to 1:2.6.37-3+deb7u1 stop working L2TP over IPSEC from Mac OS and IOS devices.
里翻到解决方案, 那就是降级. 直接执行如下命令, 连重启服务都不用

sudo apt-get install openswan=1:2.6.37-3

想着这个 bug 存在都好久了, 怎么 Debian 官方还不修复, 于是在刚才那个 BugTrack 里还翻到说 Debian 上的 openswan 已经不再维护了, 建议更换成 strongswan, 相关 BugTrack 见 Debian Bug report logs – #736557
RM: openswan — RoQA; unmaintained, RC-buggy

本着不支持的模块就弃用的想法, 安装 strongswan, 然后安装过程中提示 /etc/ipsec.conf 不一样, 对比了下配置项变的还挺多, 特么对笨狗这种伸手党来说谁知道哪个配置是什么意思啊, 折腾了一会发现还是嗝屁. 罢了, 还是乖乖退回 openswan 1:2.6.37-3 吧, 果然一退回就好了…

总结下教训:

  1. 不懂的东西还是要多问多搜, 伸手党也要伸的有姿势
  2. 没事默认用最新版本也是有问题的, 特别遇上这种不维护且最新版本还是有问题的包
  3. Linux 选对发行版很重要, 坡在 Ubuntu 14.04 上默认是 2.6.38 就没这问题了

Linux 发行版真是各种圣战… 当年选 Debian 就是被 buyvm 128M RAM 的机器压迫的, 新 VPS 默认配置下可用内存最大. 要不要按照知乎这个问答改用 CentOS 呢?: 服务器操作系统应该选择 Debian/Ubuntu 还是 CentOS? 貌似天朝民间各种衍生工具上支持度更好的还是 Ubuntu, 毕竟图形界面上手难度小, 有大量小白用户, 然后很多工具也都默认跑 Ubuntu (比如民间版迅捷?)

另外, 应该有各种使用 strongswan 来架 vpn 的教程了, 不过好像比较难找到

最后, 给自己的 DigitalOcean 导流链接做下广告吧, 5$/mon 的 512M RAM VPS, 优势是全 SSD, 部署快, 缺点是只有旧金山机房比较靠谱, 新加坡机房在国内某些线路下非常不稳定

https://www.digitalocean.com/?refcode=e922d4ed228c