全球主机交流论坛

标题: 家庭网络Ipsec iKev2 [打印本页]

作者: njnuko 时间: 2024-4-3 13:59
标题: 家庭网络Ipsec iKev2
本帖最后由 njnuko 于 2024-4-3 14:13 编辑

之前一直自己搭SS，SSR，Torjan，Wireguard服务，路由器用的Openwrt旁路由，梅林，koolshare啥的，反正每过段时间总是出问题。
后来发现其实不用搞这些，直接Ipsec 扶墙就好了，也不会被封端口，带宽也能跑满。
即：手机移动设备(Ipsec)-->家庭网络(电信公网IP）<--Site-to-Site--> 国外主机
1. DNS的化就用截图3的国外dns清单，6k多条，ros可以直接导入
2. 国外IP用我的截图2里面的清单
3. 然后再来个Mangle分流
4. 客户端的化也起Ipsec 扶墙登到家里网络
简直完美，我用了快一年了，非常好

作者: txjcv 时间: 2024-4-3 14:00
等我有钱了我一定买个显微镜

作者: njnuko 时间: 2024-4-3 14:14

txjcv 发表于 2024-4-3 14:00
等我有钱了我一定买个显微镜

挂图床了，可以看了

作者: derposo20 时间: 2024-4-3 14:36
ros wg 666

作者: Yzindex 时间: 2024-4-3 14:43
穿回家还好说，
穿墙不容易寄？

作者: njnuko 时间: 2024-4-3 14:53

Yzindex 发表于 2024-4-3 14:43
穿回家还好说，
穿墙不容易寄？

ss,wirguard容易g，ipsec 500/4500我用的没g过，毕竟是ipsec是tcp/ip里面的基础标准，封掉影响太大了把

作者: yuqi 时间: 2024-4-3 15:01
这个我也弄过不过受限于家里宽带的上传导致下载速度只有几十M，感觉很不爽

作者: hcyme 时间: 2024-4-3 15:05
没必要绕一圈，直接出去

作者: linearn 时间: 2024-4-3 15:10
看楼主的描述挺感兴趣的，但实现步骤还是太简略了，具体一些详细一些就好啦

作者: PA-fan 时间: 2024-4-3 15:29
最佳方案其实是用v2ray之类的在家里搭建服务端，然后外部设备用clash等分流工具分流内网请求到家里的节点上，这样访问家庭网络是完全无感的。本来v-p-n的作用其实就是这个，不过大部分人只是用来富强。

作者: poctopus 时间: 2024-4-3 15:34

njnuko 发表于 2024-4-3 14:53
ss,wirguard容易g，ipsec 500/4500我用的没g过，毕竟是ipsec是tcp/ip里面的基础标准，封掉影响太大了把 ...

还是太年轻，IPSEc可以被精准识别，通过污染数据包，服务器端得到的返回值无法通过校验，直接凉凉。

作者: KDE 时间: 2024-4-3 15:42
用ipsec 简直是折磨自己

作者: njnuko 时间: 2024-4-3 15:53

poctopus 发表于 2024-4-3 15:34
还是太年轻，IPSEc可以被精准识别，通过污染数据包，服务器端得到的返回值无法通过校验，直接凉凉。 ...

IPsec是互联网基础啊，除非你的外网IP被墙，不然不可能去搞Ipsec数据包

作者: njnuko 时间: 2024-4-3 15:56

KDE 发表于 2024-4-3 15:42
用ipsec 简直是折磨自己

搞得时候mode，proposal，identity，peer，policy是有点搞，相比wireguard来说太复杂了。但是搞完就舒坦了，一劳永逸。

作者: poctopus 时间: 2024-4-3 16:19

njnuko 发表于 2024-4-3 15:53
IPsec是互联网基础啊，除非你的外网IP被墙，不然不可能去搞Ipsec数据包

现在的墙，已经不是之前的简单粗暴的处理方法，直接屏蔽IP。

针对SS、V2RAY这类，直接屏蔽端口，就让你凉凉了。同理他完全可以屏蔽IPSEC的端口。

现在针对IPSEC只是污染数据包，就可以完全屏蔽你访问。

作者: 我的小茂密 时间: 2024-4-3 16:22
如果不是我用ipsec被封了台瓦工,我還真信了樓主的鬼話

作者: HOH 时间: 2024-4-3 16:25
ipsec早就和openvnp一起埋了还在这发现新大陆呢

作者: KDE 时间: 2024-4-3 16:27
本帖最后由 KDE 于 2024-4-3 16:39 编辑

njnuko 发表于 2024-4-3 15:56
搞得时候mode，proposal，identity，peer，policy是有点搞，相比wireguard来说太复杂了。但是搞完就舒坦 ...

建议你用 IPsec IKEv2 MSCHAPv2方案
需要一个域名ssl 可以是DDNS域名绑个免费90天ssl
这样全平台 Windows MacOS Linux iOS Android 通用
配置一个peer 使用dhcp 可以多次登录免去再配置用户名的烦恼

ipsec使用500 4500端口
国内使用还是ok的
过墙就不太行了容易噶

另外L2TP IKE IPSEC在iOS
熄屏30秒就掉了
得写配置文件保持一直链接

作者: njnuko 时间: 2024-4-3 17:27

KDE 发表于 2024-4-3 16:27
建议你用 IPsec IKEv2 MSCHAPv2方案
需要一个域名ssl 可以是DDNS域名绑个免费90天ssl
这样全平台 Window ...

国外vps ros上这样我是这么搞的，不过我不想手机直连外面，就自己搞了证书，只有家里宽带连国外vps。

欢迎光临全球主机交流论坛 (https://91ai.net/)