写在前面的闲话

后面有篇文章，为 iOS 在 CentOS6.x 上搭建 IPSec(PSK+XAuth) VPN 服务器，说的是一样的事情，只不过平台是 CentOS 6.x。

有朋友看了本文后问，这种文章百度上不多的是吗，干嘛还要写？然后我就想这个问题也许还真有代表性，于是就把文章修改下，统一回答：

1. 网上的方案多是ipsec+l2tp或者是ipsec+xl2tp的，我觉得不需要那么复杂，有ipsec加密数据流就OK了，所以我这方案应该是满足需求的最简方案
2. 我写东西，多半是为了心理安慰。而且这也不算是完全原创，准确讲应该是实验报告，参照的是最后参考里列出的国外的那篇文档

缘起(Why)

需求还是来自于科学上网，iPhone设备的科学上网。话说自打最新的iOS中

1. 不再支持pptp方式的vpn了
2. 没有全局性的ss(Shadowsocks)可用
3. OpenVPN的客户端软件市场中都看不见(Tunnelblicck是没找到)

所以，为了iPhone的科学上网，我们只有自力更生，搭建新的服务器系统。这里，我选用的是IPsec服务器。

缘起

相比Debian系的Linux发布版(如Debian、Ubuntu)，都能很好地支持在线大版本升级，RedHat系的Linux发布版（如RedHat、CentOS），其大版本升级一直是为人所诟病的问题。

Why

为嘛？因为GoDaddy的域名续费太黑了，忽悠转进来时低价，一旦到续费的时候，马上翻番。我等忍受不了，立马用脚投票：换地方！比较了一圈儿，貌似namesilo价钱还比较厚道，于是马上动手：域名迁往namesilo！

Why

为什么要做服务器的集中认证（和统一权限管理）呢？简答之：当服务器数量呈几何级增长之后，为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务（试想下为一万台服务器上的每个用户每三个月修改一次密码），虽然现在也可以通过类似于ansible之类的工具也可以比较容易地做到，但我们有更好的解决方案—-统一认证，这样，只需要在一个地方维护用户数据即可，这样简洁可靠的方案，肯定比ansible之类的方案更胜一筹呀。

简述

这是适合小型网络（公司办公室或家庭）的”科学上网”方案之一的ipv6方案，此方案是我极同事搞的，我这里主要是学习，然后做过在路由器上封来自于公网ipv6网往小型网络内部的机器（都有正式ipv6地址）的访问。

点评下：
思路灰常灵活，非常适用于办公网、家庭网的“科学上网”方案

所用资源

1. 路由器
   • 极一（跑openwrt）
   • ip地址（私网）：10.0.0.5
   • ip地址（公网）：3.3.3.3
2. 虚机
   • IPV6
   • 2.2.2.2
   • dnscrypt-wrapper(optional)
     • 用来配合 dnscrypt-proxy 直连，破除 dns 污染
3. DNSCrypt-proxy(optional)
   • 解决某些域名被 dns 污染的问题。
4. HE的账号

Why

在服务器之间倒腾数据是运维工作的常见场景，这个运维的同行们应该都心有戚戚焉吧，比如要把一台服务器上的服务迁移到另外一台服务器上、比如这个服务又新上一台服务器，需要把数据从老服务器上同步过来一份，类似的需求是不是感觉经常碰到呢？

Howto

1. scp
2. rsync
3. sftp
4. nc
5. socat
6. ……

缘起

Linux系统下域名解析的配置文件是/etc/resolv.conf，这个大家都知道。估计一般的系统管理员、运维人员都知道在这里面配置上两个或更多的nameserver，以便一个挂掉后还能正常解析域名。但真的情况是这样吗？
我从某次故障说起吧，有一次，线上报大量的dns解析失败，上去看，发现是一台nameserver挂掉了，幸好/etc/resolv.conf中的另外一台没有挂，所以，还不是百分百的解析失败。从逻辑上来讲，这些失败的请求应该会去尝试另外一个（好的）nameserver的，但是重试的场景和策略是什么呢？不得而知。所以我就关注了下/etc/resolv.conf文件的配置问题。

什么是IPv6

Internet Protocol version 6 (简称IPv6) 是 Internet Protocol（互联网协议） (IP)的最新一个版本，IPv6主要是为了解决IPv4地址枯竭的问题而开发的，目的是为了替换当前所用的IPv4。

虽然IPv6天生是为了替代IPv4的（生而自豪），而且最近几年IPv4地址也已然分配完，但是由于NAT这种技术的存在，使得IPv6还没有真正意义上的”取代”IPv4。尤其是在“我大宋”，除了教育网有IPv6的环境以外，其他基本都不支持IPv6。不过国外貌似发展的还可以，好些运营商都已经开始支持IPv6了。

概述

这篇文档其实主要讲的是行内关于“打洞”的事情。

什么叫“打洞”

通过在两个私网之间打一条隧道（tunnel）而把他们连接起来的方法，行内俗称“打洞”，其实专业的说法应该是“搭建隧道”，在两个能路由的两个单独的私有网络之间搭建一条隧道（tunnel）以便于两个私网之间能够直接互通。

楔子

前面的文章：Linux下用GRE隧道直接联通两个私网里讲了怎样用在两个独立的私网间打洞(GRE tunnel)来直接连通两个不同的私网，进阶需求就是希望能把这个tunnel加密一下。否则，有心的坏人可能会在外部线路上窃听到很多敏感的信息。因此，本文将要讲的，算是前一文章的进阶部分：给打洞的隧道加密！

Why “GRE over IPSec”

光是说加密隧道的话，方案有好几种：

• IPSec tunnel
• GRE over IPSec
• IPSec over GRE
• ……

我们为什么选用GRE over IPSec呢？
跟单纯的IPSec tunnel比，优势在于：

• 方案更灵活，我们可以灵活的把要加密的流量路由到GRE隧道上
• 而且IPSec不支持多播，像OSPF或其他高大上的路由协议没法玩儿

跟IPSec over GRE比：

• 更安全。整个上公网的流量都是加密的，但从外部根本都不知道跑的是GRE协议。

接下来，我们主要就是要讲的方案是：GRE over IPSec