在企业网络环境中,远程访问和跨地域连接是日常运维的核心需求之一，Red Hat Enterprise Linux 6（RHEL 6）作为一款曾经广泛部署的稳定操作系统，虽然官方已停止支持（EOL），但在部分遗留系统中仍被使用，若你正运行 RHEL 6 并希望搭建一个安全、稳定的 IPsec-based 虚拟私人网络（VPN），本文将为你提供一套完整、可落地的配置方案。

明确目标：通过 IPsec 协议实现站点到站点（Site-to-Site）或远程拨号（Remote Access）类型的 VPN 连接，确保数据传输加密、身份认证可靠、访问控制严格，RHEL 6 自带强大的开源工具链——Openswan（IPsec 实现） + StrongSwan（可选替代）+ iptables 防火墙策略，足以胜任此任务。

第一步：环境准备
确保你的 RHEL 6 系统已安装 openswan 包（通常默认包含）：

yum install -y openswan

编辑主配置文件 /etc/ipsec.conf，定义两个站点间的隧道参数（总部服务器 A 和分支机构服务器 B）：

config setup
    protostack=netkey
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
conn site-to-site
    left=YOUR_PUBLIC_IP_A
    leftsubnet=192.168.1.0/24
    right=YOUR_PUBLIC_IP_B
    rightsubnet=192.168.2.0/24
    authby=secret
    auto=start
    type=tunnel
    keylife=1h
    keyingtries=3

第二步：密钥管理
创建预共享密钥（PSK）文件 /etc/ipsec.secrets：

YOUR_PUBLIC_IP_A YOUR_PUBLIC_IP_B : PSK "your_strong_pre_shared_key_here"

注意：该密钥需在两端保持一致，建议使用复杂字符串并定期更换。

第三步：启用并启动服务
设置开机自启并启动 IPsec：

chkconfig ipsec on
service ipsec start

检查状态：

ipsec status

若看到“State: INSTALLED, IKE SA: established”，说明隧道已成功建立。

第四步：配置路由与防火墙
确保两边服务器能互相访问对方子网，并开放 UDP 500（IKE）和 UDP 4500（NAT-T）端口：

iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
service iptables save

第五步：测试与排错
使用 ping 测试两端子网连通性，如 ping 192.168.2.10（B 站点内网地址），若不通，查看日志：

tail -f /var/log/messages | grep ipsec

常见问题包括：PSK 不匹配、防火墙拦截、NAT 地址冲突等。

额外建议：若需支持用户级远程接入（类似 Cisco AnyConnect），可结合 FreeRadius 或 OpenLDAP 做 EAP 认证，但此场景超出基础 IPsec 范畴。

尽管 RHEL 6 已进入生命周期末期，其 IPsec 功能依然成熟可靠，通过上述步骤，你可以在旧系统上快速部署企业级站点间加密通信通道，但强烈建议尽快迁移至受支持版本（如 RHEL 8/9），以获取持续的安全更新与性能优化。