如何通过strongswan等工具搭建IKEv2 VPN服务，从而远程组建办公局域网？

vi /etc/strongswan/strongswan.conf

charon {

        load_modular = yes

        duplicheck {                          #冗余检查关闭，以允许同时连接多个设备

                        enable = no

        }

        compress = yes                                  #传输启用压缩

        plugins {

                include strongswan.d/charon/*.conf

        }

        dns1 = 8.8.8.8                                  #给远程端指定DNS服务器

        dns2 = 8.8.4.4

        nbns1 = 8.8.8.8                                 #指定Windows的WINS服务器

        nbns2 = 8.8.4.4

        filelog {                                        #配置strongSwan日志级别和路径

                charon{

                   path = /var/log/strongswan.log

                   time_format = %b %e %T

                   default = 1

                   append = no

                   flush_line = yes

                }

        }

}

include strongswan.d/*.conf

vi /etc/strongswan/ipsec.conf

config setup

        uniqueids=never               #关闭ID唯一性，即允许多个客户端使用同一个证书，多设备同时在线

conn %default                           #默认配置项，其他conn配置项都会调用此默认项

#       left=%any                           #left表示local，即本地端（服务器端）IP地址；%any是魔数字，表示任意地址

        leftsubnet=10.0.0.0/16                #本地端网络，0.0.0.0/0为通配，表示所有IP网段

       leftsubnet=0.0.0.0/0

#       leftsubnet=192.168.0.0/16

        leftid=192.168.0.1

#       lefthostaccess=yes

        mask=255.255.255.255

#       right=%any                          #right表示remote，即远程端（客户端）IP地址可为任意地址

        rightsubnet=10.10.0.0/24

        rightsourceip=10.10.0.0/24         #分配给远程端的虚拟IP地址段，尽量避免使用常用私网地址段以免冲突

        righthostaccess=yes

        compress = yes #是否启用压缩, yes 表示如果支持压缩会启用.

        dpdaction = hold #当意外断开后尝试的操作, hold, 保持并重连直到超时.

        dpddelay = 30s #意外断开后尝试重连时长

        dpdtimeout = 60s #意外断开后超时时长, 只对 IKEv1 起作用

        inactivity = 1800s #闲置时长,超过后断开连接.

conn IKEv2-EAP                          #供Windows 7+, IOS9+使用。IKEv2，EAP验证

        keyexchange=ikev2                   #密钥交换使用IKEv2

        ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!                #第一阶段加密方式

        esp=aes256-sha256,3des-sha1,aes256-sha1!                                           #ESP的顺序与IKE一致

        rekey=no                            #本地端对Windows远程端发出rekey请求会断开连接，所以需配置为no

        leftauth=pubkey                     #本地端使用公钥验证

        leftcert=server.cert.pem            #指定本地端证书

        leftsendcert=always                 #本地端总是发送证书

        leftid=<服务器外网IP>               #本地端标识，使用本地端公网IP地址作为标识，和生成服务器证书时的--san参数对应

        leftfirewall=yes

        rightauth=eap-mschapv2              #远程端使用eap-mschapv2验证

        rightsendcert=never                 #不要求远程端发送证书

        eap_identity=%any                   #指定EAP验证身份，任意账户

        fragmentation=yes                   #允许分片

        auto=add                            #strongSwan启动时添加连接类型但不启动

以下是防火墙部分配置：

#打开ip v4的转发功能

vi /etc/sysctl.conf

net.ipv4.ip_forward=1

sysctl -p

#添加 nat 转发

systemctl enable firewalld.service

systemctl start firewalld.service

firewall-cmd --permanent --add-service="ipsec"

firewall-cmd --permanent --add-port=500/udp

firewall-cmd --permanent --add-port=4500/udp

firewall-cmd --permanent --add-masquerade

求大神支招T_T~~~