我知道可以直接以 root 用户去配置 Strongswan 来建立一个客户端连接，但既然用上了牛 B 得一塌糊涂的 NM，很想知道它究竟能不能配置成功？我反正是没搞定过，日志也看不出什么问题来。。。

应该可以，如果不行，配的不对

GUI 界面的呢，就填写一些必要的参数，比如服务器地址，用户名、密码之类的，其它全默认，但就是不行，貌似是证书验证阶段出的问题。

首先，建立无墙测试环境

没成功过，我怀疑这个功能压根就是坏的（当然也不排除我的 networkmanager 版本太低）

NM 确实好像有点问题，以前我用 L2TP 和 openvpn 都不行，甚至 WiFi 的 WAP2 EAP 好像都不太好用。有那工夫不如自己写配置文件……

这本来就是用来翻的呀。。。:D
而且，同一个网络里，android 版本的 Strongswan 客户端连接很流畅的，linux 下直接用 strongswan 也没问题，但通过 NM 来调用 Strongswan 就有问题了。。。

嗯，我也试过 L2TP，确实不行。
＠ redapple0204
我就困惑了，既然 NM 功能这么残废，为嘛各大发行版非要默认安装这玩意呢？而且它貌似与 virt-manager 也不兼容，用 virt 配置的 bridge，nm 就不认。

@defunct9

试过 L2TP 和 IKEv2，都没成功过。

噢，linux 的最佳实践，本来就有多种选择。我估计 nm 应该是可以的，但我也压根不会用 nm，根本就无有图形界面撒。

@defunct9。。。手机可能乱按 @到人

Ubuntu 17.04, apt-get install network-manager-l2tp-gnome, 没有问题

倒也不是说 NM 不行，目前我一直是用 NM 服务管理我的有线和无线网络，运行良好。
这些应该是你的发行版里面的源的问题，比如说我之前用 openSUSE Leap 42.2 的时候，源里面没有 NM 用的 L2TP 的依赖，因此用它上 L2TP 就不行，后来自己编译了那个包，就 OK 了。只是还存在一些小问题，我也懒得整了干脆就用了路由器。
而 也说 Ubuntu 17.04 是可以的，所以我觉得应该就不是 NM 本身的问题，应该是发行版 NM 打包的有问题？

嗯，确实是 Fedora 发行版在这方面做得不够好。这个东西既然提供了 GUI 配置，那就应该让用户能够开箱即用。
我后来想了一下，strongswan 的 nm 插件包之所以不带默认的证书路径，可能是与其安全策略有关，它跟 android 策略不同，android 版本的客户端在证书协商时是直接将所有系统 CA 一古脑全发给服务器，这样的话，如果对方服务器实际上不是你想连的服务器，就有可能被钓鱼进坑，而在 linux 的 NM 下，则是用户给特定连接配置好专用的证书，协商时只验证这个证书，一般直接就在 GUI 里配置好了，所以不用那个证书目录。
但有些 vpn 会同时验证两个以上的证书，那就要么自己合并成一个文件，要么用证书目录。