VPN网关部署之VPC与 Strongswan互通

通过在 VPC 内部署 VPN 网关,对接线下 IDC 软件使 VPC 和 IDC 私网互通,不需要部署专用 VPN 硬件实现。
本文以 Strongswan 软件为例介绍部署 VPN 网关的操作步骤。

备注:

1、本身线下IDC也是通过 VPC 网络进行模拟。

2、在部署之前要注意线下 IDC 和 VPC 的网段不能相同。并且线下IDC必须要有静态公网IP,目前不支持动态拨号接入。

应用场景

线下 IDC 通过自建的 Strongswan 环境和 VPN 网关建立 IPSEC VPN ,实现线下 172.16.0.0/12 和 云端 VPC 192.168.0.0/16 内网互通。

部署步骤

云端 VPN 网关配置

1、创建 VPN 网关

2、创建用户网关

3、创建 VPN 连接

4、设置路由

到这里 VPN 网关基本配置完毕,在 VPC 的 VRoute 上设置去往云下 IDC 的内网网关指向到 VPN 网关上。

至此 VPN 网关段已经全部设置完成。

云下 Strongswan 配置

1、安装 Strongswan
[root@strongswan ~]# yum install strongswan -y

2、Strongswan 配置
/etc/strongswan/ipsec.conf 配置文件
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
uniqueids=never
conn %default
authby=psk
type=tunnel
conn tomyidc
keyexchange=ikev1
left=0.0.0.0
leftsubnet=172.16.0.0/12
leftid=116.62.203.190
right=106.15.94.101
rightsubnet=192.168.0.0/16
rightid=106.15.94.101
auto=route
ike=aes-sha1-modp1024
ikelifetime=86400s
esp=aes-sha1-modp1024
lifetime=86400s
type=tunnel

/etc/strongswan/ipsec.secrets 配置文件

116.62.203.190 106.15.94.101 : PSK ""

/etc/strongswan/strongswan.conf 配置文件
# strongswan.conf - strongSwan configuration file
# Refer to the strongswan.conf(5) manpage for details
# Configuration changes should be made in the included files
charon {
load_modular = yes
filelog {
/var/log/strongswan.log {
time_format = %b %e %T
append = no
default = 4
flush_line = yes
}
}
plugins {
include strongswan.d/charon/*.conf
}
}

3、系统内部开启转发系统
[root@strongswan ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
这个只是临时生效,重启后配置会失效,如果要长期生效需要在 /etc/sysctl.conf 配置文件下添加 “net.ipv4.ip_forward = 1”

4、去往 云上的内网网段指向到配置 Strongswan 的服务器上。由于我们环境是通过 VPC 环境模拟的,所以也是在 VRoute上指定。

测试

在云下一台服务 172.16.2.76 上 ping 云上 192.168.1.66 通了,说明整个环境搭建成功。

172.16.2.76 抓包截图看到是正常的来回:

Strongswan 配置服务器上抓包可以看到交互的步骤是:

  • 收到 172.16.2.76 去往 192.168.1.66 的请求
  • 进行加密,帮请求发送到云上的 VPN 网关上
  • 接到 VPN 网关的回包
  • 解密成正常的报文回给 172.16.2.76


VPN 网关上抓包,和Strongswan 配置服务器上抓包交互是一致的,只是方向反了下:

云上 ECS 192.168.1.66 上抓包,也是正常的 ICMP 的交互:

总结

VPN网关部署与 Strongswan 互通配置步骤还是比较简单的。只要在于 VPN 隧道的建立和网络调试的过程。

如果出现配置后不通的情况,可以把 Strongswan 的日志打开查看隧道是否建立正常,如果隧道建立还是不通,检查云上 ECS 安全组的配置,和云下的安全策略。如果还是不通通过各个节点抓包分析问题出现在哪里。

时间: 2024-10-27 23:22:46

VPN网关部署之VPC与 Strongswan互通的相关文章

阿里云VPN网关部署实践

摘要: 2017年5月23日,在云栖大会·成都峰会上,阿里云推出VPN网关,为企业构建混合云提供了新选择.在VPN网关的支持下,企业可以在几分钟内完成企业数据中心与阿里云VPC之间的互联,大幅降低了企业成本的同时,还获得数据传输安全性.   VPN网关是很常用的网络服务,不管是Site-to-Site VPN,还是Client-to-site VPN都经常用到.阿里云本次发布的VPN网关是IPSec VPN,支持Site-to-Site,非常适合用户线下IDC和云上VPN构建混合云.本文介绍阿里

VPN网关最佳实践系列(一)如何让VPC之间互通

话题引入 VPN网关是阿里云新推出的一项网络服务,可以帮助你的企业轻松构建安全.稳定.高可用的网络互联方案.相比传统VPN软件和自建VPN,阿里云VPN网关部署方便,即开即用,售后支持专业. 今天,我们来谈一谈如何如何部署和配置VPN网关,使两个VPC之间能够私网互通,把你的云上网络连接起来. 提示:VPN网关是基于Internet建立加密隧道进行通信,通信质量依赖Internet.如果有更高要求的VPC互通,可以使用高速通道,详情参考跨账号VPC互通和跨地域VPC互通. 本操作以同一个账号下的

VPN网关最佳实践系列(二)配置山石防火墙,安全连接云上VPC与云下IDC

在构建混合云时,保证云上云下的通信安全,实现云上网络和企业IDC现有防火墙设备的有效互通,是混合云安全的一个不可忽略的重要环节.山石网科的下一代防火墙系列是企业广泛使用的一款网络安全产品.该产品以其优秀的性能入选Gartner的下一代防火墙魔力象限.权威安全测评机构NSS Labs将山石防火墙列为推荐级产品. 经过我们的测试,阿里云VPC完全兼容与山石网关防火墙设备之间的互联.今天,我们学习一下配置阿里云VPN网关和山石防火墙的正确姿势,实现云上云下互通,构建安全可靠的混合云网络. 顺便提一下,

VPN网关最佳实践系列(三)如何配置与华三H3C防火墙连接,构建混合云网络

新华三公司拥有诸多系列的网络安全产品,其中的防火墙产品系列是目前广泛被企业采用的数据中心安全产品.经过测试,阿里云VPN网关完全兼容H3C的企业防火墙产品.通过配置这两款产品,企业能够快速打通从云下到云上的数据通信,安全构建混合云的网络基础架构.本文罗列了从头到尾的产品配置步骤,供大家参考. 顺便提一下,阿里云VPN网关9月到11月推出半价体验优惠活动,详情请见 https://promotion.aliyun.com/ntms/act/vpngateway.html 规划和准备 部署VPN网关

阿里云VPN网关常见问题与解决方法

阿里云VPN网关产品2017年5月20日正式对外公测(相关介绍可参考:link),至今已经上线半年多的时间,在这段时间内我们也收到了很多用户的问题反馈及建议,对于用户提出的建议我们们归纳整理,并且会在接下来的时间里排期改进. 在这篇文章里,我们会重点关注用户在使用过程中遇到的问题以及相应的解决方法.需要说明的是,目前的阿里云VPN网关只支持IPsec VPN功能,SSL VPN功能近期将会推出. IPsec(Internet Protocol Security)协议是一个协议组合,包括IKE密钥

上云实践之使用VPN网关轻松构建混合云

在2017阿里云网络技术高峰论坛上,阿里云VPN网关产品经理奈玟分享主题<使用VPN网关轻松构建混合云>.奈玟,阿里云VPN网关产品经理,有七年的网络相关开发和设计经验,最开始是做传统网络路由器交换机的传统协议,2012年在传统交换机上实现了OpenFlow 1.0协议,由此开始转到云网络.本文介绍的内容包括混合云概念.混合云私网构建.VPN网关产品简介和应用场景以及VPN网关搭建混合云架构的实战演示. 混合云简介 十年前,几乎所有的IT企业都是选择自建IDC,但是自建IDC十分复杂且成本巨大

从此,国际站用户也能使用阿里云VPN网关服务

11月,阿里云VPN 网关(VPN Gateway)服务正式对国际站用户发布,也就是说以后阿里云国际站用户,也可以便捷使用VPN网关服务了. 阿里云VPN 网关是一款基于 Internet,通过加密通道将企业数据中心和阿里云专有网络(VPC)安全可靠连接起来的服务.阿里云VPN网关支持IPSec加密协议,可满足绝大多数VPN连接的需求. VPN网关服务主包含以下组件:一是VPN 网关,是客户在VPC中创建的IPSec VPN网关.一个 VPN 网关可以有多个VPN连接.二是用户网关,是客户在本地

除了4K非编NAS、VPN网关 阿里云在成都还发布了哪些产品?

3天,150多个国家,20多台万终端设备,一场突如其来的WannaCry蠕虫勒索病毒,让全世界意识到了网络世界的风险以及安全技术的重要性.5月23日,在云栖大会·成都峰会上,阿里云再次传递了基于数据智能的理念和安全技术,也发布了帮助初创企业解决"安全"的问题"产业安全扶助计划"--为100家创业公司提供免费安全防护.   同时,阿里云也推出了多项新技术.新产品,包括支持12层4K画质非编的云端文件存储NAS Plus.混合云网络设施新方案VPN网关.更实惠的冷数据存

阿里云推出VPN网关 混合云网络成本暴降85%

2017年5月23日,在云栖大会·成都峰会上,阿里云推出了适用于金融.游戏.医疗.制造等混合云热门领域的全新网络服务------VPN网关,为企业构建高效的混合云提供了新选择.在VPN网关的支持下,企业可以在几分钟内完成企业数据中心与VPC之间的网络搭建,就好像柏油路通到家门口一样便利,在保证数据传输安全可靠的同时大幅降低了企业的成本.相比专线方案,可节省85%的费用.     据悉,阿里云VPN网关采用了IKE(秘钥交换协议)和IPsec的金融级别加密,仅需10分钟即可完成自建数据中心与云上V