腾讯云VPN网关对接StrongSwan开源VPN软件配置手册

开源软件StrongSwan与腾讯云VPN网关VPN对接实施方案

声明:

文档归档人—hunterxiao

版本说明:

版本

修订日期

修订内容

修订人

联系方式

1.0

20180703

初稿完成

hunterxiao

hunter_xiao@126.com

目 录

1需求背景 1

1.1 需求 1

1.2 网络拓扑 1

1.3 环境准备 1

1.3.1 腾讯云使用VPN网关产品 1

1.3.2 阿里云购买ECS 2

1.3.3 软件安装 2

1.3.4 strongswan配置文件配置 2

1.3.5 ipsec.secrets共享秘钥配置 3

1.3.6 strongswan.conf配置 3

1.3.7 Linux服务器开启数据包转发 4

1.3.8 开启strongswan服务 5

1.3.9 阿里云路由添加 5

1.4 VPN网关配置 5

1.4.1 腾讯云VPN网关配置 5

1.5 VPN故障问题分析表 10

1需求背景

1.1需求

业务数据需要在阿里云和腾讯云之间进行安全的传输。

性价比较高的方案是使用IPsec VPN进行数据的传输。

1.2网络拓扑

阿里云VPC网段172.17.0.0/16

腾讯云VCP网段172.16.0.0/16

阿里云VPN网关IP 47.94.238.5

腾讯云VPN网关IP 140.143.25.247

1.3环境准备

需要在两家云的VPC内分别创建VPN网关

1.3.1腾讯云使用VPN网关产品

1.3.2阿里云购买ECS

ECS选择Linux centos 7.4 (服务器创建过程不进行演示请自行查找)

1.3.3软件安装

远程连接服务器安装StrongSwan软件

yum install -y strongswan
cd /etc/strongswan/
ls
ipsec.conf ipsec.d ipsec.secrets strongswan.conf strongswan.d swanctl

1.3.4strongswan配置文件配置

vim ipsec.conf
config setup
    uniqueids=yes
conn %defualt
    ikelifetime=60h
    keylife=20h
    rekeymargin=3h
    keyingtries=1
    keyexchange=ikev2
    mobike=no
    type=tunnel
conn test1 
    leftid=47.94.238.56         #阿里云vpn网关标识,推荐填写VPN 网关的IP地址
    left=0.0.0.0                #阿里云VPN 网关的IP地址,可以使用0.0.0.0
    leftsubnet=172.17.0.0/16    #允许阿里云VPC哪个地址段去访问腾讯云VPC地址段
    rightid=140.143.25.247      #腾讯云VPC网关标识推荐填写腾讯云VPN网关IP地址
    right=140.143.25.247        #腾讯云VPN网关的地址
    rightsubnet=172.16.0.0/16   #腾讯云VPC地址段,允许阿里云访问腾讯云VPC的地址段
    ike=3des-md5-modp768        #IKE加密认证算法
    esp=3des-md5-modp768        #ESP加密认证算法
    authby=secret               #认证方式共享秘钥
    auto=start                  #自动连接,add手动start自动
    aggressive=no               #VPN协商默认,no表示是main模式,yes表示野蛮模式
    dpdaction=none              #DPD检测
    keyexchange=ikev1           #ikev1

备注:vim可以使用粘贴模式这样不会出现错乱

vim 文件名,然后输入下面的命令
:set paste

输入命令后提示如下图

1.3.5ipsec.secrets共享秘钥配置

设置strongswan共享秘钥
vim ipsec.secrets 
47.94.238.5 140.143.25.247 : PSK "123456"

1.3.6strongswan.conf配置

vim strongswan.conf 
# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files
aron {
    duplicheck.enable = yes
    load_modular = yes
    filelog {
        /var/log/strongswan.charon.log {
        append = no
        default = 1
        flush_line = yes
        ike_name = yes
        time_format = %b %e %T
     }
 }
 plugins {
    include strongswan.d/charon/*.conf
    stroke {
        timeout = 4000
    }
  }
}
include strongswan.d/*.conf

1.3.7Linux服务器开启数据包转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf 
grep forward /etc/sysctl.conf 
net.ipv4.ip_forward = 1
sysctl -p

1.3.8开启strongswan服务

systemctl status strongswan.service
systemctl start strongswan.service

1.3.9阿里云路由添加

1.4VPN网关配置

1.4.1腾讯云VPN网关配置

所属网络不要选错

IKE &IPSEC配置不要配错。

共享秘钥&对端网关IP地址不要设置错误。

SPD策略不要设置错误

通道配置汇总如下图:

路由配置

1.5VPN故障问题分析表

1 核对IKE配置

2 核对IPSEC配置

3 核对VPN隧道敏感流量(SPD)

4 核对路由

5 核对是否有安全控制

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

wordpress 后台提示 define(‘WP_ALLOW_REPAIR’, true)的解决办法

64730
来自专栏张善友的专栏

Windows更新清理工具 (winsxs 清理工具)

Windows 更新清理工具是一款效果非常显著的Windows7、Windows8操作系统清理优化工具!经常安装系统的朋友相比有所体会,刚刚安装完成的Win7、...

99070
来自专栏JAVA高级架构

Redis面试题及分布式集群

31610
来自专栏木头编程 - moTzxx

Linux crontab 定时任务整理笔记

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011415782/article/de...

21320
来自专栏雨尘分享

手把手教你搭建微信小程序服务器(HTTPS)

9.9K90
来自专栏智能大石头

[netcore]CentOS安装使用.netcore极简教程(免费提供学习服务器) 新生命团队netcore服务器免费开放计划

本文目标是指引从未使用过Linux的.Neter,如何在CentOS7上安装.Net Core环境,以及部署.Net Core应用。

24600
来自专栏小樱的经验随笔

BugkuCTF 文件上传测试

前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文...

38380
来自专栏java技术学习之道

常见的Redis面试题及分布式集群讲解

46270
来自专栏晓晨的专栏

IdentityServer4实战 - AccessToken 生命周期分析

21520
来自专栏用户2442861的专栏

当你输入一个网址的时候,实际会发生什么

原文:http://igoro.com/archive/what-really-happens-when-you-navigate-to-a-url/  

18010

扫码关注云+社区

领取腾讯云代金券