策略型VPN对接strongswan

一、组网

二、购买VPN网关

参考https://cloud.tencent.com/document/product/554/52861

三、配置IDC侧服务器配置

① 安装strongswan

yum install strongswan -y

② 配置strongswan(供参考)

vim /etc/strongswan/ipsec.conf

示例：

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup

# strictcrlpolicy=yes

# uniqueids = no

charondebug="all"

conn %default

ikelifetime=1440m

keylife=60m

rekeymargin=3m

keyingtries=0

keyexchange=ikev1 #ike版本

authby=psk

conn toshanghai

left=%defaultroute

leftid=x.x.x.x #本地端VPN网关公网IP

leftsubnet=192.168.22.0/24 #本地端私有网络地址，如果要确保VPC网段都能通，需要添加整段VPC地址

right=x.x.x.x #对端V**网关公网IP

rightsubnet=172.16.1.0/24 #对端私有网络地址

auto=start #进程主动时立即建立 IPsec 安全连接

type=tunnel

ike=3des-md5-modp1024

esp=3des-md5-modp1024

③ 配置认证密钥

vim /etc/strongswan/ipsec.secrets

④ 服务器系统配置

[root@VM-22-6-centos ~]# vim /etc/sysctl.conf

#配置转发，默认是0

net.ipv4.ip_forward = 1

#关闭重定向，防止恶意用户可以使用IP重定向来修改远程主机中的路由表

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

⑤ 使能系统配置

sysctl -p

⑥ 启动服务，设置开机自启，配置路由（如有需要）

四、配置VPNGW

五、测试连通性