文档首页 > > 管理员指南> 示例:使用OpenSwan配置云上云下互通

示例:使用OpenSwan配置云上云下互通

分享
更新时间: 2019/06/26 GMT+08:00

操作场景

云端在VPC中购买了VPN网关和连接,云下客户使用主机安装IPsec软件与云端对接,客户主机在出口网络进行了一对一的NAT映射。

拓扑连接

本场景拓扑连接及策略协商配置信息如图1所示。

云上VPC的VPN网关IP:11.11.11.11,本地子网:192.168.200.0/24。

客户主机NAT映射IP:22.22.22.22,本地子网:192.168.222.0/24。

云端ECS与客户主机的本地IP地址分别为192.168.200.200和192.168.222.222。

VPN连接的协商参数使用华为云缺省配置。

图1 拓扑连接及策略协商配置信息

配置步骤

本实例以客户测VPN配置信息为例,详细介绍Linux中openswan两种IPsec客户端VPN配置。

  1. 开启IPv4转发。

    vim /etc/sysctl.conf 
    net.ipv4.ip_forward = 1        //编辑增加内容
    /sbin/sysctl –p                    //执行命令,生效转发配置命令

  2. iptables配置。

    确认关闭firewall或允许数据流转发,查询命令:iptables –L
    iptables -L
        Chain INPUT (policy ACCEPT)
        target     prot opt source               destination 
        Chain FORWARD (policy ACCEPT)
        target     prot opt source               destination 
        Chain OUTPUT (policy ACCEPT)
        target     prot opt source               destination 

  3. 预共享密钥配置。

    openswan
    vim /etc/ipsec.d/open_ipsec.secrets              //创建并编辑open_ipsec.secrets文件
    22.22.22.22 11.11.11.11 : psk "ipsec-key"

    格式:本地用于连接的IP+空格+远端网关IP+空格+英文冒号+空格+PSK+预共享密钥,冒号的两边都有空格,PSK大小写均可,密钥用英文双引号。

  4. ipsec连接配置。

    vim /etc/ipsec.d/open_ipsec.conf          //创建并编辑open_ipsec.conf文件
    conn openswan_ipsec                                 //定义连接名称为openswan_ipsec
    authby=secret                                     //定义认证方式为PSK
    auto=start                                          //可选择add、route和start
    ikev2=never                                       //关闭IKEv2版本
    ike=aes128-sha1;modp1536                 //按照对端配置定义ike阶段算法和group
    keyexchange=ike                                // ike密钥交换方式
    ikelifetime=86400s                             // ike阶段生命周期
    phase2=esp                                        //二阶段传输格式
    phase2alg=aes128-sha1;modp1536 //按照对端配置定义ipsec阶段算法和group
    compress=no                                      //关闭压缩
    pfs=yes                                             //开启PFS
    salifetime=3600s                                //二阶段生命周期
    type=tunnel                                       //开启隧道模式
    left=192.168.222.222                         //本地IP,nat场景选择真实的主机地址
    leftid=22.22.22.22                              //本地标识ID
    leftsourceip=22.22.22.22                     //存在nat源地址选择nat后IP
    leftsubnet=192.168.222.0/24               //本地子网
    leftnexthop=22.22.22.1                       //nat场景下一跳选择nat后的网关IP
    right=11.11.11.11                              //远端VPN网关IP 
    rightid=11.11.11.11                                   //远端标识ID
    rightsourceip=11.11.11.11                   //远端源地址选择VPN网关IP
    rightsubnet=192.168.200.0/24             //远端子网
    rightnexthop=%defaultroute                //远端路由按缺省配置

  5. 启动服务。

    service ipsec sotp                 //关闭服务
    service ipsec start                 //启动服务
    service ipsec restart              //重启服务
    openswan auto –down openswan_ipsec        //关闭连接
    openswan auto –up openswan_ipsec             //开启连接
    说明:

    每次修改配置都需要重启服务,并重新开启连接。

配置验证

通过查询ipsec的状态,结果显示如下信息(摘录),查询状态命令:ipsec --status。
Connection list:
000  
000 "openswan_ipsec": 192.168.222.0/24===192.168.222.222<192.168.222.222>[22.22.22.22]---22.22.22.1...11.11.11.11<11.11.11.11>===192.168.200.0/24; erouted; eroute owner: #30
000 "openswan_ipsec":     oriented; my_ip=22.22.22.22; their_ip=11.11.11.11; my_updown=ipsec _updown;
000 "openswan_ipsec":   xauth us:none, xauth them:none,  my_username=[any]; their_username=[any]
000 "openswan_ipsec":   our auth:secret, their auth:secret
000 "openswan_ipsec":   modecfg info: us:none, them:none, modecfg policy:push, dns:unset, domains:unset, banner:unset, cat:unset;
000 "openswan_ipsec":   labeled_ipsec:no;
000 "openswan_ipsec":   policy_label:unset;
000 "openswan_ipsec":   ike_life: 86400s; ipsec_life: 3600s; replay_window: 32; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0;
000 "openswan_ipsec":   retransmit-interval: 500ms; retransmit-timeout: 60s;
000 "openswan_ipsec":   initial-contact:no; cisco-unity:no; fake-strongswan:no; send-vendorid:no; send-no-esp-tfc:no;
000 "openswan_ipsec":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEV1_ALLOW+SAREF_TRACK+IKE_FRAG_ALLOW+ESN_NO;
000 "openswan_ipsec":   conn_prio: 24,24; interface: eth0; metric: 0; mtu: unset; sa_prio:auto; sa_tfc:none;
000 "openswan_ipsec":   nflog-group: unset; mark: unset; vti-iface:unset; vti-routing:no; vti-shared:no; nic-offload:auto;
000 "openswan_ipsec":   our idtype: ID_IPV4_ADDR; our id=119.3.88.8; their idtype: ID_IPV4_ADDR; their id=122.112.222.188
000 "openswan_ipsec":   dpd: action:hold; delay:0; timeout:0; nat-t: encaps:auto; nat_keepalive:yes; ikev1_natt:both
000 "openswan_ipsec":   newest ISAKMP SA: #3; newest IPsec SA: #30;
000 "openswan_ipsec":   IKE algorithms: AES_CBC_128-HMAC_SHA1-MODP1536
000 "openswan_ipsec":   IKE algorithm newest: AES_CBC_128-HMAC_SHA1-MODP1536
000 "openswan_ipsec":   ESP algorithms: AES_CBC_128-HMAC_SHA1_96-MODP1536
000 "openswan_ipsec":   ESP algorithm newest: AES_CBC_128-HMAC_SHA1_96; pfsgroup=MODP1536
000  
000 Total IPsec connections: loaded 1, active 1
000  
000 State Information: DDoS cookies not required, Accepting new IKE connections
000 IKE SAs: total(1), half-open(0), open(0), authenticated(1), anonymous(0)
000 IPsec SAs: total(1), authenticated(1), anonymous(0)
000  
000 #3: "openswan_ipsec":4500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 15087s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate
000 #30: "openswan_ipsec":4500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 1744s; newest IPSEC; eroute owner; isakmp#3; idle; import:admin initiate
000 #30: "openswan_ipsec" esp.b810a24@11.11.11.11 esp.aab7b496@192.168.222.222 tun.0@11.11.11.11 tun.0@192.168.222.222 ref=0 refhim=0 Traffic: ESPin=106KB ESPout=106KB! ESPmax
=4194303B
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区