type
status
date
slug
summary
tags
category
icon
password
跨网路组网
1.本地native网络
角色:作为客户端
写的顺序有点反了,应该先写server的,懒的换了,大家明白原理就行了。
主要注意的点,其实是ipsec协商最主要的几点,密钥,IKE的加密、散列算法,生命周期,转换集,当然本地网络,对端网络你得清楚。
2.云服务器VPN Server
角色:作为服务端
我们选用strongswan 这个服务,由于我用的centos7,直接安装yum install strongswan
配置文件地址:/etc/strongswan/
ipsec.conf
其他参数参考官方说明,可以自行调整,主要关注网络信息,对端本地端搞清楚。
ipsec.secrets
注意格式,空格和冒号
服务端先进行启动,strongswan start
之后路由器作为客户端会进行主动协商。等待一会,当然很多路由器有联通性测试等。
strongswan status
观察到ipsec通道的状态,图中所示,已经建立连接。
3.路由转发
现在本地数据中心联通云端服务器(ipsec server)已经没有问题,但是存在一个问题,云端的vpc内有很多主机,比如建立ipsec通道的server是192.168.1.2, vpc内还有192.168.1.3, 192.168.1.4… 等众多服务,现在本地的数据中心是没法访问到这些服务器的。
但是我们通过在非ipsec server的服务器抓包发现,流量是被转发了过来,但是无法返回。
这个时候最简单,也是策略程度最小的就是在主机上添加主机路由,比如:
ip route add 192.168.3.0/24 via 10.23.158.71 dev eth0
加过之后,观察到立马就可以通信了;当然如果机器不多,可以每台都添加一下,如果机器很多,可以在云平台的该VPC内做路由策略,然后进行子网和策略的绑定,很多同学貌似新建了策略,没有进行绑定,导致通信有误。
当然ipsec server的网络参数得调整
/etc/sysctl.conf 配置如下