深信服SSLVXN 第三方 IPSecVXN 使用Strongswan连接阿里云VPC配置

最新推荐文章于 2024-05-12 09:31:14 发布
最新推荐文章于 2024-05-12 09:31:14 发布
阅读量1w 收藏 7
点赞数 1
分类专栏: 网络知识记录 文章标签: ipsec stronswan 服务器 阿里云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao2581/article/details/67635030
版权

深信服SSLVXN 提供了 IPSecVXN服务,可以很方便的和第三方设备互通,此例连接阿里云单台ECS服务器,也适用于 VPC 场景; 客户端使用 Stronswan 安装比较简单,其他软件原理一样,此外推荐 阿里云官方的 FlexGW, Web图形界面,操作简单易上手,效果一样 ;
FlexGW github : https://github.com/alibaba/FlexGW
FlexGW Docker 镜像: registry.cn-hangzhou.aliyuncs.com/tao2581/flexgw

配置过程中,踩坑无数,中间也查阅参考了非常多的资料,这里把配置过程分享出来供大家参考

网络拓扑图
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5EMXxFFL-1591769369200)(http://i4.buimg.com/1949/bc8453ec8fe8fd67.jpg)]
达到的目标是阿里云ECS 上的Docker 子网可以访问左端内网, 左端内网只能到 ECS 主机,不可访问 Docker 子网,这个情况跟建立 VPC 不同,VPC 设置只需在上级路由指定互通的子网下一跳为本主机即可;

SSLVXN 服务端设置

  1. 打开控制台 https://your-sslvpn-ip:4430
  2. IPSec VPN设置 > 第三方对接
    第一阶段:
    填写设备名称、秘钥,固定ip 或者动态ip ,打开高级选项 上一步如果是动态ip 支持模式选野蛮模式,D-H 群及 ISAKMP 算法默认注意与客户端一致,身份类型选 FQDN 填写名称,后面会用到;
    第二阶段:
    添加出入站规则,如果是两端子网互通,右端有几个子网 入站规则就填几条; 出站规则是左端子网;

客户端设置

  • 安装
    apt-get install strongswan

  • 配置 ipsec.conf

vi /etc/ipsec.conf

config setup
    uniqueids=yes
conn %defualt
    ikelifetime=60h
    keylife=20h
    rekeymargin=3h
    keyingtries=1
    keyexchange=ikev2
    mobike=no
    type=tunnel
conn sangfor
    leftid=aliyun
    left=0.0.0.0
    leftsubnet=0.0.0.0/0
    #leftsubnet=10.252.129.17/32,192.168.42.0/24,10.42.0.0/16
    #leftfirewall=yes
    rightid=sangfor
    right=<right public ip>
    rightsubnet=192.168.55.0/24,192.168.1.0/24
    ike=3des-md5-modp768
    esp=3des-md5-modp768
    authby=secret
    auto=start
    aggressive=yes
    dpdaction=none
    keyexchange=ikev1
  • 配置秘钥 ipsec.secrets
aliyun sangfor : PSK "<PSK>"
  • 启动

ipsec restart
查看状态
ipsec status

  • 配置 子网 NAT 转发访问

配置 iptables 子网访问使用固定的ip 实现转换:

iptables -t nat -A POSTROUTING -s 192.168.42.0/24,10.42.0.0/16 -d 192.168.55.0/24 -j SNAT --to 10.252.129.17
添加规则在上一条之后 才能访问其他公网
iptables -t nat -A POSTROUTING -s 192.168.42.0/24 ! -o docker0 -j MASQUERADE

防火墙允许 ipsec 转发 (非必须)

iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -d 0.0.0.0/0 -m policy --dir out --pol ipsec -j ACCEPT

开放必要端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT  
iptables -A OUTPUT -p tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT  
iptables -A OUTPUT -p tcp --sport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

注意:
是否有其他防火墙规则限定了 数据转发导致冲突 , 如:

iptables -A CATTLE_NAT_POSTROUTING -s 10.42.0.0/16 ! -o docker0 -j MASQUERADE

调整规则顺序,从上到下匹配

测试

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y9VuhBSI-1591769369202)(http://i4.buimg.com/1949/7a094e157a820946.jpg)]

tao2581
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深信服防火墙对接华为企业路由IPsecVPN
cainiaoshi1122的博客
04-18 1453
华为路由与深信服防火墙对接IPsecVPN
IKEv1&IKEv2; Between Cisco IOS and strongSwan
05-09
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
Centos 7.6 Strongswan的搭建及使用
小人物也有大梦想
04-17 8407
一、服务器准备 这个不用我说了吧,我在阿里云购买的香港的服务器。 二、软件安以及证书生成 1、安必要的软件(如果你也是在阿里购买的yum源不用配置) yum -y install gpm-devel pam-devel openssl-devel make gcc epel-release strongswan 设置别名 alias ipsec='strongswan' 进入软件目录 cd...
掌握未来,探索EasyConnect的Docker新维度:docker-easyconnect
最新发布
gitblog_00100的博客
05-12 479
掌握未来,探索EasyConnect的Docker新维度:docker-easyconnect 项目地址:https://gitcode.com/docker-easyconnect/docker-easyconnect 项目介绍 docker-easyconnect 是一个创新项目,旨在使深信服的非自由软件EasyConnect和aTrust在Docker环境中运行,提供方便的socks5和ht...
Iptables实现阿里云NAT网关效果
weixin_55652418的博客
01-02 585
SNAT(Source Network Address Translation)和DNAT(Destination Network Address Translation)都是iptables中的NAT(Network Address Translation)功能的一部分,用于在数据包进出防火墙时修改源和目标IP地址。more。
ServerSAN解析(一):vVNX专业存储设备虚拟化
Hardy
12-27 2348
EMC在2014 World大会上宣布了Project Liberty计划,主要内容是将专业存储设备实现软硬件解耦、虚拟化部署。目前EMC已经发布vVNX虚拟化社区版本并提供免费下载链接。vVNX是将一款基于业界领先的 VNX 阵列实现虚拟化(vVNX),用户可以享有VNX 提供丰富的数据服务、易管理能和丰富的用户体验,同时vVNX让开发和测试系统的部署变得灵活、简单。用户可以在使用VNX存储专业存储服务的同时,也降低采购和软硬件成本。
深信服AF防火墙配置SSL VPN
m0_64423407的博客
12-28 2427
深信服防火墙配置SSL VN
阿里云VPC产品详解
01-29
3. **强大的互联互通能力**:得益于阿里巴巴的全球骨干网络,阿里云VPC可以轻松实现多地VPC的互联,通过高速通道产品,用户可以便捷地连接不同地域或国家的VPC,满足全球化部署需求。 4. **低侵入性**:阿里云VPC在...
阿里云云计算2023最新视频 :课时12:VPC的规划和使用.mp4
07-29
阿里云云计算2023最新视频 : 课时1:阿里云整体架构.mp4 课时2:阿里云平台优势.mp4 课时3:云服务器ECS的概念.mp4 课时4:ECS实例.mp4 课时5:ECS的优势.mp4 课时6:ECS的使用.mp4 课时7:ECS的计费和使用限制.mp4...
阿里云 专有云企业版 V3.8.1 专有网络VPC 安全白皮书 20190910
04-08
未经阿里云事先书面同意,用户不得向任何第三方披露本手册内容或提供给任何第三方使用。 2. 未经阿里云事先书面许可,任何单位、公司或个人不得擅自摘抄、翻译、复制本文档内容的部分或全部,不得以任何形式或途径...
阿里云 专有云企业版 V3.8.1 专有网络VPC 技术白皮书 20190910
04-08
本技术白皮书旨在为用户提供阿里云专有云企业版V3.8.1专有网络VPC的技术细节和使用指南,以帮助用户更好地理解和使用阿里云专有云企业版V3.8.1专有网络VPC。 知识点: 1. 阿里云专有云企业版V3.8.1专有网络VPC的...
strongswan与sangfor的ikev2配置
zdl244的博客
07-03 1270
strongswan与sangfor的ikev2配置 ikev1参考:https://blog.csdn.net/zdl244/article/details/103163256 [root@moc ~]# yum install epel-release -y [root@moc ~]# yum install strongswan -y [root@moc ~]# cat /etc/strongswan/ipsec.conf config setup # strictcrlpolicy=
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8352
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
深信服 华为路由器 ipsce对接
weixin_44047677的博客
12-22 2482
深信服 华为路由器 ipsce对接前言一、深信服设置1、在深信服,完成设置后得到以下参数: 前言 公司总部是深信服服路由器,有固定ip,项目上没有固定IP。 在其他项目上实现和总部互联互通,在分部加一台深信服预算不允许。华为的路由器 网关+ac 无线控制器功能的 AR 系列就很棒, 在网上类似的贴子都太老了,刚尝试实现链接的时候踩了不少坑,这个帖子稍微汇总一下。 一、深信服设置 1、在深信服, 导航菜单 - >VPN配置 -> 第三方对接 -> 第一段对接 在此新增 完成设置后得到
深信服AF对接配置
jennycisp的博客
04-19 936
深信服云安全访问服务(Sangfor Access)是国内首批基于SASE模型的云安全服务平台,将深信服已有的安全能力(上网行为管理、终端安全检测与响应、上网安全防护、内网安全接入服务等)聚合并云化,通过轻量级客户端软件,将网络流量引流上云进行管理和安全检测,满足企业总部、分公司、移动办公多场景下的办公安全需求。
strongswan 搭建 IPSec 实验环境
yuyu的博客
09-09 8466
使用两个CentOS7虚拟机,基于strongswan搭建IPSec VPN实验环境,通过是否配置加密算法,达到产生正常和非正常ESP数据包的目的。本篇为自己填坑记录。 目录 1、准备两个CentOS7虚拟机 2、安strongswan 3、修改配置文件 4、配置NAT 5、 scp模拟大流量场景 6、修改配置文件去掉加密算法 1、准备两个CentOS7虚拟机 使其能相互ping通 (192.168.220.139 ping 通192.168.220.140) 实验拓扑如图: .
strongswan 配置ikev2 for iOS and Android
热门推荐
sonflower123的博客
02-02 1万+
strongswan 高版本已支持ikev2,ios9.0以上版本的支持ikev2,Android也是高版本的部分机型支持ikev2,本人搭建的基于ikev2交换协议的strongswan VPN服务器对与iOS 是免证书的(iOS VPN客户端自己写的),Android (VPN客户端是stongswan 官网提供的客户端服务器认证是证书,客户端认证是eap模式配置文件如下 1.生成服务器
移动接入身份认证技术
✍千里之行,始于足下 ^,^
06-05 1521
目录1.移动接入身份认证技术1.1需求背景1.2 SSL的用户 和用户组2. 移动接入身份认证技术2.1 本地帐户认证技术2.1.1 配置步骤2.2 数字证书认证技术2.2.1 数字证书认证技术原理2.2.2 数字证书认证应用过程2.3 LDAP 技术2.3.1 LDAP技术原理2.3.2 LDAP外部认证过程原理图2.4 硬件特征码认证技术3. 移动接入身份认证案例3.1 短信认证案例3.2 动...
阿里云专有云企业版V3.8.1 VPC用户指南
2. 文档内容被视为阿里云的保密信息,用户应保守秘密,未经许可不得向第三方透露或使用。 3. 阿里云有权随时更新文档内容,用户应关注最新版本,以获取准确的使用指导。 4. 文档仅作为用户使用阿里云产品和服务的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值