openswan与sangfor的ipsec vpn对接

分享下openswan与sangfor的vpn对接的三个案例及当中研究的过程，希望大家共同进步，感觉按照我的文档操作下来应该是可以成功的，如果不行请留言,贴出配置一起研究。

附件为主模式和野蛮模式的案例及centos下如何安装openswan。

ps：之前只研究过openswan做网关直接与sangfor做对接,自己拿ac测试机再装了一台虚拟机做实验，主模式下ipsec vpn还是比较简单，难点配置还是在openswan上面(因为接触的少)，当时参考的文档是cisco官网上一篇关于cisco与strongswan做对接的文档，strongswan与openswan类似，所以就参考了下，配置起来还行。

然后昨天论坛上一位北京的朋友发帖问到了关于openswan和sslvpn设备的对接,当时回了帖后来加了QQ远程看了一下,结果发现环境还是有点小复杂的,sslvpn网关部署,然后在亚马逊的云上有一台服务器，不是直接在公网上的，是相当于内网的一台服务器，客户要求是服务器和sslvpn做ipsecvpn,当时沟通下来，理解这台openswan类似于我们vpn设备的单臂模式，网上关于openswan几乎找不到这种文档，也不知道支不支持这种环境，然后把晚上下了班自己搭环境，翻墙找文档研究,终于搞成功了，这里还要感谢400同事2194的协助。

2018/3/7更新: 更新下sangfor端作为客户端，openswan作为主的配置解决了一位朋友的问题

好好看看

http://bbs.sangfor.com.cn/forum. ... ghlight=&page=1

这个帖子中遇到的问题是野蛮模式下阶段一无法建立的问题,时间也蛮久的了,一年半了吧，昨天也过程也碰到了这个问题，困扰了我半天，和2194一起抓包看，发现设备只回了2个包(ipsec野蛮模式下3个包),出现协商超时，2194觉得问题还是出在协商下，怎么办呢,openswan配置不是很熟悉啊,只能翻墙找呗(吐槽下百度，真心搜不出啥东西来)最后在老外的论坛里搜到了一篇帖子,是关于ipsec.secrets的配置，主模式下secrets文件一般默认填写两端的ip地址,这里然后改成id,阶段一立刻就协商成功了,vpn就快乐的搭建了起来,建好后发现sangfor到172.16.0.0段通,172段ping不通10.0.0.0段,这个问题很好解决了,linux iptables没有开启转发,最后终于搞通了。

关于openswan做主，sangfor在nat下面的野蛮模式 后期有空做下实验做下文档。

ps：2018/3/7更新

超给力的

感谢楼主的分享，满 满的干货，必须点赞、打赏

给力

这下场景应该都全了，openswan对接ipsec主要难点就在于对openswan的各种模式下的配置参数不熟悉，导致配置错误各阶段起不来的现象。 大家可以参考这个场景下的案例来配置，如果有问题私信。

谢谢分享。