【首发原创】SANGFOR NGAF防火墙对接AWS云 配置指南 (OpenSwan)
  

安城丶 693

本帖最后由 安城丶 于 2019-9-24 15:27 编辑

SANGFORNGAF防火墙对接AWS使用OpenSwan配置指南
一、场景拓扑
696885d89c2deb85e6.png
二、AWS VPC配置
    VPC中需要添加数据中心的内网IP路由,
1.配置 VPC 基础环境
1.1 创建 VPC AWS console界面点击VPC,在左侧点击您的VPC”, 创建VPC 名称标签: MyVPC
CIDR块: 172.168.0.0/16
租赁:默认
364435d89c2e79684f.png
1.2 创建子网
将鼠标点到子网,选择创建子网标签名称:Public
VPC:选择第一步创建好的VPC 可用区:保持默认
CIDR块:172.168.1.0/24
以同样的方法创建一个172.168.2.0/24的子网
851515d89c2ef19b2e.png
1.3 创建路由表
点击路由表,创建路由表名称标签:PrivateRoute
VPC:选择1.1创建好的VPC
667565d89c2f5ebfc6.png
创建完成以后,点到刚刚创建好的路由表,在页面下列点击子网关联,点击编辑在172.168.2.0/24的路由前打勾,点击保存。
118825d89c2feec9da.png
1.4 创建 IGW
点击Internet网关,创建Internet网关名称标签:MyIGW
371165d89c30748550.png
创建完成,点击附加到VPC
选择新创建好的VPC
667355d89c31457afd.png
2. 启动并配置 VPN 实例2.1 启动实例
EC2页面,点击启动实例。选择Amazon Linux 在详细信息页中,网络请选择新创建的VPC
子网选择172.168.1.0/24
点击下一步,存储标签等按需配置
479145d89c319a91fb.png
配置安全组,选择创建一个新的安全组添加规则
自定义的UDP规则,端口500 来源任何位置自定义的UDP规则,端口4500 来源任何位置自定义协议, 协议 50 来源任何位置所有流量 来源为 172.168.2.0/24
704025d89c3226d143.png
注意:一定要放行来自于172.168.2.0/24的流量,否则无法通信。
最后审核启动,启动时指定一个用于登陆实例的key文件,如果没有创建一个新的。
2.2 配置弹性 IP (EIP)
EC2页面,左侧导航栏找到弹性IP,申请分配新地址,并将其关联到新创建的OpenSwan 实例。这里申请到的为 54.223.152.218
2.3 关闭源/目的检查
EC2页面点击OpenSwan实例,右键选择联网,更改源/目标检查,点是,请禁用
739295d89c32a140f8.png
614985d89c3309f072.png
三. 安装配置 OpenSwan3.1 登录到实例安装 OpenSwan
如何登陆实例请参考如下文档:
https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/putty.html登陆完成以后,运行如下命令安装OpenSwan
$ sudo yum -y install openswan
3.2 配置OpenSwan参数
Vim/etc/ipsec.conf version   2.0   # conforms to second version of ipsec.confspecification
#basic configuration config setup
       #Debug­logging controls:  "none"for (almost) none, "all" for lots.
       #klipsdebug=none
       #plutodebug="control parsing"
       #For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
       plutostderrlog=/var/log/ipsec.log[书轩1]                //设置Ipsec对接日志
      protostack=netkey
      nat_traversal=yes
      virtual_private=
      oe=off
       # Enable this if you see "failed tofind any available worker"        #nhelpers=0
#You may put yourconfiguration (.conf) file in the "/etc/ipsec.d/" and uncomment this.#include /etc/ipsec.d/*.conf[书轩2]                         //注释ipsec配置文件查找的文件位置
conn sangfor type=tunnelauthby=secret auto=start ##IKE##
ike=3des­sha1;modp1024[书轩3]    //IKE参数第一次加密算法(modp1024/512=DH 2以此类推)
keyexchange=ike                                                             //预设加密类型为密钥
##IPsec##                                                               //IPSes参数第二次认证算法
phase2=esp[书轩4]                                               //类型ESP
phase2alg=3des­sha1[书轩5]                                //加密算法­ESP认证算法
  pfs=no[书轩6]      //PFS功能
       aggrmode=no
ikelifetime=86400s[书轩7]                  
//IKE参数 SA超时时间     salifetime=10000s[书轩8] //IPSec参数 SA超时时间
forceencaps=yes dpdaction=restart left=%defaultrouteleftnexthop=%defaultroute
leftsubnet=172.168.2.0/24                                           //本地私有子网
leftid=52.80.152.79                                             //本地外网弹性IPleftsourceip=52.80.152.200                                     //本地外网弹性IP rightsubnets=192.168.30.0/24                           //对端私有子网 right=221.226.200.100                                    //对端外网IP
rightid=221.226.200.100                                        //对端外网IP
3.3 配置预设密钥(第一阶段密钥)
Vi /etc/ipsec.secrets
#include /etc/ipsec.d/*.secrets[书轩9]                                                //注释到ipsec.d文件夹寻找密钥文件
52.80.152.200 221.226.200.100: PSK "aws@123[书轩10] "                //预设密钥
213625d89c35ed153a.png
3.4启动openswan服务并做配置检查
$ sudo service ipsec start
$ sudo ipsec verify
412395d89c370e7756.png
3.5 修改系统参数更改系统参数做IP转发并关闭重定向功能
编辑/etc/sysctl.conf内核配置文件,做如下修改
$ vim /etc/sysctl.conf
net.ipv4.ip_forward = 1                       //开启路由转发功能*
net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0net.ipv4.conf.eth0.send_redirects = 0 net.ipv4.conf.default.accept_redirects =0 net.ipv4.conf.eth0.accept_redirects = 0 配置完成以后,启用新的配置
$ sudo sysctl–p
3.6 更改 OpenSwan 的网卡 MSS 值
$ sudo iptables -t mangle -A FORWARD -o eth0 -p tcp --tcp-flags SYN,RST SYN-j
TCPMSS --set-mss 1387
3.7 修改 VPC 私有子网路由表
找到VPC Console页面,在左侧点路由表,找到172.168.2.0/24关联的路由表(1.3中创建), 在页面下方点击路由,编辑添加其他路由,
目标: 192.168.30.0/24 目标:OpenSwan实例ID (i­xxxxx)
21415d89c37c9d316.png
四、设置深信服配置

登入天融信防火墙配置VPN
765135d89c383bc6c6.png
1、选择第三方对接,选择新建第一阶段配置
734345d89c38ac1409.png
点击高级配置,设置ike密钥
338665d89c39128b6c.png
点击确认保存。
2、选择第二阶段配置
590815d89c3974f856.png
入站为对端IPsec的子网网端,出站为本地内网网端。
设置入站策略
834215d89c39d0d31c.png
点击确认保存
设置出站策略
690715d89c3a4f09a7.png
点击确认保存。
3、设置IPsec加密算法(其他设备在第二阶段加密,如果友商IPsec有DH组,第二阶段可以不需要配置,
706245d89c3ab0bd9e.png
4、(可选)配置安全策略(放行),放行vpn到LAN,与LAN到VPN.
500555d89c3b212ed2.png

注意:深信服与其他友商不一样的地方是不需要配置IPsec的感兴趣流,在LAN口直接转发到VPN虚拟接口,不会转发到公网的出接口,所以不需要配置,只需要配置第二阶段的出入向配置。

查看VPN状态
410735d89c3b798046.png

测试:使用namp进行对天融信内网扫描,发现大量存活主机,ping测试访问正常,远程桌面正常。(未截图)
五、测试连通性
Openswan侧测试:
以上步骤都完成以后,就可以在172.168.2.0网段的实例进行测试了。使用 ping 测试到
192.168.30.0 private 私有地址段的一个地址。
ping 192.168.30.36 检查 IPsec tunnel 状态:
$ sudo service ipsec status IPsec running - plutopid: 25674 pluto pid 25674
1 tunnels up[ some eroutes exist
679105d89c3c0e1bf3.png
防火墙侧测试:

567905d89c3ce953c6.png

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
5人已打赏

×
有话想说?点这里!
可评论、可发帖
发表新帖

本版热帖

本版达人

螺丝钉

本周建议达人

神奇轱辘

本周分享达人

adds

本周提问达人