本帖最后由 安城丶 于 2019-9-24 15:27 编辑
某公司NGAF防火墙对接AWS使用OpenSwan配置指南
一、场景拓扑 二、AWS VPC配置 VPC中需要添加数据中心的内网IP路由, 1.配置 VPC 基础环境1.1 创建 VPC 在AWS console界面点击VPC,在左侧点击“您的VPC”, 创建VPC 名称标签: MyVPC CIDR块: 172.168.0.0/16 租赁:默认 1.2 创建子网将鼠标点到子网,选择创建子网标签名称:Public VPC:选择第一步创建好的VPC 可用区:保持默认 CIDR块:172.168.1.0/24 以同样的方法创建一个172.168.2.0/24的子网 1.3 创建路由表点击路由表,创建路由表名称标签:PrivateRoute VPC:选择1.1创建好的VPC 创建完成以后,点到刚刚创建好的路由表,在页面下列点击子网关联,点击编辑在172.168.2.0/24的路由前打勾,点击保存。 1.4 创建 IGW点击Internet网关,创建Internet网关名称标签:MyIGW 创建完成,点击附加到VPC 选择新创建好的VPC 2. 启动并配置 VPN 实例2.1 启动实例到EC2页面,点击启动实例。选择Amazon Linux 在详细信息页中,网络请选择新创建的VPC 子网选择172.168.1.0/24 点击下一步,存储标签等按需配置 配置安全组,选择创建一个新的安全组添加规则 自定义的UDP规则,端口500 来源任何位置自定义的UDP规则,端口4500 来源任何位置自定义协议, 协议 50 来源任何位置所有流量 来源为 172.168.2.0/24 注意:一定要放行来自于172.168.2.0/24的流量,否则无法通信。 最后审核启动,启动时指定一个用于登陆实例的key文件,如果没有创建一个新的。 2.2 配置弹性 IP (EIP)在EC2页面,左侧导航栏找到弹性IP,申请分配新地址,并将其关联到新创建的OpenSwan 实例。这里申请到的为 54.223.152.218。 2.3 关闭源/目的检查在EC2页面点击OpenSwan实例,右键选择联网,更改源/目标检查,点“是,请禁用” 三. 安装配置 OpenSwan3.1 登录到实例安装 OpenSwan如何登陆实例请参考如下文档: https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/putty.html登陆完成以后,运行如下命令安装OpenSwan $ sudo yum -y install openswan 3.2 配置OpenSwan参数Vim/etc/ipsec.conf version 2.0 # conforms to second version of ipsec.confspecification #basic configuration config setup #Debuglogging controls: "none"for (almost) none, "all" for lots. #klipsdebug=none #plutodebug="control parsing" #For Red Hat Enterprise Linux and Fedora, leave protostack=netkey plutostderrlog=/var/log/ipsec.log[书轩1] //设置Ipsec对接日志 protostack=netkey nat_traversal=yes virtual_private= oe=off # Enable this if you see "failed tofind any available worker" #nhelpers=0 #You may put yourconfiguration (.conf) file in the "/etc/ipsec.d/" and uncomment this.#include /etc/ipsec.d/*.conf[书轩2] //注释ipsec配置文件查找的文件位置 conn sangfor type=tunnelauthby=secret auto=start ##IKE## ike=3dessha1;modp1024[书轩3] //IKE参数第一次加密算法(modp1024/512=DH 2以此类推) keyexchange=ike //预设加密类型为密钥 ##IPsec## //IPSes参数第二次认证算法 phase2=esp[书轩4] //类型ESP phase2alg=3dessha1[书轩5] //加密算法ESP认证算法 pfs=no[书轩6] //PFS功能 aggrmode=no ikelifetime=86400s[书轩7] //IKE参数 SA超时时间 salifetime=10000s[书轩8] //IPSec参数 的SA超时时间 forceencaps=yes dpdaction=restart left=%defaultrouteleftnexthop=%defaultroute leftsubnet=172.168.2.0/24 //本地私有子网 leftid=52.80.152.79 //本地外网弹性IPleftsourceip=52.80.152.200 //本地外网弹性IP rightsubnets=192.168.30.0/24 //对端私有子网 right=221.226.200.100 //对端外网IP rightid=221.226.200.100 //对端外网IP 3.3 配置预设密钥(第一阶段密钥)Vi /etc/ipsec.secrets #include /etc/ipsec.d/*.secrets[书轩9] //注释到ipsec.d文件夹寻找密钥文件 52.80.152.200 221.226.200.100: PSK "aws@123[书轩10] " //预设密钥 3.4启动openswan服务并做配置检查$ sudo service ipsec start $ sudo ipsec verify 3.5 修改系统参数更改系统参数做IP转发并关闭重定向功能 编辑/etc/sysctl.conf内核配置文件,做如下修改 $ vim /etc/sysctl.conf net.ipv4.ip_forward = 1 //开启路由转发功能* net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0net.ipv4.conf.eth0.send_redirects = 0 net.ipv4.conf.default.accept_redirects =0 net.ipv4.conf.eth0.accept_redirects = 0 配置完成以后,启用新的配置 $ sudo sysctl–p 3.6 更改 OpenSwan 的网卡 MSS 值$ sudo iptables -t mangle -A FORWARD -o eth0 -p tcp --tcp-flags SYN,RST SYN-j TCPMSS --set-mss 1387 3.7 修改 VPC 私有子网路由表找到VPC Console页面,在左侧点路由表,找到172.168.2.0/24关联的路由表(1.3中创建), 在页面下方点击路由,编辑添加其他路由, 目标: 192.168.30.0/24 目标:OpenSwan实例ID (ixxxxx) 四、设置某公司配置
登入某公司防火墙配置VPN 1、选择第三方对接,选择新建第一阶段配置 点击高级配置,设置ike密钥 点击确认保存。 2、选择第二阶段配置 入站为对端IPsec的子网网端,出站为本地内网网端。 设置入站策略 点击确认保存 设置出站策略 点击确认保存。 3、设置IPsec加密算法(其他设备在第二阶段加密,如果友商IPsec有DH组,第二阶段可以不需要配置,) 4、(可选)配置安全策略(放行),放行vpn到LAN,与LAN到VPN.
注意:某公司与其他友商不一样的地方是不需要配置IPsec的感兴趣流,在LAN口直接转发到VPN虚拟接口,不会转发到公网的出接口,所以不需要配置,只需要配置第二阶段的出入向配置。
查看VPN状态
测试:使用namp进行对某公司内网扫描,发现大量存活主机,ping测试访问正常,远程桌面正常。(未截图) 五、测试连通性Openswan侧测试: 以上步骤都完成以后,就可以在172.168.2.0网段的实例进行测试了。使用 ping 测试到 192.168.30.0 private 私有地址段的一个地址。 ping 192.168.30.36 检查 IPsec tunnel 状态: $ sudo service ipsec status IPsec running - plutopid: 25674 pluto pid 25674 1 tunnels up[ some eroutes exist 防火墙侧测试:
| 
发表于 2019-9-24 15:21
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-9-24 16:19
技术员3级 
