×

【首发原创】SANGFOR NGAF防火墙对接AWS云 配置指南 (OpenSwan)
  

安城丶 8325

{{ttag.title}}
本帖最后由 安城丶 于 2019-9-24 15:27 编辑

某公司NGAF防火墙对接AWS使用OpenSwan配置指南
一、场景拓扑

二、AWS VPC配置
    VPC中需要添加数据中心的内网IP路由,
1.配置 VPC 基础环境
1.1 创建 VPC AWS console界面点击VPC,在左侧点击您的VPC”, 创建VPC 名称标签: MyVPC
CIDR块: 172.168.0.0/16
租赁:默认

1.2 创建子网
将鼠标点到子网,选择创建子网标签名称:Public
VPC:选择第一步创建好的VPC 可用区:保持默认
CIDR块:172.168.1.0/24
以同样的方法创建一个172.168.2.0/24的子网

1.3 创建路由表
点击路由表,创建路由表名称标签:PrivateRoute
VPC:选择1.1创建好的VPC

创建完成以后,点到刚刚创建好的路由表,在页面下列点击子网关联,点击编辑在172.168.2.0/24的路由前打勾,点击保存。

1.4 创建 IGW
点击Internet网关,创建Internet网关名称标签:MyIGW
创建完成,点击附加到VPC
选择新创建好的VPC

2. 启动并配置 VPN 实例2.1 启动实例
EC2页面,点击启动实例。选择Amazon Linux 在详细信息页中,网络请选择新创建的VPC
子网选择172.168.1.0/24
点击下一步,存储标签等按需配置

配置安全组,选择创建一个新的安全组添加规则
自定义的UDP规则,端口500 来源任何位置自定义的UDP规则,端口4500 来源任何位置自定义协议, 协议 50 来源任何位置所有流量 来源为 172.168.2.0/24

注意:一定要放行来自于172.168.2.0/24的流量,否则无法通信。
最后审核启动,启动时指定一个用于登陆实例的key文件,如果没有创建一个新的。
2.2 配置弹性 IP (EIP)
EC2页面,左侧导航栏找到弹性IP,申请分配新地址,并将其关联到新创建的OpenSwan 实例。这里申请到的为 54.223.152.218
2.3 关闭源/目的检查
EC2页面点击OpenSwan实例,右键选择联网,更改源/目标检查,点是,请禁用


三. 安装配置 OpenSwan3.1 登录到实例安装 OpenSwan
如何登陆实例请参考如下文档:
https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/putty.html登陆完成以后,运行如下命令安装OpenSwan
$ sudo yum -y install openswan
3.2 配置OpenSwan参数
Vim/etc/ipsec.conf version   2.0   # conforms to second version of ipsec.confspecification
#basic configuration config setup
       #Debug­logging controls:  "none"for (almost) none, "all" for lots.
       #klipsdebug=none
       #plutodebug="control parsing"
       #For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
       plutostderrlog=/var/log/ipsec.log[书轩1]                //设置Ipsec对接日志
      protostack=netkey
      nat_traversal=yes
      virtual_private=
      oe=off
       # Enable this if you see "failed tofind any available worker"        #nhelpers=0
#You may put yourconfiguration (.conf) file in the "/etc/ipsec.d/" and uncomment this.#include /etc/ipsec.d/*.conf[书轩2]                         //注释ipsec配置文件查找的文件位置
conn sangfor type=tunnelauthby=secret auto=start ##IKE##
ike=3des­sha1;modp1024[书轩3]    //IKE参数第一次加密算法(modp1024/512=DH 2以此类推)
keyexchange=ike                                                             //预设加密类型为密钥
##IPsec##                                                               //IPSes参数第二次认证算法
phase2=esp[书轩4]                                               //类型ESP
phase2alg=3des­sha1[书轩5]                                //加密算法­ESP认证算法
  pfs=no[书轩6]      //PFS功能
       aggrmode=no
ikelifetime=86400s[书轩7]                  
//IKE参数 SA超时时间     salifetime=10000s[书轩8] //IPSec参数 SA超时时间
forceencaps=yes dpdaction=restart left=%defaultrouteleftnexthop=%defaultroute
leftsubnet=172.168.2.0/24                                           //本地私有子网
leftid=52.80.152.79                                             //本地外网弹性IPleftsourceip=52.80.152.200                                     //本地外网弹性IP rightsubnets=192.168.30.0/24                           //对端私有子网 right=221.226.200.100                                    //对端外网IP
rightid=221.226.200.100                                        //对端外网IP
3.3 配置预设密钥(第一阶段密钥)
Vi /etc/ipsec.secrets
#include /etc/ipsec.d/*.secrets[书轩9]                                                //注释到ipsec.d文件夹寻找密钥文件
52.80.152.200 221.226.200.100: PSK "aws@123[书轩10] "                //预设密钥

3.4启动openswan服务并做配置检查
$ sudo service ipsec start
$ sudo ipsec verify

3.5 修改系统参数更改系统参数做IP转发并关闭重定向功能
编辑/etc/sysctl.conf内核配置文件,做如下修改
$ vim /etc/sysctl.conf
net.ipv4.ip_forward = 1                       //开启路由转发功能*
net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0net.ipv4.conf.eth0.send_redirects = 0 net.ipv4.conf.default.accept_redirects =0 net.ipv4.conf.eth0.accept_redirects = 0 配置完成以后,启用新的配置
$ sudo sysctl–p
3.6 更改 OpenSwan 的网卡 MSS 值
$ sudo iptables -t mangle -A FORWARD -o eth0 -p tcp --tcp-flags SYN,RST SYN-j
TCPMSS --set-mss 1387
3.7 修改 VPC 私有子网路由表
找到VPC Console页面,在左侧点路由表,找到172.168.2.0/24关联的路由表(1.3中创建), 在页面下方点击路由,编辑添加其他路由,
目标: 192.168.30.0/24 目标:OpenSwan实例ID (i­xxxxx)

四、设置某公司配置

登入某公司防火墙配置VPN

1、选择第三方对接,选择新建第一阶段配置

点击高级配置,设置ike密钥

点击确认保存。
2、选择第二阶段配置

入站为对端IPsec的子网网端,出站为本地内网网端。
设置入站策略

点击确认保存
设置出站策略

点击确认保存。
3、设置IPsec加密算法(其他设备在第二阶段加密,如果友商IPsec有DH组,第二阶段可以不需要配置,

4、(可选)配置安全策略(放行),放行vpn到LAN,与LAN到VPN.


注意:某公司与其他友商不一样的地方是不需要配置IPsec的感兴趣流,在LAN口直接转发到VPN虚拟接口,不会转发到公网的出接口,所以不需要配置,只需要配置第二阶段的出入向配置。

查看VPN状态


测试:使用namp进行对某公司内网扫描,发现大量存活主机,ping测试访问正常,远程桌面正常。(未截图)
五、测试连通性
Openswan侧测试:
以上步骤都完成以后,就可以在172.168.2.0网段的实例进行测试了。使用 ping 测试到
192.168.30.0 private 私有地址段的一个地址。
ping 192.168.30.36 检查 IPsec tunnel 状态:
$ sudo service ipsec status IPsec running - plutopid: 25674 pluto pid 25674
1 tunnels up[ some eroutes exist

防火墙侧测试:


打赏鼓励作者,期待更多好文!

打赏
6人已打赏

guhui 发表于 2024-7-31 10:16
  
感谢分享,学习一下~
小明偷学 发表于 2024-5-21 07:35
  
感谢分享,学习一下~
FuJun 发表于 2024-5-6 23:33
  
感谢分享,学习一下~
新手486484 发表于 2021-6-10 17:09
  
非常详细的操作步骤,学习了
8336 发表于 2021-2-4 19:08
  
值得学习,感谢分享。
ytfqyjj 发表于 2021-1-24 12:58
  
感谢楼主图文并茂的分享.
新手439201 发表于 2021-1-11 10:59
  
学习了,感谢分享。。。               
Hello_yuzg 发表于 2019-10-9 14:54
  
过程很详细
四川_石头 发表于 2019-10-2 09:32
  
不明觉厉啊
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
自助服务平台操作指引
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人