ssl设备与openswan对接ipsecvpn

      现在很多客户买的云服务器，对端又没有硬件设备就考虑在云出口的跳板机，与公司内网搭建VPN进行加密通信。这次就拿LINUX环境搭建openswan与ssl设备对接分享。

一：环境如下

二：linux上的openswan搭建

a、OPENSWAN的安装

#yum install openswan    //redhat中可使用yum安装，ubuntu可使用apt-get安装

#ipsec --version    //查看openswan版本，本文使用的版本是3.20

#ipsec verify    //安装完成后，运行该命令可以查看当前启动openswan需要的模块是否都成功，一般情况会有部分【FAIL】，按照下面配置即可

b、OPENSWAN的配置和启动

  1、先配置linux原生的网络文件，否则会限制不能进行数据转发或有防火墙等影响对接

#vim /etc/sysctl.conf

在sysctl.conf文件中修改或添加下面语句

net.ipv4.ip_forward = 1

net.ipv4.conf.default.rp_filter = 0

  2、关闭icmp重定向，不关闭可能会影响ping包收发

# sysctl -a | egrep "ipv4.*(accept|send)_redirects" | awk -F "=" '{print$1"= 0"}' >> /etc/sysctl.conf

# sysctl -p //上一条语句修改文件后，执行本条语句让linux使用最新文件

  3、关闭SELinux防火墙功能，避免影响对接

# setenforce 0

  4、启动openswan

    # service ipsec start    //ipsec restart为重启，ipsec stop为停止

# ipsec verify //上述配置后，执行本命令不会像刚安装完成时一样报错，检查全部【OK】

  # netstat -anp | grep "500\|4500"    //可以看到VPN端口启用正常

至此，openswan可以正常启用，接下来可以和我们的设备进行第三方对接。

三：与IPSEC vpn对接

      与IPSEC VPN（SANGFOR）进行对接，我们的设备需要配置两个阶段和安全选项，而在openswan中只需要配置两个文件即可。

      Openswan提供的与ipsec vpn对接相关的配置只有两个，/etc/ipsec.conf和/etc/ipsec.secrets，其中ipsec.conf为连接配置文件，在里面配置第一阶段和第二阶段的内容，ipsec.secrets为秘钥文件，可以配置预共享秘钥等内容

a:拓扑如下

b:文字部分需要删除，否则无法正常启用

• 修改/etc/ipsec.conf

  
  

  
  

  
  

  
  
  
  

#cp /etc/ipsec.conf /etc/ipsec.conf.bak   

#cp /etc/ipsec.secrets /etc/ipsec.secrets.bak    //备份下原来文件，避免出错时恢复

#vim /etc/ipsec.conf    //将ipsec.conf文件替换如下内容，修改参数为合适的值

version 2.0

config setup

        protostack=netkey  //使用2.6内核内建模块netkey，2.6以下是KLIPS模块

        nat_traversal=yes  //启用NAT-T 即NAT穿越

        virtual_private= %v4:192.168.0.0/16,%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:!10.254.253.0/24

        oe=off

        conn net-to-net           //连接名

        authby=secret    //使用预共享密钥方式进行认证

        type=tunnel

        left=192.168.1.110       //本地一端IP地址

        leftsubnet=192.168.10.0/24//本地一端内网网段地址

       leftid=@openswan       //对端一端的标识符，对应sangfor设备里的FQDN

        leftnexthop=%defaultroute

        right=110.1.1.1    //另一端IP地址

        rightsubnet=10.1.1.0/24  //另一端内网网段地址

        rightid=@sangfor      //另一端的标识符，对应sangfor设备里的FQDN

        rightnexthop=%defaultroute

        auto=start            //start则代表着启动主动连接

        ike=3des-md5         //第一阶段协商加密和摘要算法

        keyexchange=ike

        phase2=esp           //安全选项

        phase2alg=3des-md5   //第二阶段协商加密和摘要算法

        pfs=no               //是否启用PFS

        aggrmode=yes         //是否启用野蛮模式

        ikelifetime=3600      //时间也需要修改，负责无法对接成功

        keylife=7200

        

2、修改/etc/ipsec.secrets

#vim /etc/ipsec.secrets  //将ipsec.secrets文件替换如下内容，并修改为需要的密码

include /etc/ipsec.d/*.secrets

@openswan @sangfor: PSK "1"  //密码为1

c:sangfor 设备配置如下

第一阶段

高级配置

入站策略

出站策略

d:linux重启服务

# service ipsec restart    //修改完成后重启服务

   #ipsec auto --start net-to-net    //使用之前配置的连接名进行对接

对接成功后有如下信息

可以看到阶段1和阶段2都成功了

前置设备路由，映射这些就不赘述了

感谢分享！

感谢楼主带来的实用操作分享，配置步骤非常详细，点赞！
也期待看到楼主更多的文章！

帖子不错，楼主有心了，先收藏！点赞

以前尝试过，没有成功，学习了

哇，这个干货，看不懂啊，不明觉厉！社区大神是真的多，以后要常来学习了！感觉这个VPN界面，是不是有点老啊？这个是个真实项目，还是楼主在练手呀？期待楼主更多分享。已关注

嗯，写的很详细，感谢楼主分享这个干货，赞赞赞  已收藏

很好的文章，学习了！

感谢分享！！！

感谢分享 实用