|
“当前已有100+用户参与分享,共计发放奖励50000+“
需求描述:某个行业伙伴想通过互联网AB两个机房的内网流量,A机房出口设备为一台多网口的Centos6服务器做的出口网关。B机房出口为某公司NGAF,内部之间流量打算通过ipsec 来实现互访。 由于A机房没有硬件网络设备,只有通过开源的vpn软件来实现。通过百度的方式,了解到了openswan 这款开源vpn 软件,支持标准ipsec。
A机房安装步骤如下。
yum安装openswan
yum -y install openswan,如果是国内源要耐心等待,会自动安装依赖包
修改内核参数 编辑etc/sysctl.conf net.ipv4.ip_forward = 1
检查参数,都出现ok说明安装成功 ipsec verify
安装过程比较简单,接下来就是配置ipsec 第一二阶段。
按照如下配置,编辑vim/etc/ipsec.conf
config setup 初始化配置,virtual 那里面为两端的内网网段。
第一阶段为预共享秘钥方式。设置秘钥路径为。 vim /etc/ipsec.secrets
ip 跟 PSK 密码
继续编辑vim/etc/ipsec.conf
以下参数大家根据实际修改: 设置 ike 和esp 和某公司那边一致。
authby认证方式为预共享秘钥 left= 设置为B机房某公司出口IP leftsubnet为对端内网网段
right=设置为A机房出口ip rightsubnet为本段内网网段
到这里整个openswan 配置就完毕了。
启动openswan service ipsec start
ok说明启动正常 接下来配置某公司NGAF,各位应该非常熟悉。
首先选择VPN出接口
配置第一阶段,输入对端openswan接口IP和共享密钥。
高级设置配置dh组,md5认证,3des加密
准备配置第二阶段协商,在这之前先配置安全选项,MD5认证,3des加密。
第二阶段协商入站规则,加入本端保护子网,输入匹配的入站地址
第二阶段协商出站规则,加入对端保护子网,输入匹配的出站IP。
配置完毕,在openswan上检查建立隧道状态 在openswan 上 service ipsec status 可以看到有四个隧道建立完成
至此,实现了通过openswan 对接某公司NGAF | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-7-28 16:30
发表于 2020-7-20 14:46
工程师2级 
