本帖最后由 杨童 于 2023-9-27 17:41 编辑
linux服务器部署Strongswan与深信服设备对接ipsec vpn 拓扑: 左侧AF部署在内网,出口是拨号上网,没有固定IP地址。右侧腾讯云服务器有固定IP地址。AF和腾讯云服务器之间建立标准ipsec vpn。 配置步骤:以centos7.6的腾讯云服务器配置举例 1、关闭SELinux setenforce 0 2、开启数据转发 vi /etc/sysctl.conf //编辑文件,添加如下两行
net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 0
3、关闭icmp重定向 sysctl -a | egrep "ipv4.*(accept|send)_redirects" | awk -F "=" '{print$1"= 0"}' >> /etc/sysctl.conf sysctl -p yum install strongswan -y
5、安装后进入软件配置目录 cd /etc/strongswan/ 6、修改ipsec配置文件 vi /etc/strongswan/ipsec.conf //编辑ipsec.conf文件,填写如下配置 conn sangfor //sangfor为连接名,随意自定义 leftsubnet=10.0.16.0/22 //本端感兴趣流网段 left=10.0.16.6 //本端地址 leftid=@tengxun //本端fqdn标识 rightsubnet=10.0.0.0/24,192.168.31.0/24 //对端感兴趣流网段,多网段中间逗号隔开 rightid=@yangtong //对端fqdn标识 auto=add //连接启动方式add表示启动,start标识自动连接 authby=secret //预共享秘钥方式 esp=3des-sha1-modp1536 //二阶段算法,modp1536对应group5 ike=3des-sha1-modp1536 //一阶段算法 keyexchange=ikev2 //ike版本 7、预共享秘钥配置 vi /etc/strongswan/ipsec.secrets # ipsec.secrets - strongSwan IPsec secrets file : PSK "123456789" //配置秘钥为123456789,此处表示适用于所有连接,可以在冒号前加具体的源目ip,比如1.1.1.1 2.2.2.2 : PSK "123456789" 8、启动和检查vpn状态 systemctl status strongswan //查看vpn服务状态 systemctl start strongswan //启动vpn服务 systemctl restart strongswan //重启vpn服务
9、AF端配置(当前深信服设备只有AF支持ikev2) 此处对端IP地址为腾讯云服务器的公网地址 由于AF端没有固定IP地址,所以选择使用FQDN标识,注意和腾讯云服务器配置对应 AF检查日志,隧道建立成功 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2023-1-6 10:27
技术研究员1级 
