环境

Debian 11 云

阿里云,VPC专有网络,公网IP(IP-阿里云-公,绑定域名"阿里云.yudelei.com"),私网IP(内网IP,IP-阿里云-私),虚拟交换机网段(172.30.80.0/20)
Strongswan 5.9.14

Ubuntu 22.04 本地

本地,公网IP(IP-本地-公,绑定域名"本地.yudelei.com"),私网IP(内网IP,IP-本地-私),本地网段(192.168.2.0/24)
Strongswan 5.9.14

拓扑

拓扑

描述

位于 NAT 之后的两台服务器通过 strongSwan 使用 IPSec IKEv2 PSK 共享密钥 Site to Site 站点到站点组网。
完成以下操作,可实现本地网段(192.168.2.0/24)与阿里云虚拟交换机网段(172.30.80.0/20)中的所有服务器互访,断线自动重连。
使用旧版 strongSwan IPSec 配置文件 ipsec.conf 以及 strongswan-starter 方式守护 IPSec(总感觉旧版看上去更直接 )。

步骤

UDP:500,4500
在阿里云安全组总开放端口。
在本地网络使用端口映射。

相同操作

apt update -y
apt -y install libgmp3-dev bzip2 make gcc pkg-config libsystemd-dev
wget https://download.strongswan.org/strongswan-5.9.14.tar.bz2
tar xjf strongswan-5.9.14.tar.bz2 && cd strongswan-5.9.14/
./configure --prefix=/usr --sysconfdir=/etc --enable-systemd
make && make install

echo ": PSK \"预共享密钥"" >> /etc/IPSec.secrets
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

Ubuntu ipsec 配置文件

编辑/etc/ipsec.conf
nano /etc/ipsec.conf

config setup
    charondebug="all"
    uniqueids=yes
    
conn vpn01
    ikelifetime=180m
    authby=psk
    auto=start
    compress=no
    type=tunnel
    keyexchange=ikev2
    left=IP-本地-私
    leftsubnet=192.168.2.0/24 # 注意修改
    leftid=本地.yudelei.com # 注意修改
    leftauth=psk
    leftsendcert=no
    right=阿里云.yudelei.com # 注意修改
    rightsubnet=172.30.88.0/20 # 注意修改
    rightauth=psk
    rightid=阿里云.yudelei.com # 注意修改
    fragmentation=yes
    rightsendcert=no
    forceencaps=yes
    ike=aes256-sha256-modp1536!
    esp=aes256-sha256!
    dpdaction=hold
    closeaction=restart
    keyingtries=%forever

运行 IPSec

systemctl enable strongswan-starter.service
systemctl start strongswan-starter.service

Debian ipsec 配置文件

编辑/etc/ipsec.conf
nano /etc/ipsec.conf

config setup
    charondebug="all"
    uniqueids=yes
    
conn vpn01
    ikelifetime=180m
    authby=psk
    auto=start
    compress=no
    type=tunnel
    keyexchange=ikev2
    left=IP-阿里云-私 # 注意修改
    leftsubnet=172.30.88.0/20 # 注意修改
    leftid=阿里云.yudelei.com
    leftauth=psk
    leftsendcert=no
    right=本地.yudelei.com # 注意修改
    rightsubnet=192.168.2.0/24 # 注意修改
    rightauth=psk
    rightid=本地.yudelei.com # 注意修改
    fragmentation=yes
    rightsendcert=no
    forceencaps=yes
    ike=aes256-sha256-modp1536!
    esp=aes256-sha256!
    dpdaction=hold
    closeaction=restart
    keyingtries=%forever

运行 IPSec

systemctl enable strongswan-starter.service
systemctl start strongswan-starter.service

配置静态路由

本地

目的地址:172.30.80.0
子网掩码:255.255.240.0
网关:IP-本地-私
接口:lan1
优先级:1

阿里云

strongSwan-IPSec02

最后修改:2024 年 10 月 11 日 10 : 34 PM
© 允许规范转载
如果觉得文章帮助了您,您可以随意赞赏。