IPSec簡(jiǎn)介
IPSec(Internet Protocol Security):是一組基于網(wǎng)絡(luò)層的,應(yīng)用密碼學(xué)的安全通信協(xié)議族。IPSec不是具體指哪個(gè)協(xié)議,而是一個(gè)開放的協(xié)議族。
IPSec協(xié)議的設(shè)計(jì)目標(biāo):是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活的安全服務(wù)。
IPSec VPN:是基于IPSec協(xié)議族構(gòu)建的在IP層實(shí)現(xiàn)的安全虛擬專用網(wǎng)。通過在數(shù)據(jù)包中插入一個(gè)預(yù)定義頭部的方式,來保障OSI上層協(xié)議數(shù)據(jù)的安全,主要用于保護(hù)TCP、UDP、ICMP和隧道的IP數(shù)據(jù)包。
由于阿里云上有一些限制,在阿里云ECS上部署待見IPSec和普通服務(wù)器有不一樣的地方。
安裝strongswan
|
1
2
|
apt-get updateapt-get install strongswan strongswan-plugin-xauth-generic |
編輯/etc/ipsec.secrets
vi /etc/ipsec.secrets
增加:
: PSK "test"
user1 : XAUTH "user1password"
其中PSK是預(yù)共享密鑰,是用于驗(yàn)證 L2TP/IPSec 連接的 Unicode 字符串。user1為用戶名, user1password是密碼。
編輯 /etc/ipsec.conf
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
config setup cachecrls=yes uniqueids=yesconn ios keyexchange=ikev1 authby=xauthpsk xauth=server left=%defaultroute leftsubnet=0.0.0.0/0 leftfirewall=yes right=%any rightsubnet=192.168.0.1/16 rightsourceip=192.168.0.1/16 rightdns=223.5.5.5 auto=add |
注意使用192.168網(wǎng)段而不是10.0.0.1網(wǎng)段,10.0.0.1網(wǎng)段在阿里云上好像有問題(據(jù)說被禁了?)。
重啟 strongswan
ipsec restart
修改阿里云服務(wù)器對(duì)應(yīng)安全組規(guī)則
增加 公網(wǎng)入網(wǎng) UDP 500和 UDP 4500兩個(gè)端口
打開IPv4轉(zhuǎn)發(fā),設(shè)置NAT規(guī)則
|
1
2
3
|
sysctl net.ipv4.ip_forward=1iptables -t nat -A POSTROUTING -s 192.168.0.1/16 -o eth1 -j MASQUERADE |
注意是使用 eth1,而不是eth0.
ECS中eth1綁定外網(wǎng)網(wǎng)卡,eth0是內(nèi)網(wǎng)網(wǎng)卡。
相關(guān)閱讀:
總結(jié)
以上所述是小編給大家介紹的阿里云 ubuntu16.04搭建IPSec服務(wù),希望對(duì)大家有所幫助,如果大家有任何疑問請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)服務(wù)器之家網(wǎng)站的支持!
如果你覺得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請(qǐng)注明出處,謝謝!
原文鏈接:https://blog.csdn.net/fofabu2/article/details/78964126
