欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 39216|回复: 9

[经验分享] 通过ipsec-tools与腾讯云VPC-vpn建立ipsec通道

[复制链接]

426

主题

85

好友

5488

积分

资深攻城师[LV4]

Rank: 4

云币
1869
威望
5488
发表于 2015-5-14 16:38:08 |显示全部楼层 |未分类

通过ipsec-tools与腾讯云VPC-vpn建立ipsec通道




一、背景
腾讯云推出VPC及VPC里的VPN,VPN可以连接客户IDC,客户如果暂时不打算使用cisco、juniper或H3C等厂家的硬件vpn设备,也可以使用开源软件在服务器上搭建,本文以在centos上安装ipsec-tools为例,介绍如何通过开源软件连接腾讯云的VPC,建立混合云场景。


二、场景简介
1.png
上图中左边是您在QCloud上建立的VPC私有网络,为了将VPC网络与邮编的客户IDC互通,可以利用公网在两者之间建立IPSec VPN通道,保障传输数据的安全可靠。


三、建立VPC及VPC的VPN网关
在QCloud上建立您的VPC私有网络,并根据您的需求规划子网,购买VPN网关,并设置好到您IDC网络的VPC路由,下一条选择您购买的vpn网关。
具体VPC及其VPN在QCloud上的操作流程请参考
客户IDC VPN网关设备目前支持哪些设备?硬件设备厂家包括Cisco、juniper、Fortigate、Hillstone等,具体请参考
http://bbs.qcloud.com/thread-5224-1-1.html
如果您暂时不打算使用任何硬件厂家VPN设备时,您可在位于您IDC机房的一端使用支持IPSec-tools开源工具搭建VPN网关。


四、安装ipsec-tools

1.系统环境要求,以centos 6.4为例:
Linux version 2.6.32-431.23.3.el6.x86_64
(mockbuild@c6b8.bsys.dev.centos.org) (gccversion 4.4.7 20120313
(Red Hat 4.4.7-4) (GCC) ) #1 SMP Thu Jul 3117:20:51 UTC 2014

2.安装ipsec-tools:
根据平台选择使用ipsec-tools-0.8.0-25.3.x86_64.rpm或者ipsec-tools-0.8.0-25.3.i686.rpm,
rpm包可以从下面连接下载,或使用本文档附件。

3.安装命令:rpm -ivh ipsec-tools-0.8.0-25.3.x86_64.rpm。

4.检查安装是否OK:racoon –V
2.png


五、配置ipsec-tools

1.需要配置的文件包括:
a)IPSec策略配置文件:/etc/racoon/setkey.conf
b)密钥配置文件:/etc/racoon/ psk.txt
c) IKE配置文件:/etc/racoon/racoon.conf

2.配置IPSec策略配置文件:
假设如下信息:
您VPC的CIDR为10.100.2.0/24,VPC上VPN的IP地址为112.*.*.251。
您IDC的CIDR为172.16.2.0/24,本地VPN设备的IP地址为112.*.*.152。
则setkey.conf配置内容如下:
vi  /etc/racoon/setkey.conf
3.png

3.配置密钥文件:
假设如下信息:
您VPC上VPN的IP地址为112.*.*.251,预共享密钥为test
则psk.txt配置内容如下:
vi  /etc/racoon/ psk.txt
4.png

4.配置IKE配置文件:
假设如下信息:
您VPC上VPN的IP地址为112.*.*.251。
您本地VPN设备的IP地址为112.*.*.152。
则racoon.conf配置内容如下:
vi  /etc/racoon/ racoon.conf
5.png

5.启动ipsec-tools
执行下面三条命令:
echo 1 > /proc/sys/net/ipv4/ip_forward
/usr/sbin/setkey -f /etc/racoon/setkey.conf
/usr/sbin/racoon -f /etc/racoon/racoon.conf
为保障设备重启后,ipsec服务自动开启,同时需要将这三条命令写入/etc/rc.local。

6.检查通道状态
通过命令查看是否完成通道sa的协商:
setkey -D
6.png

7.检查是否通信OK
在您的IDC机器上ping您在腾讯云的VPC里的子机IP。
注意在您的IDC网络中需要将目的IP为腾讯云VPC的CIDR的报文路由到您的VPN网关,即前面介绍的配置ipsec-tools的机器。

8.参考配置文件
racoon.conf  http://pan.baidu.com/s/1eQnMOp0
setkey.conf   http://pan.baidu.com/s/1jGh8XU2


六、常见问题

1.VPC网关IP是否可达
Ping您在QCloud上购买的VPN网关公网IP地址是否可达。

2.缺少路由
检查route –n是否有到VPC网段的路由,或默认路由。

3.防火墙过滤规则
是否有将IKE或内网通信报文过滤掉。
iptables   -nvL

4.防火墙NAT规则
是否有将内网通信报文进行NAT导致命中不了IPSec策略。
Iptables    -t    nat  -nvL


七、安装包附件        

ipsec-tools-0.8.0-25.3.i686.rpm  http://pan.baidu.com/s/1qWA2X0g
ipsec-tools-0.8.0-25.3.x86_64.rpm  http://pan.baidu.com/s/1bni3mhD

2

主题

0

好友

15

积分

小白[LV1]

Rank: 1

云币
89
威望
15
发表于 2015-9-1 10:30:29 |显示全部楼层
打扰一下,我用咱们腾讯云服务器(一台)要和另一个服务器用ipsec vpn连接,对方是使用的硬件设备,我可以直接用ipsec-tools来和对方建立连接么?
回复

使用道具 举报

2

主题

0

好友

15

积分

小白[LV1]

Rank: 1

云币
89
威望
15
发表于 2015-9-1 15:48:20 |显示全部楼层
我在做到第五部的4.配置IKE配置文件时,
racoon.conf这个文件里原来就有好多东西,包括remote anonymous 和 sainfo anonymous
这里是直接修改么?还是加在后面?
回复

使用道具 举报

0

主题

0

好友

1

积分

小白[LV1]

Rank: 1

云币
11
威望
1
发表于 2015-10-20 15:48:32 |显示全部楼层
没人回答问题,论坛摆设
回复

使用道具 举报

0

主题

0

好友

22

积分

小白[LV1]

Rank: 1

云币
10
威望
10
发表于 2016-4-4 16:57:26 |显示全部楼层
某家 发表于 2015-9-1 10:30
打扰一下,我用咱们腾讯云服务器(一台)要和另一个服务器用ipsec vpn连接,对方是使用的硬件设备,我可以 ...

很明显不行。  摆明你在腾讯这边的VPN是需要购买 的。 按你这样的理解情况,不适合使用这些东西。
回复

使用道具 举报

0

主题

0

好友

110

积分

小白[LV1]

Rank: 1

云币
310
威望
110
发表于 2016-6-4 14:44:35 |显示全部楼层
能更详细点么。 我觉得这上面的教程都好简单, 我一模一样的配置, setkey -D , 下面提示没条目。
回复

使用道具 举报

1

主题

0

好友

75

积分

小白[LV1]

Rank: 1

云币
115
威望
75
发表于 2016-6-24 16:26:17 |显示全部楼层
网盘文件分享地址都已经过期
回复

使用道具 举报

1

主题

0

好友

75

积分

小白[LV1]

Rank: 1

云币
115
威望
75
发表于 2016-6-24 17:33:08 |显示全部楼层
上弦月 发表于 2016-6-4 14:44
能更详细点么。 我觉得这上面的教程都好简单, 我一模一样的配置, setkey -D , 下面提示没条目。 ...

我也是一样的配置。setkey -D , 下面提示没条目。
你这个问题解决了吗
回复

使用道具 举报

1

主题

0

好友

75

积分

小白[LV1]

Rank: 1

云币
115
威望
75
发表于 2016-6-24 17:33:10 |显示全部楼层
上弦月 发表于 2016-6-4 14:44
能更详细点么。 我觉得这上面的教程都好简单, 我一模一样的配置, setkey -D , 下面提示没条目。 ...

我也是一样的配置。setkey -D , 下面提示没条目。
你这个问题解决了吗
回复

使用道具 举报

0

主题

0

好友

34

积分

小白[LV1]

Rank: 1

云币
15
威望
15
发表于 2017-2-23 16:13:28 来自手机 |显示全部楼层
这个通讯好,回复
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-11-17 13:36 , Processed in 1.196235 second(s), 34 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部