1. 首页>
  2. 腾讯云代理

[经验分享] 通过ipsec-tools与腾讯云VPC-vpn建立ipsec通道

腾讯云 2017年03月24日 浏览610

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

通过ipsec-tools与腾讯云VPC-vpn建立ipsec通道




一、背景

腾讯云推出VPC及VPC里的VPN,VPN可以连接客户IDC,客户如果暂时不打算使用cisco、juniper或H3C等厂家的硬件vpn设备,也可以使用开源软件在服务器上搭建,本文以在centos上安装ipsec-tools为例,介绍如何通过开源软件连接腾讯云的VPC,建立混合云场景。



二、场景简介

1.png
上图中左边是您在QCloud上建立的VPC私有网络,为了将VPC网络与邮编的客户IDC互通,可以利用公网在两者之间建立IPSec VPN通道,保障传输数据的安全可靠。



三、建立VPC及VPC的VPN网关

在QCloud上建立您的VPC私有网络,并根据您的需求规划子网,购买VPN网关,并设置好到您IDC网络的VPC路由,下一条选择您购买的vpn网关。
具体VPC及其VPN在QCloud上的操作流程请参考
客户IDC VPN网关设备目前支持哪些设备?硬件设备厂家包括Cisco、juniper、Fortigate、Hillstone等,具体请参考

http://bbs.qcloud.com/thread-5224-1-1.html

如果您暂时不打算使用任何硬件厂家VPN设备时,您可在位于您IDC机房的一端使用支持IPSec-tools开源工具搭建VPN网关。



四、安装ipsec-tools

1.系统环境要求,以centos 6.4为例:
Linux version 2.6.32-431.23.3.el6.x86_64
(mockbuild@c6b8.bsys.dev.centos.org) (gccversion 4.4.7 20120313 
(Red Hat 4.4.7-4) (GCC) ) #1 SMP Thu Jul 3117:20:51 UTC 2014


2.安装ipsec-tools:
根据平台选择使用ipsec-tools-0.8.0-25.3.x86_64.rpm或者ipsec-tools-0.8.0-25.3.i686.rpm,
rpm包可以从下面连接下载,或使用本文档附件。


3.安装命令:rpm -ivh ipsec-tools-0.8.0-25.3.x86_64.rpm。


4.检查安装是否OK:racoon –V
2.png



五、配置ipsec-tools

1.需要配置的文件包括:
a)IPSec策略配置文件:/etc/racoon/setkey.conf
b)密钥配置文件:/etc/racoon/ psk.txt
c) IKE配置文件:/etc/racoon/racoon.conf


2.配置IPSec策略配置文件:
假设如下信息:
您VPC的CIDR为10.100.2.0/24,VPC上VPN的IP地址为112.*.*.251。
您IDC的CIDR为172.16.2.0/24,本地VPN设备的IP地址为112.*.*.152。
则setkey.conf配置内容如下:
vi  /etc/racoon/setkey.conf
3.png


3.配置密钥文件:
假设如下信息:
您VPC上VPN的IP地址为112.*.*.251,预共享密钥为test
则psk.txt配置内容如下:
vi  /etc/racoon/ psk.txt
4.png


4.配置IKE配置文件:
假设如下信息:
您VPC上VPN的IP地址为112.*.*.251。
您本地VPN设备的IP地址为112.*.*.152。
则racoon.conf配置内容如下:
vi  /etc/racoon/ racoon.conf
5.png


5.启动ipsec-tools
执行下面三条命令:
echo 1 > /proc/sys/net/ipv4/ip_forward
/usr/sbin/setkey -f /etc/racoon/setkey.conf
/usr/sbin/racoon -f /etc/racoon/racoon.conf
为保障设备重启后,ipsec服务自动开启,同时需要将这三条命令写入/etc/rc.local。


6.检查通道状态
通过命令查看是否完成通道sa的协商:
setkey -D
6.png


7.检查是否通信OK
在您的IDC机器上ping您在腾讯云的VPC里的子机IP。
注意在您的IDC网络中需要将目的IP为腾讯云VPC的CIDR的报文路由到您的VPN网关,即前面介绍的配置ipsec-tools的机器。


8.参考配置文件

racoon.conf  http://pan.baidu.com/s/1eQnMOp0
setkey.conf   http://pan.baidu.com/s/1jGh8XU2


六、常见问题

1.VPC网关IP是否可达
Ping您在QCloud上购买的VPN网关公网IP地址是否可达。


2.缺少路由
检查route –n是否有到VPC网段的路由,或默认路由。


3.防火墙过滤规则
是否有将IKE或内网通信报文过滤掉。
iptables   -nvL


4.防火墙NAT规则
是否有将内网通信报文进行NAT导致命中不了IPSec策略。
Iptables    -t    nat  -nvL



七、安装包附件         

ipsec-tools-0.8.0-25.3.i686.rpm  http://pan.baidu.com/s/1qWA2X0g
ipsec-tools-0.8.0-25.3.x86_64.rpm  http://pan.baidu.com/s/1bni3mhD


腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

关注服务商的链接,提供下您关注的QQ,我们这边审核下即可快速回复您的工单问题与技术支持! 感谢您的信任与支持!

auto_1452.png

腾讯云技术交流群













原文地址:http://bbs.qcloud.com/thread-5657-1-1.html

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808