ipsec VPN,openswan配置记录

目的:办公室网络和亚马逊连为一个网络,可以在办公室网络连亚马逊实例的内网IP

实现:办公室网络的防火墙和亚马逊的一台实例做为通道的两端,此实例所在的VPC可以和其他VPC连成对等连接以连通其他VPC

  1. 办公室网络的防火墙配置IPSEC
  2. 亚马逊VPN上安装openswan,配置ipsec.conf, ipsec.secret即可

/etc/ipsec.conf:

version 2.0

#include /etc/ipsec.d/*.conf

## general configuration parameters ##

config setup

plutodebug=all

plutostderrlog=/var/log/pluto.log

protostack=netkey

nat_traversal=yes

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

oe=off

conn xiaohua-AWS

ike=3des-sha1

## phase 1 ##

keyexchange=ike

## phase 2 ##

phase2=esp

phase2alg=3des-sha1

compress=no

pfs=yes

authby=secret

auto=start

type=tunnel

left=%defaultroute

leftsubnet=10.28.0.0/16        //亚马逊内网IP段

leftid=xx.xx.xx.xx            //亚马逊VPN外网IP

leftnexthop=%defaultroute

right=xx.xx.xx.xx            //办公室公网出口IP

rightsubnet=10.3.0.0/16        //办公室内网IP段

rightid=xx.xx.xx.xx        //办公室公网出口IP

rightnexthop=%defaultroute

/etc/ipsec.secrets

办公室公网出口IP 亚马逊VPN公网IP: PSK "password"

3. 亚马逊VPN实例防火墙配置添加

-A INPUT -s 办公室公网出口IP -i eth0 -p tcp -m tcp --dport 4500 -j ACCEPT

-A INPUT -s 办公室公网出口IP -i eth0 -p udp -m udp --dport 4500 -j ACCEPT

-A INPUT -s 办公室公网出口IP -i eth0 -p udp -m udp --dport 500 -j ACCEPT

时间: 2024-12-25 18:44:31

ipsec VPN,openswan配置记录的相关文章

IPSEC VPN 的配置实例

詹柱美 一.实验拓扑: 二.实验要求: 保证两个站点的路由没问题. 在站点A与站点B间配置VPN,保障企业的网络通过互联网连接起来. 三.实验的配置: R1的全部配置: r1#show running-config Building configuration... Current configuration : 597 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug

Cisco 3640系列IPsec VPN简单配置

Cisco 3640系列IPsec VPN简单配置 实验拓扑图: 实验步骤: 第一步:配置路由 第二步:匹配的数据包流量(ACL,注意两端要对称) 第三步:IKE的第一阶段(称为 ISAKMP SA) 第四步:IKE的第二阶段(称为IPSEC SA) 第五步:MAP(第二.三.四步的结合) 第六步:应用配置到外网口 模拟Internet步骤如下: 1.路由配置 R1: Router>en Router#conft Enterconfiguration commands, one per line

IPSec VPN经典配置

IPSec VPN配置命令 底层用静态路由连通 R2(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.10 R2(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10 //这条路由在现实环境中由默认路由代替,由于1111到2222的数据包被加密,Internet上不会出现去往2222的明文数据包. R2(config)#ip route 61.128.1.0 255.255.255.0 202.100.

ASA 5520(IOS version 8.4) IKEv2 IPSEC VPN实验配置

1.实验TOP图如下: 2.实验目的: 使用IKEv2实现点到点的IPSECVPN通信,即本示例中192.168.1.100和172.16.1.100之间实现VPN通信. 3.具体配置如下: ASA1配置 interfaceGigabitEthernet0 nameif outside security-level 0 ip address 11.1.1.2 255.255.255.0 ! interfaceGigabitEthernet1 nameif inside security-leve

ip-sec VPN 基本配置实验

准备步骤: 1.给各路由器配置IP地址 2.R1 R3设置一条默认路由,R2只配IP地址,不做任何路由设置. R1: R1(config)#crypto isakmp enable     //开启ike阶段SA协商 R1(config)#crypto isakmp policy 10     //创建ike策略,10为序号,越小越优先. R1(config-isakmp)#authentication pre-share    //开启pre-share作为认证方式 R1(config-isa

Ipsec VPN 配置实验

网络拓扑: R0配置: ISP>en ISP#sh run Building configuration... Current configuration : 707 bytes ! version 15.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname ISP ! ! ! ! ! ! ! ! i

IPSEC VPN

目录: 简介:... 2 分类:... 2 1.在路由上实现的VPN可分为:... 2 2.在ASA防火墙上实现的VPN:2 IPSec VPN:3 IPSec能实现的功能有:... 3 IPSec的特性(IPSec之所以安全是由它的特性决定的):... 3 IPSec的实施包含两个阶段... 4 IPSec协商过程:... 4 IPSec 范畴的VPN中各种形式的大体配置步骤:... 6 IPSEC VPN几种配置实例... 6 一.实验拓扑... 7 二.实验目的... 7 三.实验要求..

IPSEC VPN 基础原理

作为一个努力在IT一线奋斗的人,励志做到以下几点: 搬的了机器,玩的了系统,精通了协议,敲得了代码. --谨以此让自己不断努力! --------------------------------------------- 一.IPSEC框架: IPSEC封装: IP头部   传输层头部(TCP,UDP...) 应用层头部(HTTP,FTP,HTTPS) 应用层数据 IP头部   IPSEC头部  传输层头部(TCP,UDP...) 应用层头部(HTTP,FTP,HTTPS) 应用层数据 由上可以

使用TMG 2010建立IPSec VPN

1.概述 1.1. 前言 在跨地域的网络环境之间,建立无需拨号连接的VPN连接.在没有点对点专线.硬件VPN设备等条件下,是否可以使用软件来实现? 本文将详解如何使用Forefront TMG 2010建立Site-to-Site IPsec VPN. 1.2. 网络拓扑 拓扑说明 A站: ? 局域网内有1个子网10.2.4.0/24 ? 双Internet出口,网络访问默认出口为路由器,与站点B的通信则经过TMG ? 使用TMG作为Site-to-Site VPN设备,TMG工作模式为边缘防火