我的关注 |
¥0.1 在阿里云ECS ubuntu16.04上如何搭建IPSec服务?
1

在阿里云ECS上如何搭建IPSec服务?
系统ubuntu 16.04

hong
修改
评论(0)
1个回答
1
采纳

由于阿里云上有一些限制,是的在阿里云ECS上部署待见IPSec和普通服务器有不一样的地方。

安装strongswan

  1. apt-get update
  2. apt-get install strongswan strongswan-plugin-xauth-generic

编辑/etc/ipsec.secrets

  1. vi /etc/ipsec.secrets

增加:

  1. : PSK "test"
  2. user1 : XAUTH "user1password"

其中PSK是预共享密钥,是用于验证 L2TP/IPSec 连接的 Unicode 字符串。user1为用户名, user1password是密码。

编辑 /etc/ipsec.conf

  1. config setup
  2. cachecrls=yes
  3. uniqueids=yes
  4. conn ios
  5. keyexchange=ikev1
  6. authby=xauthpsk
  7. xauth=server
  8. left=%defaultroute
  9. leftsubnet=0.0.0.0/0
  10. leftfirewall=yes
  11. right=%any
  12. rightsubnet=192.168.0.1/16
  13. rightsourceip=192.168.0.1/16
  14. rightdns=223.5.5.5
  15. auto=add

注意使用192.168网段而不是10.0.0.1网段,10.0.0.1网段在阿里云上好像有问题(据说被禁了?)。

重启 strongswan

  1. ipsec restart

修改阿里云服务器对应安全组规则

增加 公网入网 UDP 500和 UDP 4500两个端口

打开IPv4转发,设置NAT规则

  1. sysctl net.ipv4.ip_forward=1
  2. iptables -t nat -A POSTROUTING -s 192.168.0.1/16 -o eth1 -j MASQUERADE

注意是使用 eth1,而不是eth0.
ECS中eth1绑定外网网卡,eth0是内网网卡。

采纳答案
大智若愚
修改
评论 (0)
撰写回答