VSR公网对接strongSwan NAT穿越

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: VSR公网对接strongSwan NAT穿越

通过上次的案例,我们已经掌握了strongSwan和VSR基于IKEv1主模式进行对接的配置方法。有同学提出,实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置为野蛮模式+FQDN应该就可以了。

本次我们先把VSR作为公网端,strongSwan经过NAT设备和VSR进行对接。

照例,我们先调整VSR的配置:

#
ike keychain swan
 pre-shared-key hostname swan key simple swan
#
ike proposal 20
 encryption-algorithm aes-cbc-128
 dh group2
 authentication-algorithm sha256
#
ike profile swan
 keychain swan
 exchange-mode aggressive
 local-identity address 49.7.205.89
 match remote identity fqdn swan
 proposal 20
#
acl advanced 3402
 rule 0 permit ip source 172.30.1.0 0.0.0.255 destination 172.27.3.0 0.0.0.255
#
ipsec transform-set swan
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha256
#
ipsec policy swan 10 isakmp
 transform-set swan
 security acl 3402
 local-address 172.30.3.19
ike-profile swan
#
interface GigabitEthernet1/0
 ipsec apply policy swan

然后调整strongSwan的配置,主要是修改为IKEv1一阶段的交互模式为野蛮模式,并且修改身份验证为FQDN。



# cat /etc/strongswan/ipsec.conf
conn swan
  aggressive = yes
authby = psk
  keyexchange=ikev1
  left= 192.168.222.131
  leftid=swan
  leftsubnet= 172.27.3.0/24
  right= 49.7.205.89
  rightid= 49.7.205.89
  rightsubnet= 172.30.1.0/24
  auto=route
  ike = aes128-sha256-modp1024
  esp = aes128-sha256
  ikelifetime=86400


配置预共享密钥到ipsec.secrets文件中。



# cat /etc/strongswan/ipsec.secrets
swan 49.7.205.89 : PSK swan


配置完成之后重新启动strongSwan服务。

strongswan restart

然后从strongSwan下连的主机发起访问请求。

1677235185308.jpg

访问失败,IKE一阶段协商成功,二阶段协商失败。

1677235197456.jpg

从VSR上查看,也是一样的状态。

1677235202057.jpg

对比之前的实验配置,应该是要换成IPsec模板试一下,把IPsec兴趣流也去掉。

#
ipsec policy-template swant 1
 transform-set swan
local-address 172.30.3.19
 ike-profile swan
#
ipsec policy swan 10 isakmp template swant

再次触发IPsec协商,隧道建立成功。

1677235221973.jpg

再次查看strongSwan状态,IKE第二阶段协商成功。

1677235234853.jpg

在VSR上查看IPsec SA信息。

1677235239307.jpg

不过有个地方我不太理解了,为啥开了ICMP超时报文发送功能和ICMP目的不可达报文发送功能之后,tracert路径还是会显示为*呢?

1677235244130.jpg

梳理一下配置。strongSwan配置如下:

# cat /etc/strongswan/ipsec.conf
conn swan
        aggressive = yes
        authby = psk
        keyexchange=ikev1
        left= 192.168.222.131
        leftid=swan
        leftsubnet= 172.27.3.0/24
        right= 49.7.205.89
        rightid= 49.7.205.89
        rightsubnet= 172.30.1.0/24
        auto=route
        ike = aes128-sha256-modp1024
        esp = aes128-sha256
        ikelifetime=86400
# cat /etc/strongswan/ipsec.secrets
swan 49.7.205.89 : PSK swan

VSR配置如下:



#
interface GigabitEthernet1/0
 ip address 172.30.3.19 255.255.255.0
ipsec apply policy swan
#
ipsec transform-set swan
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha256
#
ipsec policy-template swant 1
 transform-set swan
 local-address 172.30.3.19
 ike-profile swan
#
ipsec policy swan 10 isakmp template swant
#
ike profile swan
 keychain swan
 exchange-mode aggressive
 local-identity address 49.7.205.89
 match remote identity fqdn swan
 proposal 20
#
ike proposal 20
 encryption-algorithm aes-cbc-128
 dh group2
 authentication-algorithm sha256
#
ike keychain swan
 pre-shared-key hostname swan key simple swan
相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
6月前
|
存储 运维 网络协议
穿越网络界限:探索NAT IPv4的神秘面纱
穿越网络界限:探索NAT IPv4的神秘面纱
133 1
|
7月前
|
网络协议 安全
ensp中nat server 公网访问内网服务器
ensp中nat server 公网访问内网服务器
144 1
|
弹性计算 容灾 网络安全
VPC+NAT 网络实现多应用共享公网带宽|学习笔记
快速学习 VPC+NAT 网络实现多应用共享公网带宽
VPC+NAT 网络实现多应用共享公网带宽|学习笔记
|
弹性计算 Linux
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
39816 0
|
存储 弹性计算 网络协议
部分报文无法通过自建SNAT转发到公网
此文探讨部分报文无法通过SNAT转换IP地址的场景,探究conntrack/iptables处理报文和连接的方式,并分析了相关的源码。 问题现象 使用ECS自建NAT网关,同VPC内其他ECS都通过此自建NAT网关ECS的SNAT功能访问公网。SNAT功能使用iptables实现,命令如下。 iptables -t nat -A POSTROUTING -j MASQUERADE 客户端访
582 0
部分报文无法通过自建SNAT转发到公网
|
弹性计算 负载均衡 网络架构
详解SLB、EIP、NAT网关之间区别, 合理选择云上公网入口
概述 阿里云的公网入口产品共有三个,SLB、EIP、NAT网关,这几个产品都可以作为云上资源的公网入口,他们之间有何区别,又分别应该在什么场景下使用呢?
29451 4
|
弹性计算 网络安全 网络架构
如何使用高速通道实现跨VPC NAT公网共享
原作者:阿里云解决方案架构师,云帅。本文告诉你,如何使用高速通道实现跨VPC NAT公网共享。
1984 0