Site to Site

有梦想的鲨鱼 发布于

场景:

如果需要从本地连接到AWS VPC,除了专线之外还可以使用VPN

架构

创建客户网关

这个网关既是运营商分配给企业的一个出口IP地址
在此我使用18.179.223.38作为出口IP
导航到我们的AWS VPC Console上,在左侧选项栏找到客户网关(Custom Gateway)并点击创建客户网关

创建客户网关

创建虚拟专用网关

创建虚拟专用网关

需要将其附加到VPC上

附加到VPC

创建VPN连接

创建VPN连接

查看隧道信息

查看隧道信息

在VPC上添加路由

添加路由

配置VPN客户端

安装libreswan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
我们在企业VPC上创建一台ec2后,进行安装libreswan
sudo yum install libreswan -y
配置文件
vim /etc/ipsec.d/myconnection.conf
conn myconnection
    left=%defaultroute
    leftsubnet=172.20.0.0/16    #企业端的ip地址段
    right=13.115.203.84    # 这是隧道的外部IP地址
    rightsubnet=192.168.0.0/16    # AWS上的IP地址段
    authby=secret
    auto=start
    ikev2=no        # 这里需要看下载配置文件时,是否有选择Ikev2

为了为我们的连接创建秘密,我们需要来自 VPN 配置的一份数据。
您还记得我们在 AWS 中创建 VPN 连接时下载了此配置。
下载文件的开头应该与此类似:
  - IKE version              : IKEv1
  - Authentication Method    : Pre-Shared Key
  - Pre-Shared Key           : MtIHIt6gum36zrZVOefRzQaVITHi3OqY
  - Authentication Algorithm : sha1
  - Encryption Algorithm     : aes-128-cbc
  - Lifetime                 : 28800 seconds
  - Phase 1 Negotiation Mode : main
  - Diffie-Hellman           : Group 2


vim /etc/ipsec.d/myconnection.secrets
18.180.200.92 0.0.0.0 %any: PSK "OsF8sy2SOxbGMTL5Wj.O1EKk_nFR5ptK"
如果您有防火墙或其他配置,则需要确保它允许 IKE 数据报和受 IPSec 保护的数据。您设置的方式在很大程度上取决于您使用的设备和/或软件

接下来我们需要修改linux内核参数
vim /etc/sysctl.conf
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.eth0.send_redirects= 0
net.ipv4.conf.lo.send_redirects= 0
net.ipv4.conf.ip_vti0.rp_filter =0
net.ipv4.ip_forward = 1
net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.default.accept_redirects=0
sysctl -p

然后测试连接,我们可以使用先通过命令验证libreswan的配置文件,和其他网络设置
ipsec verify
Verifying installed system and configuration files

Version check and ipsec on-path                         [OK]
Libreswan 3.25 (netkey) on 5.10.75-79.358.amzn2.x86_64
Checking for IPsec support in kernel                    [OK]
 NETKEY: Testing XFRM related proc values
         ICMP default/send_redirects                    [OK]
         ICMP default/accept_redirects                  [OK]
         XFRM larval drop                               [OK]
Pluto ipsec.conf syntax                                 [OK]
Two or more interfaces found, checking IP forwarding    [OK]
Checking rp_filter                                      [OK]
Checking that pluto is running                          [OK]
 Pluto listening for IKE on udp 500                     [OK]
 Pluto listening for IKE/NAT-T on udp 4500              [OK]
 Pluto ipsec.secret syntax                              [OK]
Checking 'ip' command                                   [OK]
Checking 'iptables' command                             [OK]
Checking 'prelink' command does not interfere with FIPS [OK]
Checking for obsolete ipsec.conf options                [OK]

如果以上的范围结果都是OK,则我们可以启动libreswan了
systemctl enable --now ipsec

sudo ipsec auto --add myconnection

sudo systemctl restart ipsec

ipsec status 如果Total IPsec connections: loaded 1, active 1,说明VPN已经联通了

配置路由(如果创建VPN连接时没有指定本地的地址段和AWS侧的地址段):
route add -net 192.168.0.0 netmask 255.255.0.0 dev eth0


在AWS上开放安全组

开放安全组

测试

测试

Small Shark

Small Shark

鲨鱼也会有划水的一天

13
0
6
NOTICE

flex-block主题部分重构,详情查看https://github.com/miiiku/flex-block

CATEGORYS
TAGS
CDN Route53 SSM Tag VPN s3