CentOS下搭建IPsecVPN客戶端
一、目的
連接VPN客戶端伺服器, 使用VPN運維
環境需求:虛擬機一台
182.247.239.44(公網IP)
10.10.0.10(控制網)
二、搭建步驟和配置
為了搭建客戶端環境,需要在當前節點完成下述安裝步驟:
1. 安裝strongswan
# yun install
strongswan2. 開啟路由轉發功能
# vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
# sysctl -p
3. 修改秘鑰文件
# echo ": PSK
presharekey" > /etc/strongswan/ipsec.secrets查看文件配置 /etc/strongswan/ipsec.secrets 與
/etc/ipsec.secrets4. 修改配置文件ipsec.conf
文件位置: /etc/strongswan/ipsec.conf 根據實際公網
IP 地址和內網 IP 地址段進行配置。注意語法規則 config setup 、conn %default、conn net-0、conn net-8 域的語法。ipsec.conf 參考配置文件
config setup
# charondebug = "dmn 3,mgr 1,ike
0,chd 1,job 0,cfg 0,knl 1,net 1,tls 1,lib 0,enc 0,tnc 0"charondebug = "dmn 3,mgr 1,ike
0,chd 1,cfg 0,knl 1,net 1,tls 1,lib 0,enc 0,tnc 0"conn %default
# ikelifetime=60m
ikelifetime=8h
# keylife=20m
lifetime=8h
keyingtries=%forever
keyexchange=ikev2
ike=3des-sha1-modp1024!
esp=3des-sha1
authby=secret
rekey=no
type=tunnel
authby=psk
auto=add
dpdaction=clear
dpddelay=0
conn net-0
left=182.247.239.44 #VPN客戶端公網IP地址
leftsubnet=192.168.0.0/24 #VPN客戶端內網IP段
leftfirewall=yes
right=182.247.239.101 #VPN服務端公網IP地址
rightsubnet=10.25.0.0/24 #VPN服務端內網IP 地址段
auto=add
5. strongswan服務的啟動與關閉
#
strongswan start #啟動#
strongswan stop #停止#
strongswan restart #重啟:#echo
" /usr/sbin/strongswan start" >> /etc/rc.d/rc.local #開機啟動:#
strongswan statusall #查看 strongswan 狀態
注意:不要使用#
service strongswan restart 重啟服務6. 在運維節點上聯交換機手動添加指向內網的路由
dell交換機配置如下:
ws-core# conf t
ws-core(conf)# ip route
10.10.0.0 255.255.255.0 10.25.0.6ws-core(conf)# end
ws-core# wr
華為交換機配置如下:
<> system-view
[] ip route-static
10.10.0.0 255.255.255.0 10.25.0.6[] quit
<> save
7. 在私有雲交換機上加靜態路由
dell交換機配置如下:
ws-core# conf t
ws-core(conf)# ip route
10.25.0.0 255.255.255.0 10.10.0.10ws-core(conf)# end
ws-core# wr
華為交換機配置如下:
<> system-view
[] ip route-static
10.25.0.0 255.255.255.0 10.10.0.10[] quit
<> save
作者:劉棟棟
推薦閱讀: