场景描述:
火山VPC地址:192.168.0.0/16
自建ECS(IDC)网段: 172.16.0.0/21
阿里云VPC网段:10.0.1.0/24
分别实现自建VPN网关与 火山VPN、阿里云VPN打通
操作步骤
创建配置VPN和ECS ipsec配置
- 在火山VPC下创建 VPN网关、用户网关 。参考文档中心-火山引擎
- 自建ECS 安装软件
[root@vpn ~]# yum -y install strongswan
- 检查是否安装成功
[root@vpn ~]# strongswan version
Linux strongSwan U5.7.2/K3.10.0-1127.el7.x86_64
University of Applied Sciences Rapperswil, Switzerland
See 'strongswan --copyright' for copyright information.
- 配置ECS上 ipsec.conf文件
[root@vpn strongswan]# cat /etc/strongswan/ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
# strictcrlpolicy=yes
uniqueids = never
conn %default
authby=psk #使用预共享密钥认证方式
type=tunnel
conn volcvpn
keyexchange=ikev1 # IPsec 连接使用的IKE版本
left=172.16.0.135 # 本机IP地址
leftsubnet=172.16.0.0/21 # 本端网段
leftid=111.62.107.xxx # 本端网关设备公网地址,或EIP
right=180.184.69.xxx # 火山VPN IP地址
rightsubnet=192.168.0.0/16 #火山VPC网段
rightid=180.184.69.xxx # 火山VPN地址
auto=route
ike=aes-sha1-modp1024 # IPsec 连接中IKE协议的加密算法-认证算法-DH分组
ikelifetime=86400s # IKE 协议的SA生命周期
esp=aes-sha1-modp1024 # IPsec 连接中IPsec协议的加密算法-认证算法-DH分组
lifetime=86400s # IPsec协议的SA生命周期
type=tunnel
- 火山控制台创建IPsec连接
认证算法、加密算法等与ECS中保持一致
- 配置ipsec.secrets 预共享密钥
[root@vpn strongswan]# cat ipsec.secrets
111.62.107.xxx 180.184.69.xxx : PSK 12345678
- 打开系统转发配置
echo 1 > /proc/sys/net/ipv4/ip_forward
- 启动 StrongSwan
[root@vpn strongswan]# systemctl enable strongswan
[root@vpn strongswan]# systemctl start strongswan
路由配置
- 登录火山VPC控制台所在VPC路由表
- VPN网关配置路由条目
-
本地ECS (IDC)路由 根据需求配置
-
测试验证 172.16.0.0/21 192.168.0.0/16 私网地址通信
如果您有其他问题,欢迎您联系火山引擎技术支持服务