ECS strongSwan VPN与火山VPN打通

火山VPC地址：192.168.0.0/16

自建ECS(IDC)网段： 172.16.0.0/21

阿里云VPC网段：10.0.1.0/24

分别实现自建VPN网关与 火山VPN、阿里云VPN打通

创建配置VPN和ECS ipsec配置

1. 在火山VPC下创建 VPN网关、用户网关 。参考文档中心-火山引擎
2. 自建ECS 安装软件

[root@vpn ~]# yum -y install strongswan 

3. 检查是否安装成功

[root@vpn ~]# strongswan version 
Linux strongSwan U5.7.2/K3.10.0-1127.el7.x86_64
University of Applied Sciences Rapperswil, Switzerland
See 'strongswan --copyright' for copyright information.

4. 配置ECS上 ipsec.conf文件

[root@vpn strongswan]# cat /etc/strongswan/ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration

config setup
    # strictcrlpolicy=yes
     uniqueids = never
conn %default
    authby=psk     #使用预共享密钥认证方式
    type=tunnel
    
conn volcvpn
    keyexchange=ikev1              # IPsec 连接使用的IKE版本
    left=172.16.0.135              # 本机IP地址
    leftsubnet=172.16.0.0/21       # 本端网段
    leftid=111.62.107.xxx          # 本端网关设备公网地址，或EIP
    right=180.184.69.xxx            # 火山VPN IP地址
    rightsubnet=192.168.0.0/16      #火山VPC网段
    rightid=180.184.69.xxx        # 火山VPN地址
    auto=route
    ike=aes-sha1-modp1024          # IPsec 连接中IKE协议的加密算法-认证算法-DH分组
    ikelifetime=86400s             # IKE 协议的SA生命周期
    esp=aes-sha1-modp1024          # IPsec 连接中IPsec协议的加密算法-认证算法-DH分组
    lifetime=86400s                # IPsec协议的SA生命周期
    type=tunnel

5. 火山控制台创建IPsec连接

认证算法、加密算法等与ECS中保持一致

6. 配置ipsec.secrets 预共享密钥

[root@vpn strongswan]# cat ipsec.secrets 
111.62.107.xxx 180.184.69.xxx : PSK 12345678

7. 打开系统转发配置

echo 1 > /proc/sys/net/ipv4/ip_forward

8. 启动 StrongSwan

[root@vpn strongswan]# systemctl enable strongswan
[root@vpn strongswan]# systemctl start strongswan

路由配置

1. 登录火山VPC控制台所在VPC路由表

2. VPN网关配置路由条目

3. 本地ECS （IDC）路由 根据需求配置

4. 测试验证 172.16.0.0/21 192.168.0.0/16 私网地址通信

如果您有其他问题，欢迎您联系火山引擎技术支持服务