如何使用Openswan创建点对点的IPsec VPN隧道

在Internet中,通常使用VPN隧道来互联两个物理隔离的网络的内部通信;例如:VPN隧道可以用来连接两个经过NAT之后分支机构的网络,此文将针对使用Openswan来实现点对点的VPN隧道测试

 拓扑结构
ipsec1 ipsec2ipsec3安装配置VPN服务器

一般情况下,我们只能管理A站点,如果也想管理B站点,这时就需要建立VPN隧道

禁止VPN重定向

修改内核参数启用转发和禁止重定向

放行openswan服务端口和NAT规则

 修改配置

Site-A VPN Server:

身份验证可以通过几种不同的方式,此处使用pre-shared方式

 启动服务和排错

如果能正常启动,从A端就能ping通B端私网地址

在Site-A VPN Server上ip route 就可以查看相关的路由

两边的VPN Server都配置完成后即可互访私网,其他重要命令:

查看隧道状态

ipsec auto –status

相关日志文件(记录了认证、Key交换信息等,可用于排错):
/var/log/pluto.log

 注意事项

1.运营商可能会屏蔽端口,通过telent命令测试确保运营商允许使用UDP 500, TCP/UDP 4500 端口
2.确保防火墙放行相关端口
3.确保终端服务器pre-shared密钥是相同的
4.遇到NAT问题,尝试使用SNAT 替代MASQUERADING

 

如何使用Openswan创建点对点的IPsec VPN隧道》上有4条评论

  1. laoqianII

    求问。我可否在国外搞一个vps。然后建立隧道。可以用这个来科学上网。。。或者用来做mysql双主复制?

    回复
  2. 落尘

    你好,看了你的这个有不明白的地方,比如说ipsec.conf文件里的配置,如果我的是redhat的,那就不用写debian的配置了吗?还是都要写?

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注