本帖最后由 nihongliang 于 2018-3-12 11:59 编辑
论坛里面有过很多次openswan对接sangfor的问题了,经常有朋友对接不成功,其实大概看下来因为对openswan配置方法不熟悉导致的,只要大家能稍微了解到openswan的配置方法,那么ipsecvpn对接将不再是问题,此帖将介绍各种环境的配置思路以及注意点,此处就不贴某公司端的配置了。
openswan主要就是两个配置文件 一个是ipsec.conf,一个是ipsec.secrets
一.主模式
主模式下配置方法相当简单,网上关于openswan对接的基本都是主模式下的配置,这种情况下一般都可以直接对接,照着配置修改即可
1.单子网
cat /etc/ipsec.conf
config setup
protostack=netkey
dumpdir=/var/run/pluto/ virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 conn 2to1
ike=3des-md5 -- 第一阶段加密认证算法
esp=3des-md5 -- 第二阶段加密认证算法 authby=secret keyingtries=0 left=2.2.2.1 --openswan端地址
leftsubnet=192.168.2.0/24 --openswan端子网
leftnexthop=%defaultroute right=1.1.1.1 --sangfor端地址
rightsubnet=192.168.1.0/24 --sangfor端子网
rightnexthop=%defaultroute compress=no ikelifetime=3600 --ike生存时间
keylife=7200 --ipsec生存时间
pfs=no
2.多子网
多子网时,分两种情况,第一种如果子网可以用掩码形式写成一条,那么将直接参考单子网的配置,如果网段存在不连续的情况,此时需要多加条conn的配置
cat/etc/ipsec.conf config setup protostack=netkey dumpdir=/var/run/pluto/ virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 conn 2to1 ike=3des-md5 esp=3des-md5 authby=secret keyingtries=0 left=2.2.2.1 leftsubnet=192.168.2.0/24 leftnexthop=%defaultroute right=1.1.1.1 rightsubnet=192.168.1.0/24 rightnexthop=%defaultroute compress=no ikelifetime=3600 keylife=7200 pfs=no conn 20to1 ike=3des-md5 esp=3des-md5 authby=secret keyingtries=0 left=2.2.2.1 leftsubnet=192.168.20.0/24 --第二个子网
leftnexthop=%defaultroute right=1.1.1.1 rightsubnet=192.168.1.0/24 rightnexthop=%defaultroute compress=no ikelifetime=3600 keylife=7200 pfs=no
二.野蛮模式 虽然主模式配置简单,但实际项目做下来,很多都是野蛮模式,但大多数朋友还是参考网上主模式的配置方法,所以经常会出现不通的情况,下面就简单介绍下野蛮模式的配置方法。
1.sangfor端wan口pppoe拨号,openswan端wan口为固定ip 注意事项:sangfor端为pppoe拨号,ip不固定,所以right需要填写成0.0.0.0,并且添加使用fqdn即leftid和rightid,然后因为是sangfor主动发起连接,所以参数中不需要配置auto=start
cat/etc/ipsec.conf config setup protostack=netkey nat_traversal=yes --开启nat穿越 dumpdir=/var/run/pluto/ virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 conn 2to1 ike=3des-md5 esp=3des-md5 authby=secret keyingtries=0 leftid=@openswan
left=2.2.2.1 leftsubnet=192.168.2.0/24 leftnexthop=%defaultroute right=@sangfor
right=0.0.0.0 rightsubnet=192.168.1.0/24 rightnexthop=%defaultroute compress=no ikelifetime=3600 keylife=7200 pfs=no aggrmode=yes --指定野蛮模式
cat /etc/ipsec.secrets include /etc/ipsec.d/*.secrets 2.2.2.1 0.0.0.0: PSK "123456789"
2.sangfor端为固定ip,openswan端在内网环境内,且前端出口设备为pppoe
注意事项:需要使用fqdn,然后secrets需要指定为fqdn,left参数注意点
cat/etc/ipsec.conf
config setup
protostack=netkey nat_traversal=yes --开启nat穿越 dumpdir=/var/run/pluto/ virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 conn 2to1 ike=3des-md5 esp=3des-md5 authby=secret keyingtries=0 leftid=@openswan
left=192.168.2.200 leftsubnet=192.168.2.0/24 leftnexthop=%defaultroute right=@sangfor
right=1.1.1.1 rightsubnet=192.168.1.0/24 rightnexthop=%defaultroute compress=no ikelifetime=3600 keylife=7200 pfs=no aggrmode=yes --指定野蛮模式
cat /etc/ipsec.secrets include /etc/ipsec.d/*.secrets @openswan @sangfor : PSK "123456789"
3.sangfor端为pppoe拨号,openswan端在内网环境内,前端出口设备为固定ip
注意事项: openswan前端防火墙需要将udp的500和4500映射到openswan上。left这个参数必须要填写为openswan的内网ip。
cat/etc/ipsec.conf config setup protostack=netkey nat_traversal=yes --开启nat穿越 dumpdir=/var/run/pluto/ virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 conn 2to1 ike=3des-md5 esp=3des-md5 authby=secret keyingtries=0 leftid=@openswan
left=192.168.2.200 leftsubnet=192.168.2.0/24 leftnexthop=%defaultroute right=@sangfor
right=0.0.0.0 rightsubnet=192.168.1.0/24 rightnexthop=%defaultroute compress=no ikelifetime=3600 keylife=7200 pfs=no aggrmode=yes --指定野蛮模式
cat /etc/ipsec.secrets
include /etc/ipsec.d/*.secrets
2.2.2.1 0.0.0.0: PSK "123456789"
|