到 Amazon EC2 的 IPSec 隧道 - 網路密鑰、NAT 和路由問題
我正在努力讓 IPSec VPN 在 Amazon EC2 和我的內部部署之間執行。目標是能夠通過該隧道安全地管理內容、上傳/下載數據等。
我已經在具有彈性 IP 的 Fedora 12 實例和也經過 NAT 的 Cisco 路由器之間建立了隧道。我認為 ipsec 部分還可以,但我無法弄清楚如何以這種方式路由流量;沒有“ipsec0”虛擬介面,因為在亞馬遜上,您必須使用 netkey 而不是 KLIPS 作為 vpn。我聽說 iptables 可能是必需的,我是 iptables 菜鳥。
在左邊(亞馬遜),我有一個 10. 網路。Box 1 是私有 10.254.110.A,公共 IP 184.73.168.B。Netkey 隧道已啟動。框 2 公開是 130.164.26.C,私下是 130.164.0.D
我的 .conf 是:
conn ni type= tunnel authby= secret left= 10.254.110.A leftid= 184.73.168.B leftnexthop= %defaultroute leftsubnet= 10.254.0.0/32 right= 130.164.26.C rightid= 130.164.0.D rightnexthop= %defaultroute rightsubnet= 130.164.0.0/18 keyexchange= ike pfs= no auto= start keyingtries= 3 disablearrivalcheck=no ikelifetime= 240m auth= esp compress= no keylife= 60m forceencaps= yes esp= 3des-md5
我添加了一條到框 1 的路由(通過 10.254.110.A dev eth0 的 130.164.0.0/18),但是由於可預測的原因,當我跟踪流量仍然“四處走動”而不是通過 vpn 時,這並沒有做到。
路由表:
10.254.110.0/23 dev eth0 proto kernel scope link src 10.254.110.A 130.164.0.0/18 via 10.254.110.178 dev eth0 src 10.254.110.A 169.254.0.0/16 dev eth0 scope link metric 1002
任何人都知道如何使用雙方都經過 NAT 的 netkey ipsec 隧道進行路由?
謝謝…
你知道亞馬遜虛擬私有云,對吧?
我花了數週時間研究 OpenVPN 和花哨的路由方案來完成同樣的事情,之後亞馬遜發布了這項服務並淘汰了我的工作。
我可以建議你看看vCider嗎?它允許您甚至跨提供商邊界創建安全的虛擬網路(以防您希望擴展到 EC2 之外)。您可以創建自己的獨立於提供商的 VPC。它還可以讓您“隱藏”您的云網路:基本上,您可以讓您的雲節點從公共網路中消失,但您可以為單個節點指定例外。它提供了將您的企業網路連接到網路的雲部分的特定功能。
免責聲明:我為 vCider 工作。但是請不要讓這阻止您查看它。您可以免費為最多 8 台主機創建虛擬專用網路。