Linux VPN部署方案

部署方案

Linux VPN

实现目标

本方案指在办公室内增加部署LinuxVPN服务器，实现与阿里的VPN进行Net 2 Net的VPN加密通信。从而在保证数据安全的情况下，实现公司内部与阿里云数据中心的数据传输。

部署环境

软件需求

CentOS 6.5 64bit Linux操作系统 OpenSwan VPN开源软件

硬件需求

一条带有固定公网IP地址的专用宽带线路

包含有双网卡的服务器一台，硬件配置最少需要能够运行CentOS 6.5 64bit Linux操作系统。

可以设置路由的三层交换机或路由器

部署后的逻辑网络拓扑结构

公共基础安装

OpenSwan软件并设置

1. yum install openswan

现在，我们使用下面这些命令，禁用服务器中的VPN重定向：

1. # for vpn in /proc/sys/net/ipv4/conf/*; 2. # do echo 0 > $vpn/accept_redirects; 3. # echo 0 > $vpn/send_redirects; 4. # done

下一步，我们改动内核参数，允许IP转发、永久性禁止重定向。

1. # vim /etc/sysctl.conf 2. net.ipv4.ip_forward = 1

3. net.ipv4.conf.all.accept_redirects = 0 4. net.ipv4.conf.all.send_redirects = 0

重新装入/etc/sysctl.conf：

# sysctl -p

VPN参数配置

办公室VPN环境配置

需要要处理的第一个配置文件是ipsec.conf。无论你配置的是哪台服务器，总是将你的站点想成“left”，将远程站点想成“right”。

# vi /etc/ipsec.conf 公共部分的基础配置

1. config setup 2. plutodebug=all

3. plutostderrlog=/var/log/pluto.log 4. protostack=netkey 5. nat_traversal=yes

6. virtual_private=%v4:192.168.1.0/16,%v4:192.168.2.0/24 7. oe=off

8. include /etc/ipsec.d/examples/no_oe.conf

Oiffce1到阿里云的认证和网络配置 9. Conn office1-aliyun 10. authby=secret 11. auto=start 12. keyexchange=ike 13. esp=3des-md5 14. pfs=yes 15. type=tunnel 16. left=10.1.1.1

17. leftsourceip=10.1.1.1 18. leftsubnet=192.168.1.0/24 19. leftnexthop=Tfaultroute 20. right30.1.1.1

21. rightsubnet=192.168.2.0/24

预共享密钥的设置，该密钥被添加到文件/etc/ipsec.secrets中。密钥文件中，左边是本端的公网IP地址，右边是对端公网IP地址，后面跟共享密钥。

# vi /etc/ipsec.secrets

10.1.1.1 30.1.1.1 : PSK \

路由VPN数据

以思科路由器为例，在路由器上设置将所有去往192.168.2.0/24的数据（即VPN流量）重定向到办公室VPN服务器的内网IP地址

#ip route 192.168.2.0 255.255.255.0 192.168.1.2

阿里云VPN配置

1. # vi /etc/ipsec.conf 2. config setup 3. plutodebug=all

4. plutostderrlog=/var/log/pluto.log 5. protostack=netkey 6. nat_traversal=yes

7. virtual_private=%v4:192.168.2.0/24,%v4:192.168.1.0/24 8. oe=off

9. include /etc/ipsec.d/examples/no_oe.conf 10. conn office1-aliyun 11. authby=secret 12. auto=start 13. keyexchange=ike 14. esp=3des-md5 15. pfs=yes 16. type=tunnel 17. left=30.1.1.1

18. leftsourceip=30.1.1.1 19. leftsubnet=192.168.2.0/24 20. leftnexthop=Tfaultroute 21. right=10.1.1.1

22. rightsubnet=192.168.1.0/24

预共享密钥的设置，该密钥被添加到文件/etc/ipsec.secrets中。

# vi /etc/ipsec.secrets

30.1.1.1 10.1.1.1: PSK \

多办公室VPN配置

假设我们现在除了Office1需要与阿里云建立VPN之外，还有Office2也

要与阿里建立VPN。office2的VPN服务器公网IP地址为40.1.1.1 内网地址为：192.168.3.0/24

1. # vim /etc/ipsec.conf 2. config setup 3. plutodebug=all

4. plutostderrlog=/var/log/pluto.log 5. protostack=netkey 6. nat_traversal=yes

7. virtual_private=%v4:192.168.1.0/24,%v4:192.168.2.0/16,%v4:192.168.3.0/24 8. oe=off

9. include /etc/ipsec.d/examples/no_oe.conf 10. conn office1-aliyun 11. authby=secret 12. auto=start 13. keyexchange=ike 14. esp=3des-md5 15. pfs=yes 16. type=tunnel 17. left=30.1.1.1

18. leftsourceip=30.1.1.1 19. leftsubnet=192.168.2.0/24 20. leftnexthop=Tfaultroute 21. right=10.1.1.1

22. rightsubnet=192.168.1.0/25

23. conn aliyun-office2 24. authby=secret 25. auto=start 26. keyexchange=ike 27. esp=3des-md5 28. pfs=yes 29. type=tunnel 30. left=30.1.1.1

31. leftsourceip=30.1.1.1 32. leftsubnet=192.168.2.0/24 33. leftnexthop=Tfaultroute 34. right=40.1.1.1

35. rightsubnet=192.168.3.0/24

预共享密钥的设置，该密钥被添加到文件/etc/ipsec.secrets中。

# vi /etc/ipsec.secrets

30.1.1.1 10.1.1.1 : PSK \30.1.1.1 40.1.1.1 : PSK \

本文来源：https://www.bwwdw.com/article/a2vd.html