目的:办公室网络和亚马逊连为一个网络,可以在办公室网络连亚马逊实例的内网IP
实现:办公室网络的防火墙和亚马逊的一台实例做为通道的两端,此实例所在的VPC可以和其他VPC连成对等连接以连通其他VPC
办公室网络的防火墙配置IPSEC
亚马逊×××上安装openswan,配置ipsec.conf, ipsec.secret即可
/etc/ipsec.conf:
version 2.0
#include /etc/ipsec.d/*.conf
## general configuration parameters ##
config setup
plutodebug=all
plutostderrlog=/var/log/pluto.log
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
conn xiaohua-AWS
ike=3des-sha1
## phase 1 ##
keyexchange=ike
## phase 2 ##
phase2=esp
phase2alg=3des-sha1
compress=no
pfs=yes
authby=secret
auto=start
type=tunnel
left=%defaultroute
leftsubnet=10.28.0.0/16 //亚马逊内网IP段
leftid=xx.xx.xx.xx //亚马逊×××外网IP
leftnexthop=%defaultroute
right=xx.xx.xx.xx //办公室公网出口IP
rightsubnet=10.3.0.0/16 //办公室内网IP段
rightid=xx.xx.xx.xx //办公室公网出口IP
rightnexthop=%defaultroute
/etc/ipsec.secrets
办公室公网出口IP 亚马逊×××公网IP: PSK "password"
3. 亚马逊×××实例防火墙配置添加
-A INPUT -s 办公室公网出口IP -i eth0 -p tcp -m tcp --dport 4500 -j ACCEPT
-A INPUT -s 办公室公网出口IP -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -s 办公室公网出口IP -i eth0 -p udp -m udp --dport 500 -j ACCEPT
