IPSec簡介

IPSec（Internet Protocol Security）：是一組基于網(wǎng)絡(luò)層的，應(yīng)用密碼學(xué)的安全通信協(xié)議族。IPSec不是具體指哪個協(xié)議，而是一個開放的協(xié)議族。

IPSec協(xié)議的設(shè)計目標(biāo)：是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活的安全服務(wù)。

IPSec VPN：是基于IPSec協(xié)議族構(gòu)建的在IP層實現(xiàn)的安全虛擬專用網(wǎng)。通過在數(shù)據(jù)包中插入一個預(yù)定義頭部的方式，來保障OSI上層協(xié)議數(shù)據(jù)的安全，主要用于保護(hù)TCP、UDP、ICMP和隧道的IP數(shù)據(jù)包。

由于阿里云上有一些限制，在阿里云ECS上部署待見IPSec和普通服務(wù)器有不一樣的地方。

安裝strongswan

apt-get update
apt-get install strongswan strongswan-plugin-xauth-generic

編輯/etc/ipsec.secrets

vi /etc/ipsec.secrets

增加：

: PSK "test"
user1 : XAUTH "user1password"

其中PSK是預(yù)共享密鑰，是用于驗證 L2TP/IPSec 連接的 Unicode 字符串。user1為用戶名, user1password是密碼。

編輯 /etc/ipsec.conf

config setup
 cachecrls=yes
 uniqueids=yes

conn ios
 keyexchange=ikev1
 authby=xauthpsk
 xauth=server
 left=%defaultroute
 leftsubnet=0.0.0.0/0
 leftfirewall=yes
 right=%any
 rightsubnet=192.168.0.1/16
 rightsourceip=192.168.0.1/16
 rightdns=223.5.5.5
 auto=add

注意使用192.168網(wǎng)段而不是10.0.0.1網(wǎng)段，10.0.0.1網(wǎng)段在阿里云上好像有問題(據(jù)說被禁了？)。

重啟 strongswan

ipsec restart

修改阿里云服務(wù)器對應(yīng)安全組規(guī)則

增加 公網(wǎng)入網(wǎng) UDP 500和 UDP 4500兩個端口

打開IPv4轉(zhuǎn)發(fā)，設(shè)置NAT規(guī)則

sysctl net.ipv4.ip_forward=1

iptables -t nat -A POSTROUTING -s 192.168.0.1/16 -o eth1 -j MASQUERADE

注意是使用 eth1，而不是eth0.

ECS中eth1綁定外網(wǎng)網(wǎng)卡，eth0是內(nèi)網(wǎng)網(wǎng)卡。

相關(guān)閱讀：

阿里云ubuntu16.04如何搭建pptpd服務(wù)

總結(jié)

以上所述是小編給大家介紹的阿里云 ubuntu16.04搭建IPSec服務(wù)，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復(fù)大家的。在此也非常感謝大家對我們網(wǎng)站的支持！
如果你覺得本文對你有幫助，歡迎轉(zhuǎn)載，煩請注明出處，謝謝！