IPSec 隧道到 Amazon EC2 - Netkey、NAT 和路由问题

IPSec 隧道到 Amazon EC2 - Netkey、NAT 和路由问题

我正在努力让 IPSec VPN 在 Amazon EC2 和我的本地之间工作。目标是能够通过该隧道安全地管理内容、上传/下载数据等。

我在 openswan 中建立了 Fedora 12 实例(具有弹性 IP)和 Cisco 路由器(也已进行 NAT)之间的隧道。我认为 ipsec 部分没问题,但我无法弄清楚如何以这种方式路由流量;没有“ipsec0”虚拟接口,因为在 Amazon 上,您必须使用 netkey 而不是 KLIPS 进行 VPN。我听说可能需要 iptables,而我是 iptables 新手。

在左侧(亚马逊),我有一个 10. 网络。盒子 1 的私网是 10.254.110.A,公网 IP 是 184.73.168.B。Netkey 隧道已启动。盒子 2 的公网是 130.164.26.C,私网是 130.164.0.D

我的 .conf 是:

conn ni
        type=           tunnel
        authby=         secret
        left=           10.254.110.A
        leftid=         184.73.168.B
        leftnexthop=    %defaultroute
        leftsubnet=     10.254.0.0/32
        right=          130.164.26.C
        rightid=        130.164.0.D
        rightnexthop=   %defaultroute
        rightsubnet=    130.164.0.0/18
        keyexchange=    ike
        pfs=            no
        auto=           start
        keyingtries=    3
        disablearrivalcheck=no
        ikelifetime=    240m
        auth=           esp
        compress=       no
        keylife=        60m
        forceencaps=    yes
        esp=            3des-md5

我向框 1 添加了一条路由(通过 10.254.110.A dev eth0 的 130.164.0.0/18),但由于可预见的原因,这并没有起作用,当我跟踪路由时,流量仍然“绕行”而不是通过 vpn。

路由表:

10.254.110.0/23 dev eth0  proto kernel  scope link  src 10.254.110.A
130.164.0.0/18 via 10.254.110.178 dev eth0  src 10.254.110.A
169.254.0.0/16 dev eth0  scope link  metric 1002

有人知道如何使用双方都经过 NAT 的 netkey ipsec 隧道进行路由吗?

谢谢...

答案1

你知道亚马逊虚拟私有云, 正确的?

我花了数周时间研究 OpenVPN 和花式路由的方案来实现同一件事,之后亚马逊发布了这项服务并淘汰了我的工作。

答案2

我可以建议你看看苹果酒? 它允许您创建安全的虚拟网络,甚至跨提供商边界(如果您想要扩展到 EC2 之外)。您可以创建自己的独立于提供商的 VPC。它还允许您“隐藏”云网络:基本上,您可以让您的云节点从公共网络中消失,但您可以为单个节点指定例外。它提供特定功能,将您的企业网络连接到网络的云部分。

免责声明:我为 vCider 工作。但请不要因此而放弃查看它。您可以免费为最多 8 个主机创建虚拟专用网络。

相关内容