Openresty Python LUA

Openresty Python LUA 学习资料 QQ群:397745473

0%

在阿里云搭建IPSEC VPN

发表于 更新于 分类于

阿里云优惠券领取

特点

  1. 支持使用OTP两步验证工具(例如Google Authenticator)
  2. 支持 IPSec Site-to-Site
  3. 支持 VPN、SNAT 基础服务
  4. WEB管理方便

效果图

Flex Gateway项目简介

使用 Flex Gateway 在阿里云搭建VPN
Flex GateWay 提供了 VPN、SNAT 基础服务。它主要提供以下几点功能:
①IPSec Site-to-Site 功能。可快速的帮助用户将两个不同的VPC 私网以IPSec Site-to-Site 的方式连接起来。
②拨号VPN 功能。可让用户通过拨号方式,接入VPC 私网,进行日常维护管理。
③SNAT 功能。可方便的设置Source NAT,以让VPC 私网内的VM 通过Gateway VM 访问外网。
【源码托管地址】 https://github.com/alibaba/FlexGW

VPC 用户通过VPN 将云上环境和用户侧网络打通(Site-to-Site)。
同一用户名下多个VPC(包括同Region/不同Region)之间通过VPN 打通(Site-to-Site)。
跨账号、跨区域的云服务器之间内网互通(拨号VPN。可将不同账号下的云服务器拨入同一个FlexGW VPN 内,然后用VPN 分配的私网地址进行互通)。

登陆说明

登陆地址:https://VM公网IP
使用VM的系统账号密码即可登入系统,即所有可通过SSH登陆主机的用户都可以登入该系统。

软件组成

Strongswan 版本:5.1.3
Website:http://www.strongswan.org
OpenVPN 版本:2.3.2
Website:https://openvpn.net/index.php/open-source.html

程序说明

FlexGW(即本程序)
目录:/usr/local/flexgw
数据库文件:/usr/local/flexgw/instance/website.db
启动脚本:/etc/init.d/flexgw 或/usr/local/flexgw/website_console
日志文件目录:/usr/local/flexgw/logs
实用脚本目录:/usr/local/flexgw/scripts
「数据库文件」保存了我们所有的VPN 配置,建议定期备份。如果数据库损坏,可通过「实用脚本目录」下的initdb.py 脚本对数据库进行初始化,初始化之后所有的配置将清空。

Strongswan

目录:/etc/strongswan
日志文件:/var/log/strongswan.charon.log
启动脚本:/usr/sbin/strongswan
如果strongswan.conf 配置文件损坏,可使用备份文件/usr/local/flexgw/rc/strongswan.conf 进行覆盖恢复。

ipsec.conf 和ipsec.secrets 配置文件,由/usr/local/flexgw/website/vpn/sts/templates/sts 目录下的同名文件自动生成,请勿随便修改。

OpenVPN

目录:/etc/openvpn
日志文件:/etc/openvpn/openvpn.log
状态文件:/etc/openvpn/openvpn-status.log
启动脚本:/etc/init.d/openvpn
server.conf 配置文件,由/usr/local/flexgw/website/vpn/dial/templates/dial 目录下的同名文件自动生成,请勿随便修改。

参考:
http://taohui.pub/2017/01/28/%E5%9C%A8%E9%98%BF%E9%87%8C%E4%BA%91ecs%E4%B8%8A%E8%BF%9B%E8%A1%8Cvpn-ipsec%E7%BD%91%E7%BB%9C%E5%AF%B9%E6%8E%A5/
http://www.oschina.net/p/flexgw

阿里巴巴开源技术汇总:115个软件(五)
https://yq.aliyun.com/articles/53997

在阿里云ECS上进行VPN IPSEC网络对接
当我们需要与一些安全级别要求很高的服务对接时,服务提供商的网络提供方式可能是使用ipsec点对点对接网络。
如果我们不是使用公有云,而是有自己的机房和路由器,这些就只是按照服务方的参数要求配置下路由器的小事情。但对公有云来说(例如阿里云),
我们没有自己的路由器,当对接方要求我们使用预共享密匙进行ipsec点对点对接,第一反应什么鬼
(之前没接触过的朋友可以看下这篇文章http://www.ibm.com/developerworks/cn/Linux/l-ipsec/,对该概念讲得蛮清楚)?
而接下来拥有私有云独立机房的服务提供方则可能要求最简单直接的解决方案:
拉条专线接入服务提供者机房(这个开发成本和运维成本都不小,不适合小而美型的敏捷项目!)?
或者买个路由器,在办公室找台机器与服务方对接(高可靠性完全无法保障了)?

QQ群:397745473

欢迎关注我的其它发布渠道