IPsec-VPNを使用してサイト間接続を確立する場合、Alibaba CloudでVPNゲートウェイを設定した後、データセンターでゲートウェイデバイスを設定する必要があります。 次の例は、データセンターのゲートウェイデバイスにVPN設定を追加する方法を示しています。 strongSwanがこの例で使用されています。

シナリオ

strongSwanの設定例このトピックでは、上記のシナリオを例として使用します。 Alibaba cloudに仮想プライベートクラウド (VPC) をデプロイしています。 VPCのCIDRブロックは192.168.10.0/24です。 アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。 同社には、CIDRブロックが172.16.2.0/24のデータセンターがあります。 事業開発のため、同社はデータセンターをVPCに接続したいと考えています。 同社は、VPNゲートウェイを使用して、データセンターとVPCの間にIPsec-VPN接続を確立することを決定しました。 これにより、データセンターはVPCと通信できます。
この例のネットワーク構成を次の表に示します。
項目例:
VPCデータセンターと通信する必要があるプライベートCIDRブロック192.168.10.0/24
VPN ゲートウェイVPNゲートウェイのパブリックIPアドレス119.XX.XX.125
データセンターVPCと通信する必要があるプライベートCIDRブロック172.16.2.0/24
オンプレミスゲートウェイデバイスのパブリックIPアドレス59.XX.XX.70
説明 strongSwanが設定されているオンプレミスゲートウェイデバイスは、プライベートIPアドレスを使用してIPsec-VPN接続を確立できます。

データセンターのローカルゲートウェイデバイスが同じ出力先を使用してインターネットにアクセスする場合、ローカルゲートウェイデバイスにはパブリックIPアドレスが割り当てられず、ゲートウェイデバイスのプライベートIPアドレスを使用してIPsec-VPN接続を確立できます。

前提条件

  • VPNゲートウェイ、カスタマーゲートウェイ、およびIPsec-VPN接続がAlibaba Cloud上に作成されます。 ルートはVPNゲートウェイ用に設定されます。 詳細については、「データセンターをVPCに接続する」をご参照ください。
    説明 ローカルゲートウェイデバイスのプライベートIPアドレスを使用してIPsec-VPN接続を確立する場合、カスタマーゲートウェイを作成するときにプライベートIPアドレスを指定する必要があります。
  • IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。
    この例のIPsec-VPN接続の設定を次の表に示します。
    項目例:
    事前共有キーff123TT ****
    IKE設定IKE バージョンikev1
    ネゴシエーションモードメイン
    暗号化アルゴリズムaes
    認証アルゴリズムsha1
    DH グループgroup2
    SAのライフサイクル (秒)86400
    IPsec設定暗号化アルゴリズムaes
    認証アルゴリズムsha1
    DH グループgroup2
    SAのライフサイクル (秒)86400

ステップ1: strongSwanをインストールする

説明 このステップとステップ2のコマンドは参照用です。 For more information about the actual commands, see the manual of your gateway device.
  1. オンプレミスゲートウェイデバイスのCLIを開きます。
  2. 次のコマンドを実行してstrongSwanをインストールします。 
    yumインストールstrongswan
  3. オプション:次のコマンドを実行して、システムによって自動的にインストールされるstrongSwanのバージョンを表示します。 
    strongswanバージョン

ステップ2: strongSwanの設定

  1. 次のコマンドを実行して、ipsec.confファイルを開きます。 
    vi /etc/strongswan/ipsec.conf
  2. 次の情報に基づいて、ipsec.confファイルを変更します。 
    ipsec.conf - strongSwan IPsec設定ファイル
基本設定
 config setup
     uniqueids=never
 conn %default
     authby=psk# 事前共有キーに基づく認証を有効にします。
     type=tunnel
 conn tomyidc
     keyexchange=ikev1# IPsec-VPN接続で使用されるIKEプロトコルのバージョン。
     left=59.XX. XX.70# オンプレミスゲートウェイデバイスのパブリックIPアドレス。 ローカルゲートウェイデバイスのプライベートIPアドレスを使用してIPsec-VPN接続を確立する場合、このパラメーターをゲートウェイデバイスのプライベートIPアドレスに設定します。 
     leftsubnet=172.16.2.0/24# VPCと通信する必要があるデータセンターのプライベートCIDRブロック。
     leftid=59.XX. XX.70# ゲートウェイ装置の識別子。 ローカルゲートウェイデバイスのプライベートIPアドレスを使用してIPsec-VPN接続を確立する場合は、ゲートウェイデバイスのプライベートIPアドレスを識別子として使用することを推奨します。 
     right=119.XX. XX.125# VPNゲートウェイのパブリックIPアドレス。
     rightsubnet=192.168.10.0/24# データセンターと通信する必要があるVPCのプライベートCIDRブロック。
     rightid=119.XX. XX.125# VPNゲートウェイの識別子。
     auto=route
     ike=IKEプロトコルの暗号化アルゴリズム、认证アルゴリズム、DHグループのaes-sha1-modp1024
     ikelifetime=86400s# IKEプロトコルのライフサイクル
     esp=aes-sha1-modp1024# IPsecプロトコルの暗号化アルゴリズム、認証アルゴリズム、DHグループ
     lifetime=86400s# IPsecプロトコルのライフサイクル
     type=tunnel
  3. ipsec.secrets ファイルと設定します。
    1. 次のコマンドを実行して、ipsec.secretsファイルを開きます。 
      vi /etc/strongswan/ipsec.secrets
    2. 次の設定を追加します。
      説明 次のいずれかの設定方法を選択できます。
      • 方法1:
        59.XX.XX。 70 119.XX. XX。 125 : PSK ff123TT **** #ff123TT **** は、IPsec-VPN接続の事前共有キーです。 データセンターとVPNゲートウェイは、同じ事前共有キーを使用する必要があります。
      • 方法2:
        119.XX.XX.125 : PSK ff123TT **** #ff123TT **** は、IPsec − VPN接続の事前共有鍵である。 データセンターとVPNゲートウェイは、同じ事前共有キーを使用する必要があります。
  4. システム転送を有効にする: 
    エコー1 > /proc/sys/net/ipv4/ip_forward

    詳細については、「異なるシナリオの設定」をご参照ください。

  5. 次のコマンドを実行してstrongSwanサービスを開始します。 
    systemctl strongswanを有効にする
systemctlスタートstrongswan
  6. データセンターのクライアントからstrongSwanにデータを送信するルートを設定します。 strongSwanからデータセンターのクライアントにデータを送信する別のルートを設定します。
  7. strongSwanを使用して3つ以上のIPsec-VPN接続を確立した場合は、/etc/strongswan/strongswan.d/charon.confファイルの設定を変更する必要があります。
    max_ikev1_exchanges = 3コマンドの前にコメント区切り文字を削除し, このコマンドを有効にして, コマンドのパラメーターを, 確立したIPsec-VPN接続数より大きい値に設定してください。

    たとえば、strongSwanを使用して4つの接続を作成した場合、コマンドをmax_ikev1_exchanges = 5に変更できます。