IPsec-VPNを使用してサイト間接続を確立する場合、Alibaba CloudでVPNゲートウェイを設定した後、データセンターでゲートウェイデバイスを設定する必要があります。 次の例は、データセンターのゲートウェイデバイスにVPN設定を追加する方法を示しています。 strongSwanがこの例で使用されています。
シナリオ
このトピックでは、上記のシナリオを例として使用します。 Alibaba cloudに仮想プライベートクラウド (VPC) をデプロイしています。 VPCのCIDRブロックは192.168.10.0/24です。 アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。 同社には、CIDRブロックが172.16.2.0/24のデータセンターがあります。 事業開発のため、同社はデータセンターをVPCに接続したいと考えています。 同社は、VPNゲートウェイを使用して、データセンターとVPCの間にIPsec-VPN接続を確立することを決定しました。 これにより、データセンターはVPCと通信できます。この例のネットワーク構成を次の表に示します。
項目 | 例: | |
---|---|---|
VPC | データセンターと通信する必要があるプライベートCIDRブロック | 192.168.10.0/24 |
VPN ゲートウェイ | VPNゲートウェイのパブリックIPアドレス | 119.XX.XX.125 |
データセンター | VPCと通信する必要があるプライベートCIDRブロック | 172.16.2.0/24 |
オンプレミスゲートウェイデバイスのパブリックIPアドレス | 59.XX.XX.70 |
説明 strongSwanが設定されているオンプレミスゲートウェイデバイスは、プライベートIPアドレスを使用してIPsec-VPN接続を確立できます。
データセンターのローカルゲートウェイデバイスが同じ出力先を使用してインターネットにアクセスする場合、ローカルゲートウェイデバイスにはパブリックIPアドレスが割り当てられず、ゲートウェイデバイスのプライベートIPアドレスを使用してIPsec-VPN接続を確立できます。
前提条件
- VPNゲートウェイ、カスタマーゲートウェイ、およびIPsec-VPN接続がAlibaba Cloud上に作成されます。 ルートはVPNゲートウェイ用に設定されます。 詳細については、「データセンターをVPCに接続する」をご参照ください。 説明 ローカルゲートウェイデバイスのプライベートIPアドレスを使用してIPsec-VPN接続を確立する場合、カスタマーゲートウェイを作成するときにプライベートIPアドレスを指定する必要があります。
- IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例のIPsec-VPN接続の設定を次の表に示します。
項目 例: 事前共有キー ff123TT **** IKE設定 IKE バージョン ikev1 ネゴシエーションモード メイン 暗号化アルゴリズム aes 認証アルゴリズム sha1 DH グループ group2 SAのライフサイクル (秒) 86400 IPsec設定 暗号化アルゴリズム aes 認証アルゴリズム sha1 DH グループ group2 SAのライフサイクル (秒) 86400
ステップ1: strongSwanをインストールする
説明 このステップとステップ2のコマンドは参照用です。 For more information about the actual commands, see the manual of your gateway device.
- オンプレミスゲートウェイデバイスのCLIを開きます。
- 次のコマンドを実行してstrongSwanをインストールします。
yumインストールstrongswan
- オプション:次のコマンドを実行して、システムによって自動的にインストールされるstrongSwanのバージョンを表示します。
strongswanバージョン
ステップ2: strongSwanの設定
- 次のコマンドを実行して、ipsec.confファイルを開きます。
vi /etc/strongswan/ipsec.conf
- 次の情報に基づいて、ipsec.confファイルを変更します。
ipsec.conf - strongSwan IPsec設定ファイル 基本設定 config setup uniqueids=never conn %default authby=psk# 事前共有キーに基づく認証を有効にします。 type=tunnel conn tomyidc keyexchange=ikev1# IPsec-VPN接続で使用されるIKEプロトコルのバージョン。 left=59.XX. XX.70# オンプレミスゲートウェイデバイスのパブリックIPアドレス。 ローカルゲートウェイデバイスのプライベートIPアドレスを使用してIPsec-VPN接続を確立する場合、このパラメーターをゲートウェイデバイスのプライベートIPアドレスに設定します。 leftsubnet=172.16.2.0/24# VPCと通信する必要があるデータセンターのプライベートCIDRブロック。 leftid=59.XX. XX.70# ゲートウェイ装置の識別子。 ローカルゲートウェイデバイスのプライベートIPアドレスを使用してIPsec-VPN接続を確立する場合は、ゲートウェイデバイスのプライベートIPアドレスを識別子として使用することを推奨します。 right=119.XX. XX.125# VPNゲートウェイのパブリックIPアドレス。 rightsubnet=192.168.10.0/24# データセンターと通信する必要があるVPCのプライベートCIDRブロック。 rightid=119.XX. XX.125# VPNゲートウェイの識別子。 auto=route ike=IKEプロトコルの暗号化アルゴリズム、认证アルゴリズム、DHグループのaes-sha1-modp1024 ikelifetime=86400s# IKEプロトコルのライフサイクル esp=aes-sha1-modp1024# IPsecプロトコルの暗号化アルゴリズム、認証アルゴリズム、DHグループ lifetime=86400s# IPsecプロトコルのライフサイクル type=tunnel
- ipsec.secrets ファイルと設定します。
- システム転送を有効にする:
エコー1 > /proc/sys/net/ipv4/ip_forward
詳細については、「異なるシナリオの設定」をご参照ください。
- 次のコマンドを実行してstrongSwanサービスを開始します。
systemctl strongswanを有効にする systemctlスタートstrongswan
- データセンターのクライアントからstrongSwanにデータを送信するルートを設定します。 strongSwanからデータセンターのクライアントにデータを送信する別のルートを設定します。
- strongSwanを使用して3つ以上のIPsec-VPN接続を確立した場合は、/etc/strongswan/strongswan.d/charon.confファイルの設定を変更する必要があります。
max_ikev1_exchanges = 3
コマンドの前にコメント区切り文字を削除し, このコマンドを有効にして, コマンドのパラメーターを, 確立したIPsec-VPN接続数より大きい値に設定してください。たとえば、strongSwanを使用して4つの接続を作成した場合、コマンドを
max_ikev1_exchanges = 5
に変更できます。