我正在致力于在Amazon EC2和我的内部部署之间获得IPSec VPN。 目标是能够安全地pipe理这些隧道上的东西,上传/下载数据等。
我已经得到了在使用弹性IP的Fedora 12实例和也是NAT的Cisco路由器之间的openswan隧道。 我认为ipsec部分是可以的,但我很难找出如何路由stream量, 有没有“ipsec0”virutal接口,因为在亚马逊你必须使用netkey而不是KLIPS的VPN。 我听说iptables可能是必需的,我是iptables noob。
在左边(亚马逊),我有一个10.networking。 方框1私下为10.254.110.A,公开IP 184.73.168.B. Netkey隧道已经启动 方框2公开为130.164.26.C,私下为130.164.0.D
我的.conf是:
conn ni type= tunnel authby= secret left= 10.254.110.A leftid= 184.73.168.B leftnexthop= %defaultroute leftsubnet= 10.254.0.0/32 right= 130.164.26.C rightid= 130.164.0.D rightnexthop= %defaultroute rightsubnet= 130.164.0.0/18 keyexchange= ike pfs= no auto= start keyingtries= 3 disablearrivalcheck=no ikelifetime= 240m auth= esp compress= no keylife= 60m forceencaps= yes esp= 3des-md5 我添加了一个路由到方框1(130.164.0.0/18,通过10.254.110.de dev eth0),但是由于可预见的原因,我没有这样做,当我跟踪路由的stream量仍然“四处”,而不是通过vpn。
路由表:
10.254.110.0/23 dev eth0 proto kernel scope link src 10.254.110.A 130.164.0.0/18 via 10.254.110.178 dev eth0 src 10.254.110.A 169.254.0.0/16 dev eth0 scope link metric 1002
任何人都知道如何做一个netkey ipsec隧道双方都NAT的路由?
谢谢…
你知道亚马逊虚拟私有云 ,对吗?
我花了数周的时间研究OpenVPN的scheme和花哨的路由来完成同样的事情,之后,亚马逊发布了这项服务,并放弃了我的工作。
我可以build议你看看vCider吗? 它允许您甚至跨供应商边界创build安全的虚拟networking(如果您想扩展到EC2以外)。 您可以创build自己的独立于提供程序的VPC。 它也为您提供了“隐藏”您的云networking:基本上,您可以使您的云节点从公共networking中消失,但是您可以为单个节点指定例外。 它提供了将企业networking连接到networking云部分的特定function。
免责声明:我为vCider工作。 但请不要让这阻止你看看它。 您可以为最多8台主机免费创build虚拟专用networking。