操作指南：将 VPN 网络连接到 CloudSigma 基础设施

Renich2016-07-15 · 3 min read

如今 VPN 已被广泛使用，面对各种安全威胁，这并不令人意外。有时您希望通过它们安全地连接到公司的网络，有时您可能希望通过代理网络进行连接以隐藏您的真实位置。随着云基础设施的出现，我们的许多客户都希望安全地连接到他们的云基础设施，并可能将他们的许多云服务器保留在私有 IP 上，而不通过公共 IP 地址暴露它们。

总的来说，在很多情况下您都会想要使用 VPN，因此在这篇博文中，我将概述如何快速轻松地建立并运行 VPN，以保护您的云基础设施安全。

在本教程中，您将学习如何连接您的 CloudSigma 网络到您自己的 VPN 网络。这将使您的服务器变得可用，就像它们是您正在访问的本地家庭网络的一部分一样。

前提条件是：

CentOS 7。
CloudSigma 的内部网络（LAN）；已连接其他服务器。
您自己的局域网（LAN）。

网络：

远程私有局域网（LAN）：192.168.0.0/24
远程 VPN 服务器：192.168.0.20
您自己的局域网（LAN）：192.168.1.0/24
本地 VPN 服务器：192.168.1.10

那么，让我们开始吧：

# 设置 libreswan
## 安装
yum -y install libreswan

## 初始化
ipsec initnss

## 启动并启用
systemctl enable ipsec
systemctl start ipsec

## 防火墙
firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'
firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'
firewall-cmd --reload


# 站点对站点（在两台服务器上运行）
## 密钥
ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets
ipsec showhostkey --left # 在本地
ipsec showhostkey --right # 在远程

## 创建 /etc/ipsec.d/mysite.conf
## 请相应地替换 leftrsasigkey 和 rightrsasigkey
cat << 'EOF' > /etc/ipsec.d/mysite.conf
conn mysite
    leftid=@centos-docker-libreswan1.tbc.cloudsigma.com
    leftrsasigkey=your-left-key
    left=192.168.0.20
    leftsourceip=192.168.0.20
    leftsubnet=192.168.0.0/24
    rightid=@centos-docker-libreswan2.tbc.cloudsigma.com
    rightrsasigkey=your-right-key
    right=192.168.1.10
    rightsourceip=192.168.1.10
    rightsubnet=192.168.1.0/24
    authby=rsasig
    auto=start

EOF

## 重启
systemctl restart ipsec

## 添加
ipsec auto --add mysite
ipsec auto --up mysite

# 验证
ping -c 3 192.168.0.20
ping -c 3 192.168.1.10

# 设置 libreswan

## 安装

yum -y install libreswan

## 初始化

ipsec initnss

## 启动并启用

systemctl enable ipsec

systemctl start ipsec

## 防火墙

firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp

firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'

firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'

firewall-cmd --reload

# 站点对站点（在两台服务器上运行）

## 密钥

ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets

ipsec showhostkey --left # 在本地

ipsec showhostkey --right # 在远程

## 创建 /etc/ipsec.d/mysite.conf

## 请相应地替换 leftrsasigkey 和 rightrsasigkey

cat << 'EOF' > /etc/ipsec.d/mysite.conf

conn mysite

leftid=@centos-docker-libreswan1.tbc.cloudsigma.com

leftrsasigkey=your-left-key

left=192.168.0.20

leftsourceip=192.168.0.20

leftsubnet=192.168.0.0/24

rightid=@centos-docker-libreswan2.tbc.cloudsigma.com

rightrsasigkey=your-right-key

right=192.168.1.10

rightsourceip=192.168.1.10

rightsubnet=192.168.1.0/24

authby=rsasig

auto=start

EOF

## 重启

systemctl restart ipsec

## 添加

ipsec auto --add mysite

ipsec auto --up mysite

# 验证

ping -c 3 192.168.0.20

ping -c 3 192.168.1.10

ipsec/libreswan 入门指南

如果您不熟悉 ipsec/libreswan 的概念，这里有一份入门指南：

左侧和右侧服务器仅用于指代相互连接的服务器。您可以任意分配这些术语。然而，这有一个惯例。通常，我们将本地服务器称为“左侧”，而右侧显然是远程服务器。

所有路由都将由 ipsec 处理，因此无需担心。如果 ping 无法正常工作，说明配置有问题。请随时使用：

ipsec status

ipsec 状态

以便在遇到此类问题时能够读取一些晦涩难懂的输出。继续阅读并保持关注。最终，您会理解其中的一部分。😉

现在，下面列出了权威的参考资料。继续阅读。您将了解到许多关于 VPN 网络及相关内容的有趣知识。例如，LibreSwan 维基包含了大量的配置；包括特定于 Cisco 的配置、“路游侠”配置（观看美国’的 Netflix 剧集）、主机到主机配置等等。

RHEL 手册是我最喜欢的参考资料之一，它循序渐进且详细地解释了如何从头开始设置一切。这绝对是一本值得一读的好书，也是本 HowTo 的极佳替代选择。

参考资料

Renich

作者 · CloudSigma

Preslav Dobrev 是 CloudSigma 的创意设计师，专注于通过传统和创新营销渠道打造一致的企业形象。他擅长将艺术愿景与战略营销相融合，创造具有影响力的品牌叙事。