Alibaba Cloud Ubuntu 16.04 が IPSec サービスを構築

IPSec の概要

IPSec (インターネット プロトコル セキュリティ): ネットワーク層と適用された暗号化に基づく安全な通信プロトコルのセットです。 IPSec は特定のプロトコルを指すのではなく、オープン プロトコル ファミリを指します。

IPSec プロトコルの設計目標は、IPV4 および IPV6 環境のネットワーク層トラフィックに柔軟なセキュリティ サービスを提供することです。

IPSec VPN: IPSec プロトコル スイートに基づいて IP 層に実装された安全な仮想プライベート ネットワーク。 OSI 上位層プロトコル データのセキュリティは、データ パケットに定義済みのヘッダーを挿入することで確保されます。主に、TCP、UDP、ICMP、およびトンネル化された IP データ パケットを保護するために使用されます。

Alibaba Cloud にはいくつかの制限があるため、Alibaba Cloud ECS に IPSec を展開することは、通常のサーバーに展開することとは異なります。

strongswanをインストールする

apt-getアップデート
apt-get で strongswan をインストールします。strongswan-plugin-xauth-generic

/etc/ipsec.secretsを編集する

vi /etc/ipsec.secrets

増加：

:PSK「テスト」
user1 : XAUTH "user1password"

PSK は事前共有キーであり、L2TP/IPSec 接続の認証に使用される Unicode 文字列です。 user1 はユーザー名、user1password はパスワードです。

/etc/ipsec.confを編集する

設定のセットアップ
 キャッシュCRLS=はい
 ユニークID=はい

接続iOS
 キー交換=ikev1
 認証=xauthpsk
 xauth=サーバー
 左=%デフォルトルート
 左サブネット=0.0.0.0/0
 左ファイアウォール=はい
 右=%任意
 正しいサブネット=192.168.0.1/16
 正しいソースIP=192.168.0.1/16
 正しいDNS=223.5.5.5
 自動=追加

10.0.0.1 ネットワークセグメントではなく、192.168 ネットワークセグメントを使用する必要があることに注意してください。10.0.0.1 ネットワークセグメントは Alibaba Cloud で問題があるようです (禁止されていると言われています)。

strongswanを再起動する

ipsec 再起動

Alibaba Cloudサーバーに対応するセキュリティグループルールを変更する

2つのパブリックネットワークアクセスポートを追加します: UDP 500とUDP 4500

IPv4転送を有効にし、NATルールを設定する

sysctl net.ipv4.ip_forward=1

iptables -t nat -A POSTROUTING -s 192.168.0.1/16 -o eth1 -j マスカレード

eth0 ではなく eth1 が使用されることに注意してください。

ECS では、eth1 は外部ネットワーク カードにバインドされ、eth0 は内部ネットワーク カードにバインドされます。

関連記事:

Alibaba Cloud Ubuntu 16.04でpptpdサービスを構築する方法

要約する

以上が Alibaba Cloud Ubuntu 16.04 IPSec サービスの紹介です。お役に立てれば幸いです。ご質問がございましたら、メッセージを残していただければ、すぐに返信させていただきます。また、123WORDPRESS.COM ウェブサイトをサポートしてくださっている皆様にも感謝申し上げます。
この記事が役に立ったと思われた方は、ぜひ転載していただき、出典を明記してください。ありがとうございます!