有没有人知道如何使用Openswan在EC2上创建到Cisco路由器的IPSec隧道?
我一直在阅读人们可以或者他们无法在亚马逊的云上建立IPSec隧道。有可能吗?
如果是这样,有人可以指点我成功的教程吗?
答案 0 :(得分:9)
AWS刚刚放弃了建立Border Gateway Protocol (BGP)对等项的要求,以便使用与Amazon Virtual Private Cloud (VPC)的内置VPN连接,请参阅Amazon VPC - Additional VPN Features:
您现在可以使用静态创建与VPC的硬件VPN连接 路由。这意味着您可以使用VPN建立连接 不支持BGP的设备,例如Cisco ASA和 Microsoft Windows Server 2008 R2 。您也可以使用 Linux 来建立 与您的VPC的硬件VPN连接。 实际上,任何IPSec VPN 实施应该工作。 [强调我的]
此更改的概述原因特别强调BGP是采用这种非常吸引人的VPN连接到VPC的先前障碍:
首先,BGP很难设置和管理,[...]。第二,一些防火墙和入门级 路由器支持IPSec但不支持BGP。这些设备非常受欢迎 公司分支机构。正如我上面提到的,这种变化 大大增加了可以使用的VPN设备的数量 连接到VPC。 [...]
我完全同意 - 因此您现在应该能够促进Openswan(或内置的Linux IPSec堆栈)连接到相应的内置VPC IPSec功能。
Racoon提供了基于Amazon VPC with Linux的相关教程。 但是,在您深入研究之前,我强烈建议您首先阅读引用文章Connecting to Amazon VPC,至少部分使用Linux作为VPN服务器:
我们假设你已经决定为你的VPN服务器使用一些linux。对于 一个IPSec新手没有明显的理由这是一个坏主意。 因为很快就会找到一个类似的教程 http://openfoo.org/blog/amazon_vpc_with_linux.html似乎有可能 执行该任务。按照本教程,您应该能够 从VPN服务器ping两个BGP服务器。 [...]但在那之后你会 开始遇到麻烦了。也许你能够连接到服务器 你的VPC。但有一点你不会稳定工作: 从VPC连接到家庭网络中的某个服务器 192.168.1.1/24。这是因为linux有一个基于策略的IPSec实现。 [...]
因此作者得出结论:
像往常一样YMMV,但你已被警告过;)最后也是最重要的原因是 Openswan不是 打算以那种方式使用。滥用安全相关的软件 这个地方似乎不是一个好主意。 [强调我的]