通过strongSwan在IDC的网关设备中添加VPN配置

使用IPsec-VPN建立站点到站点的连接时，在配置完VPN网关后，您还需在本地数据中心的网关设备中添加VPN配置。本文以strongSwan为例介绍如何在本地数据中心的网关设备中添加VPN配置。

场景示例

本文以上图场景为例。某公司在阿里云拥有一个专有网络VPC（Virtual Private Cloud），VPC网段为192.168.10.0/24，VPC中使用云服务器ECS（Elastic Compute Service）部署了应用服务。同时该公司在本地拥有一个数据中心IDC（Internet Data Center），本地IDC网段为172.16.2.0/24。公司因业务发展，需要本地IDC与云上VPC互通，实现资源互访。该公司计划使用VPN网关产品，在本地IDC与云上VPC之间建立IPsec-VPN连接，实现云上和云下的互通。

本文涉及的网络配置详情请参见下表。


配置项		示例值
VPC	待和本地IDC互通的私网网段	192.168.10.0/24
VPN网关	VPN网关的公网IP地址	119.XX.XX.125
本地IDC	待和VPC互通的私网网段	172.16.2.0/24
本地IDC	本地网关设备的公网IP地址	59.XX.XX.70

说明部署了strongSwan的本地网关设备支持使用私网IP地址建立IPsec-VPN连接。

如果在您本地数据中心的网络中，本地网关设备通过统一的公网出口访问互联网，本地网关设备本身并不具有公网IP地址，您可以使用本地网关设备的私网IP地址来建立IPsec-VPN连接。

前提条件

您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作，请参见建立VPC到本地数据中心的连接。

说明如果您使用本地网关设备的私网IP地址建立IPsec-VPN连接，在您创建用户网关时，IP地址需指定为本地网关设备的私网IP地址。

您已下载IPsec连接的配置。具体操作，请参见下载IPsec连接配置。

本文IPsec连接的配置如下表所示。


配置项		示例值
预共享密钥		ff123TT****
IKE配置	IKE版本	ikev1
	协商模式	main
	加密算法	aes
	认证算法	sha1
	DH分组	group2
	SA生存周期（秒）	86400
IPsec配置	加密算法	aes
	认证算法	sha1
	DH分组	group2
	SA生存周期（秒）	86400

步骤一：安装strongSwan软件

说明本步骤和步骤二中涉及的命令仅供参考，实际配置命令请以您本地网关设备的操作手册为准。

登录本地网关设备的命令行界面。
执行以下命令安装strongSwan软件。
```
yum install strongswan
```
可选：执行以下命令查看系统自动安装的strongSwan软件版本。
```
strongswan version
```

步骤二：配置strongSwan

执行以下命令打开ipsec.conf配置文件。
```
vi /etc/strongswan/ipsec.conf
```

请参见以下配置，更改ipsec.conf配置文件。

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
 config setup
     uniqueids=never
 conn %default
     authby=psk                  #使用预共享密钥认证方式
     type=tunnel
 conn tomyidc
     keyexchange=ikev1           #IPsec连接使用的IKE协议的版本
     left=59.XX.XX.70            #本地网关设备的公网IP地址。如果您使用本地网关设备的私网IP地址建立IPsec-VPN连接，则本项需配置为本地网关设备的私网IP地址。
     leftsubnet=172.16.2.0/24    #本地IDC待和VPC互通的私网网段
     leftid=59.XX.XX.70          #本地网关设备的标识。如果您使用本地网关设备的私网IP地址建立IPsec-VPN连接，建议您使用本地网关设备的私网IP地址作为标识。
     right=119.XX.XX.125         #VPN网关的公网IP地址
     rightsubnet=192.168.10.0/24 #VPC待和本地IDC互通的私网网段
     rightid=119.XX.XX.125       #VPN网关的标识
     auto=route
     ike=aes-sha1-modp1024       #IPsec连接中IKE协议的加密算法-认证算法-DH分组
     ikelifetime=86400s          #IKE协议的SA生命周期
     esp=aes-sha1-modp1024       #IPsec连接中IPsec协议的加密算法-认证算法-DH分组
     lifetime=86400s             #IPsec协议的SA生命周期
     type=tunnel

配置ipsec.secrets文件。

执行以下命令打开ipsec.secrets文件。
```
vi /etc/strongswan/ipsec.secrets
```

添加以下配置。

说明以下两种配置方式，任选一种即可。

方式一：

59.XX.XX.70 119.XX.XX.125 : PSK ff123TT****   #ff123TT****为IPsec连接的预共享密钥，本地IDC侧和VPN网关侧的预共享密钥需保持一致。

方式二：

119.XX.XX.125 : PSK ff123TT****   #ff123TT****为IPsec连接的预共享密钥，本地IDC侧和VPN网关侧的预共享密钥需保持一致。

打开系统转发配置。
```
echo 1 > /proc/sys/net/ipv4/ip_forward
```
更多场景配置示例，参见场景配置示例。

执行以下命令启动strongSwan服务。

systemctl enable strongswan
systemctl start strongswan

在您本地IDC侧，设置本地IDC客户端到strongSwan本地网关设备及strongSwan本地网关设备到本地IDC客户端的路由。
如果您使用strongSwan建立了3条（不包含3条）以上的IPsec连接，您需要修改/etc/strongswan/strongswan.d/charon.conf中的配置。
删除max_ikev1_exchanges = 3 命令前的注释符号，启用此命令，并修改命令中参数的值大于您建立的IPsec连接数。
例如：您使用strongSwan建立了4条IPsec连接，您可以修改该命令为max_ikev1_exchanges = 5 。