有谁知道如何使用 Openswan 在 EC2 上创建到 Cisco 路由器的 IPSec 隧道?
我一直在读到人们可以或不能在亚马逊的云上设置 IPSec 隧道。有没有可能?
如果是这样,有人可以指出我成功的教程吗?
问问题
13240 次
1 回答
9
更新
AWS 刚刚放弃了建立边界网关协议 (BGP)对等互连的要求,以便使用内置 VPN 连接到Amazon Virtual Private Cloud (VPC),请参阅Amazon VPC - 附加 VPN 功能:
您现在可以使用静态路由创建到您的 VPC 的硬件 VPN 连接。这意味着您可以使用不支持 BGP 的 VPN 设备(例如 Cisco ASA 和Microsoft Windows Server 2008 R2 )建立连接。您还可以使用 Linux与您的 VPC 建立硬件 VPN 连接。事实上,任何 IPSec VPN 实施都应该有效。[强调我的]
此更改的概述原因特别强调 BGP 是采用这种非常吸引人的 VPN 连接到 VPC 的先前障碍:
首先,BGP 可能难以设置和管理,[...]。其次,一些防火墙和入门级路由器支持 IPSec,但不支持 BGP。这些设备在公司分支机构中非常流行。正如我上面提到的,这种变化极大地增加了可用于连接到 VPC 的 VPN 设备的数量。[...]
我完全同意——因此,您现在应该能够促进 Openswan(或内置的 Linux IPSec 堆栈)连接到相应的内置 VPC IPSec 功能。
初步答案
Amazon VPC with Linux上提供了基于Racoon的相关教程。但是,在您深入研究之前,我强烈建议您先阅读参考文章连接到 Amazon VPC,至少部分使用 Linux 作为 VPN 服务器:
假设您决定为您的 VPN 服务器使用一些 linux。对于 IPSec 新手来说,没有明显的理由认为这是一个坏主意。而且因为很快就会找到像 http://openfoo.org/blog/amazon_vpc_with_linux.html这样的教程,所以似乎可以执行该任务。按照本教程,您应该能够从您的 VPN 服务器 ping 两个 BGP 服务器。[...] 但在那之后,您将开始遇到麻烦。也许您能够连接到 VPC 中的服务器。但是有一件事你不会稳定工作:从 VPC 连接到你的家庭网络 192.168.1.1/24 中的某个服务器。那是因为 linux 有一个基于策略的 IPSec 实现。[...]
因此作者得出结论:
最后也是最重要的原因是Openswan 不打算以这种方式使用。在安全相关的地方滥用软件似乎不是一个好主意。[强调我的]
YMMV 像往常一样,但你已被警告;)
于 2012-04-12T11:08:16.823 回答