公司ERP系统是放在IDC机房，租用的别人的云服务器，因云服务器供应商的限制，不能直接拉电路专线，又因服务器数量不够，remoteapp方案也放弃了，只能通过软件×××方案来解决问题，之前搭建了一个open***，使用route模式，但是用户反馈使用效果并不理想，每次反馈ERP系统保存比较慢，其他操作没有问题，想过各种办法去优化Open***，比如去掉认证，使用静态密钥方式，都没能解决，其真正的原因应该是open***是在用户态，内部经过多次加密和解密过程，性能自然不是最佳；后来直接改成桥接模式，速度快了不少，但是使用的是跟云服务器供应商服务网络，云服务商不接受这种模式，因此，最终选择了openswan来解决这个问题，openswan的netkey又称为26sec，其实现是在内核实现，主要负责控制管理SA及密钥，同时处理数据包的加密和解密工作，因此其性能更优越；

1、 目标

在防火墙内部，通过两台Linux系统，搭建ipsec ***，连通办公室和IDC机房的网络，并解决办公室人员访问IDC机房的金蝶ERP系统，所出现的保存慢的问题；

2、 网络拓扑图

3、 环境说明

软件环境：centos 7.3      openswan 2.6.50

注：

l  ***服务器安装了centos系统，全部都是在防火墙后面，对于openswan来说，其仍然是路由到防火墙，再通过防火墙的NAT去访问外网的，因此，对于服务器来说，并不需要开启iptables的NAT功能，但是Iptables功能需要开启，并开放UDP 4500/500 端口（如果开启iptables的NAT功能也可以，但是经过多层NAT，这样会严重影响×××的性能）；

l  openswan目前网上系统的资料比较少，对于百度的搜索信息要注意甄别，多思考，即使部署成功了，也要回去反复斟酌，配置是否是最优的，推荐可以查看源码包下面的openswan/docs目录下的说明，加深理解；

l  本文案例是，IDC机房拥有固定IP，办公室是动态IP，因此，对于防火墙来说，只需要开启IDC机房这边的4500/500端口，办公室这边无需开放端口；

l  对于DPD功能，当隧道空闲的时候（建立，但是在dpddelay=N1之内没有流量），一端或两端发送了hello消息（R_U_THERE）和另一端回复确认信息（R_U_THERE_ACK），如果没有收到响应，直至dpdtimeout=N2的时间，仍然没有流量或者收到R_U_THERE_ACK，那么会认为对端死亡，删除SA并从路由表中删除相关联的路由；建议开启此功能，并且两边同时开启和保持数据一致，如果只是开启一端，另一端便于以默认参数开启，这点很重要，网络上的资料有点不对； tunnel模式，建议dpdaction设置为hold；transport模式，dpdaction设置为clear；

4、 准备工作

禁用重定向

sysctl -a | egrep"ipv4.*(accept|send)_redirects" | awk -F "=" '{print$1"= 0"}' >> /etc/sysctl.conf

开启路由转发

Vi /etc/sysctl.conf

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0

sysctl –p  #生效

配置iptables防火墙

vi /etc/sysconfig/iptables    增加如下内容，开放UDP 4500和500端口

-A INPUT -p udp -m state --state NEW -m udp --dport500 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport4500 -j ACCEPT

注：以上配置都需要在两台×××服务器上 进行操作；

最后，开放IDC机房的外部硬件防火墙的 UDP 4500/500端口（即目的端口映射）

5、 安装

yum install bison flex xmlto perl-podlators
tar –zxvf openswan-2.6.50.tar.gz
cd openswan-2.6.50
make programs
make install

注： 这里使用openswan的netkey，centos7.3的内核是3.10，本身已经支持了nat-T功能

使用ipsec verify命令 验证openswan的安装是否Ok

红色方框处，不要在意，开启Ipsec服务之后，就会显示OK

6、 配置

Openswan有两个主要的配置文件：

/etc/ipsec.conf 主要配置文件，settings和connections，

/etc/ipsec.secrets主要用来保存RSA Keys和preshared secrets (PSKs)

Openswan支持许多不同的安全认证方式，包括RSA keys、pre-shared keys或x.509证书方式，通常推荐使用RSA Keys，安全性高；但是这里选择使用pre-shared keys，简单而且性能高；

IDC机房

×××服务器/etc/ipsec.conf配置如下：

version 2  #版本
config setup   #命名为setup，Ipsec服务启动直接加载nat_traversal=yes  #开启NAT-T穿透virtual_private=%v4:192.168.1.0/24,%v4:10.99.0.0/24  #指定哪些子网通过×××，如果不允许，在%前面加上！；%v4 表示为ipv4protostack=netkey    #使用netkeyinterfaces="%defaultroute"  #ipsec ***使用的虚拟接口和实接口，格式是"virtual=physicalvirtual=physical ..."，这里设置为默认路由出去的接口oe=off   #此选项已经被忽略。它用于确定是否启用机会加密；plutostderrlog=/var/log/pluto.log  #指定日志保存路径plutodebug=all    #记录多少调试输出，默认是none，这里便于设置为all，便于追踪，调试OK，可以设置为none；conn idc-to-office  #设置connection，并命名为idc-to-officetype=tunnel   #隧道模式，支持host-to-host，host-to-network和network-to-network；如果设置transport，表示为host-to-host传输模式；authby=secret #配置安全网关如何认证，默认是rsa，这里使用共享密钥auto=start    #start是表示connection随Ipsec服务器启动而自动连接；add不会随ipsec服务启动而启动，需要ipsec auto up idc-to-office启动connection；dpddelay=15   #每15秒钟检测一次，默认是30秒dpdtimeout=60   #闲置超时时间，这个时间内没有流量，没有响应，就表示对等实体已经死亡，并删除SA，默认120秒；dpdaction=hold   #eroute进入hold，等待对方的return信息；tunnel模式，推荐设置为hold；transport模式，推荐设置为clear；pfs=no  #无论设置为yes，还是no，都会启用；ike=aes128-sha1;modp1024  #第一阶段算法参数ikelifetime=86400s   #第一阶段生存时间keyexchange=ike     phase2=espphase2alg=aes128-sha1;modp1024   #指定第二阶段的算法参数；salifetime=3600s   #第二阶段生存时间aggrmode=no   #一般模式，设置yes，就是野蛮模式； left=10.99.0.16   #本机服务器提供对外（通常是指Internet）服务的接口，网上大多说是公网IP，这个说法对于服务器是直接对接Internet，并作为内网的网关的时候，是对的；但是，对于本例，在防火墙内部，就是不对的，其IP仍然是私网地址，所以，这点很重要，要认真区分；leftid=@szidc    #设置身份ID，如果是域名，使用@指定；如果用IP，直接使用IP地址接口，不需要@符号；leftsubnet=10.99.0.0/24   #表示本地的子网网络，如果有多个网段就有leftsubnetsleftnexthop=%defaultroute   #默认路由right=%any    #对端公网IP，无固定IP或不确定IP，设置为%any，这里必须设置为公网IP，跟left有些不同；rightsubnet=192.168.1.0/24   #对端本地的子网网络rightnexthop=%defaultroute   #默认路由
注： 通常理解，left 表示本地网络，right表示对端网络;

/etc/ipsec.secrets配置文件内容如下

%any %any : PSK "a14RbmJhq464"    #第一个%any表示外网IP，第二个%any表示对端外网IP，如果只有一个×××通道的话，这里可以都设置为%any； 如果有多个×××通道，需要指定IP地址，每一行代表一个；

办公室网络

/etc/ipsec.conf配置文件如下：

version 2   #版本
config setupnat_traversal=yes  #开启nat-t 穿透virtual_private=%v4:192.168.1.0/24,%v4:10.99.0.0/24  #protostack=netkeyinterfaces="%defaultroute"oe=offplutostderrlog=/var/log/pluto.logplutodebug=all  #调试完毕，改为noneconnidc-to-officetype=tunnelauthby=secretauto=start  #注意跟前面IDC机房的配置比较区别，前面是add，这里设置为startpfs=nokeyexchange=ikephase2=espike=aes128-sha1;modp1024ikelifetime=86400sphase2alg=aes128-sha1;modp1024salifetime=3600saggrmode=nodpddelay=15dpdtimeout=60dpdaction=holdright=211.154.139.8   #注意与IDC机房的配置比较rightsubnet=10.99.0.0/24   #注意与IDC机房的配置比较rightid=@szidc   #注意与IDC机房的配置比较rightnexthop=%defaultroute   #注意与IDC机房的配置比较left=192.168.1.252  #注意与IDC机房的配置比较leftsubnet=192.168.1.0/24   #注意与IDC机房的配置比较#lefttid=@rightleftnexthop=%defaultroute   #注意与IDC机房的配置比较

/etc/ipsec.secrets配置文件内容如下：

%any %any : PSK "a14RbmJhq464"  #注意密钥要跟IDC机房的一致

7、 启动服务

/etc/init.d/ipsec start   #启动ipsec服务，先启动IDC机房服务器，后启动办公室这边的服务器；

8、 检测***的tunnel状态

/etc/init.d/ipsec status    #检测ipsec tunnel是否建立起来

结果如下：

表示×××通道已经建立起来

测试是否能够Ping通