使用IPsec VPN建立站点到站点的连接时,在配置完天翼云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。
前提条件
- 已经在天翼云VPC内创建了IPsec连接。
- 已经下载了IPsec连接的配置。
IPsec协议信息
配置 示例值 IKE 认证算法 SHA1 加密算法 AES-128 DH分组 Group5 IKE版本 IKEv1 生命周期 86400 协商模式 main PSK ct***Forti IPsec 认证算法 SHA1 加密算法 AES-128 PFS DH group5 生命周期 3600
网络配置信息
| 配置项 | 示例值 |
|---|---|
| VPC | 待和本地IDC互通的私网网段。 |
| VPN网关 | 天翼云VPN网关的公网IP地址。 |
| 本地IDC | 待和天翼云VPC互通的私网网段。 |
| 本地IDC | 本地网关设备的公网IP地址。 |
操作步骤
- 以命令行方式登录飞塔防火墙命令行。
- 添加IPsec VPN第一阶段的IKE配置。
config vpn ipsec phase1-interface
edit "Fotri_ctyun"
set interface "wan"
set peertype any
set net-device disable
set proposal aes128-sha1
set dpd on-idle
set dhgrp 5
set keylife 86400
set remote-gw 121.***.***.152
set psksecret ct***Forti
next
end
- 添加IPsec VPN第二阶段的IPsec配置。
config vpn ipsec phase2-interface
edit "Fotri_ctyun"
set phase1name "Fotri_ctyun"
set proposal aes128-sha1
set dhgrp 5
set keylifeseconds 3600
set auto-negotiate enable
set src-subnet 192.168.0.0 255.255.255.0
set dst-subnet 192.168.3.0 255.255.255.0
next
end
- 配置防火墙策略。
config firewall address
edit "Local_192.168.0.0/24"
set subnet 192.168.0.0 255.255.255.0
next
edit "Remote_192.168.3.0/24"
set subnet 192.168.3.0 255.255.255.0
next
edit "ctyun_VPN_Gateway"
set subnet 121.***.***.152 255.255.255.255
next
end
config firewall policy
edit 4
set srcintf "lan"
set dstintf "to_ctyun"
set action accept
set srcaddr "Local_192.168.0.0/24"
set dstaddr "Remote_192.168.3.0/24"
set schedule "always"
set service "ALL"
next
edit 5
set srcintf "to_ctyun"
set dstintf "lan"
set action accept
set srcaddr "Remote_192.168.3.0/24"
set dstaddr "Local_192.168.0.0/24"
set schedule "always"
set service "ALL"
next
end
- 配置访问VPC的静态路由。
config router static
edit 3
set dst 192.168.3.0 255.255.255.0
set device "to_ctyun"
next
edit 4
set dst 192.168.3.0 255.255.255.0
set distance 254
set blackhole enable
next
end
- 测试连通性。
您可以利用您的云主机和数据中心的主机进行连通性测试。
