openswan与飞塔对接，将openswan接口当作上网线路使用

Aggy阿吉

已于 2023-12-21 12:59:18 修改

阅读量1.1k

点赞数

分类专栏：运维相关文章标签： linux 运维服务器

于 2020-08-23 20:42:03 首次发布

本文链接：https://blog.youkuaiyun.com/m0_37888039/article/details/108187414

版权

运维相关专栏收录该内容

65 篇文章

订阅专栏

@[TOC]虚拟专线

openswan与飞塔对接

国内办公室与国外办公室的网络互联，国内企业与国外网络的互联一直都是一个热点问题。今天的openswan就是云端或者服务器替代网络设备的典范实例。

安装配置openswan

本次实验基于centos7.3

# cat /etc/redhat-release 
CentOS Linux release 7.3.1611 (Core)

安装openswan

# yum -y install openswan
# vi /etc/sysctl.conf

修改文件内的参数改为

# vi /etc/sysctl.conf
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

我修改的时候发现，net.ipv4.ip_forward = 1是没有的，要写上去，net.ipv4.conf.default.rp_filter = 1 —1改成0 。

配置环境变量

# sysctl -a | egrep "ipv4.*(accept|send)_redirects" | awk -F "=" '{print $1"= 0"}' >> /etc/sysctl.conf
# sysctl -p

关闭系统防火墙等可能的干扰项，这里为了方便我就全部关闭，没有细化

# setenforce 0
setenforce: SELinux is disabled
# systemctl stop iptables

启动IPSEC

# systemctl restart  ipsec
# ipsec verify

配置openswan

# vi /etc/ipsec.conf
# vi /etc/ipsec.secrets

配置案例：
飞塔Fortigate | 公网:x.x.x.x 内网网段：192.168.1.0/24
Openswan | 公网:y.y.y.y 内网网段：0.0.0.0/0
# vi /etc/ipsec.conf

config setup
    plutodebug=all
    plutostderrlog=/var/log/pluto.log
    protostack=netkey
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off

conn vpn-to-fgt
    ##phase 1##
    authby=secret
    auto=start
    ike=aes256-sha256;modp2048
    keyexchange=ike
    aggrmode=yes
    ikelifetime=86400

    ##phase 2##
    phase2=esp
    phase2alg=aes256-sha256;modp2048
    compress=no
    pfs=yes
    type=tunnel
    keylife=43200

  left=y.y.y.y
  #leftid=@openswan
  leftsubnet=0.0.0.0/0
  leftnexthop=%defaultroute

  right=x.x.x.x
  #rightid=@fgt
  rightsubnet=192.168.1.0/24

# vi /etc/ipsec.secrets

include /etc/ipsec.d/*.secrets
y.y.y.y x.x.x.x : PSK "12345678"

飞塔fortigate配置
验证

扣扣79723521
q抠群88645159