使用爱快路由建立到亚马逊云的IPSec VPN
December 24th, 2017 Posted in Linux最近在测试AWS云中国区服务,然后发现国内目前居然还不能直接使用IPSec VPN接口,具体原因不明,但是官方已经提供了解决方案。
官方的解决方案要求使用Cisco,实测同样的参数,使用爱快其实也是可以连接的。
由于官方的OpenSWAN使用的ike是aes128-sha1;modp1024,而phase2alg是aes128-sha1
ike=aes128-sha1;modp1024 phase2alg=aes128-sha1
个人觉得安全等级比较弱。所以我建议改ike为aes256-md5;modp2048,改phase2alg为aes256-md5
ike=aes256-md5;modp2048 phase2alg=aes256-md5
爱快端的设置如下:
- 依次点击 “服务中心” — “VPN服务” — “IPSec VPN”
- 然后点击下方的 “添加”
- 然后依次按自己的情况填入以下情况:
- 状态: 勾选启用
- 名称:任何填入字符串(建议有一定标示意义,比如”office-2-aws”
- 对方IP/域名:填入AWS外网IP(官方示例的则是EIP:54.223.152.218)
- 本地子网:填入你本地的IP地址段(官方示例的则是Cisco端的内网段,10.1.2.0/24)
- 对方子网:填入你要访问的AWS地址段(官方示例中的192.168.2.0/24)
- 线路:根据自己的要求选择,一般情况下选自动即可,除非你有多个公网
- IKE版本: 选择“IKEv1”
- IKE协商模式: 选择“主模式”
- IKE存活时间:默认的3即可
- IKE提议:依次按ike参数选(不修改官方示例参数则选AES128-SHA1-MODP1024,我则是选AES256-MD5-MODP2048)
- 认证方式:请选择“共享密钥”
- 预共享密钥:填入你的共享密钥(官方示例中是“aws123”,建议修改为复杂一点的长一点的字符串)
- 本地标识:请留空
- 对方标识:请留空
- ESP存活时间:默认的1即可
- ESP加密算法:按phase2alg选择(官方示例中选“aes128”,我则是选“aes256”)
- ESP认证算法:按phase2alg选择(官方示例中选“sha1”,我则是选“md5”)
- 允许压缩:不允许(不勾选)
You must be logged in to post a comment.