场景
在建立 IPsec 连接时,连接方有时需要使用 Public IP 作为加密域的隧道。当连接到电信合作伙伴时,此请求很常见。设想一下,一家公司对接成千上百的合作方,对于加密域或者感兴趣流网段规划是一个非常头痛的事情。但对加密域使用 Public IP 可确保其他连接之间不会出现地址重叠。
前段时间对接的两家第三方合作伙伴,都要求需要一个唯一的公共 IP 作为网关 IP,但也需要另一个公共 IP 作为加密域。 连接伙伴不允许在其隧道定义中使用任何私有 IP。
第三方 ipsec vpn 对接信息
第三方 ipsec vpn 对接信息
VNS3 解决方案
以下面网络 top 图与第三方合作伙伴建立 ipsec vpn 为例子:
申请一个新的Elastic IP
在 AWS 对应 VPC 申请一个新的 Elastic IP,或者找一个没有跟任何设备关联的,然后备注是用来作为 vns3 ipsec vpn的。这里使用 3.66.209.102 Elastic IP。
创建 Endpoint,tunnel
endpoint 创建略。
tunnel 配置 local subnet:3.66.209.102/32,remote subnet: 41.222.X.X/32
配置 VNS3 Firewall
增加两条 netmap 策略
PREROUTING -s 41.222.X.X/32 -d 3.66.209.102/32 -j NETMAP --to 10.10.254.24/32
POSTROUTING -s 10.10.254.24/32 -d 41.222.X.X/32 -j NETMAP --to 3.66.209.102/32
还需要增加两条转发策略
FORWARD -s 41.222.X.X/32 -j ACCEPT
FORWARD -s 10.10.254.24/32 -j ACCEPT
配置如果没什么问题的话,应该可以看到 tunnel 状态是 Connected(如上图)。
