Alibaba Cloud VPN GW와 Cisco 가상 라우터 간의 IPSec VPN

6557 단어 AlibabaCloudVPNAlibaba 클라우드ipsecIKEv2

배경



IKEv2를 추려 오는 젊은이가 있다. 그래서 아저씨도 공부 개시. 우리가 Alibaba Cloud도 VPN-GW는 IKEv2 지원. 대항은 물리 라우터가 수중에 없고, 뭐 취미의 영역이므로 AWS의 marketplace의 CSR(CISCO Cloud Services Router)의 Free trial판으로 해보자. NAT 부하의 물리 C사 라우터도 같은 설정으로 움직이지 않을까, ,,
  • IKEv2
  • NAT가있는 환경
  • C 회사 라우터와의 연결

    • 시도해보십시오.

    환경




    CSR은 VPC 부하이므로 EIP로 NAT된다. 깨끗하게 움직이면 자동적으로 NAT traversal로 움직일 것이다.

    AWS 측 준비



    AWS에서 Cisco CSR trial 이미지를 사용한 EC2를 시작합니다. (생략)
    그리고 다음 파라미터는 삼가한다.
    1. EIP: Alibaba Cloud측에서 본 Customer gateway의 주소가 된다
    2. Private IP: Alibaba Cloud측에서 본 Remote ID
    3. Subnet: IPSec에서 보호 대상 CIDR이 된다

    Alibaba Cloud 측 준비



    VPN 게이트웨이 만들기



    Alibaba Cloud측의 접속 포인트를 정의. VPN 게이트웨이 만들기 버튼을 누릅니다.


    우선 일본 리전을 선택한다. VPC가 여러 개 있으면 적절한 VPC를 선택. 1시간 10엔 정도이고, 우선 구입.


    제대로 작동하면 VPN 게이트웨이가 생성되고 글로벌 IP가 할당됩니다. 이것이 Alibaba Cloud 측의 ID 건 연결 대상 IP가되므로 메모하십시오.


    고객 게이트웨이 만들기



    다음으로 「고객 게이트웨이」작성으로 진행한다. Allibaba Cloud에서 본 연결 대상을 정의. 필요한 정보 접속처의 글로벌 IP(여기서는 AWS의 EIP)라고 명칭 정도.


    IPSec Connection 만들기



    접속의 양단과 파라미터를 지정해 접속.
    1. 이름: 뭐든지.
    2. VPN Gateway: 방금 정의한 VPN Gateway가 나오므로 선택한다.
    3. 고객 게이트웨이: 방금 정의한 Customer Gateway가 나오므로 선택
    4. 로컬 네트워크 : IPSec에서 사용하는 Alibaba 측의 CIDR. vSwitch의 주소. 여기서 172.24.0.0/16
    5. 원격 네트워크 : IPSec에서 사용하는 AlibabaCloud에서보고 연결 대상의 CIDR. 여기에서는 AWS 서브넷의 주소. 여기서 10.128.0.0/16
    6. 여기에서는 IKEv2를 설정하기 위해 "고급 구성"을 on
    7. 사전 공유 키 : PSK (pershared key)를 기재한다. 여기 alitest
    8. 버전: ike2
    8. Localid: Alibaba Cloud VPN GW의 글로벌 IP 주소를 기재.
    9. Remoteid: CSR의 Private IP를 기재한다.




    Routing 설정



    VPC의 Routing Table에 AWS의 CIDR(여기서는 A)의 Nexthop으로서 방금 만든 VPC-GW를 지정한다.


    다시 AWS 측 준비로



    Alibaba Cloud 측의 VPN GW 주소에 대한 IKE/IPSec 패킷이 AWS 보안 정책에 드롭되었을 가능성이 높기 때문에 적절하게 ACL 설정

    CSR (CISCO 가상 라우터 구성)


    ! SNIP
crypto ikev2 proposal Proposal2Ali 
 encryption aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 policy Policy2Ali 
 match address local 10.128.0.57
 proposal Proposal2Ali
!
crypto ikev2 keyring keys
 peer Alibaba
  address 47.91.xx.xx
  pre-shared-key local alitest
  pre-shared-key remote alitest
 !
!
!
crypto ikev2 profile Profile2Ali
 match identity remote address 47.91.xx.xx 255.255.255.255 
 authentication remote pre-share
 authentication local pre-share
 keyring local keys
!
!
!
!
! 
!
!
!
!
!
!
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac 
 mode tunnel
!
!
!
!
crypto map cmap 10 ipsec-isakmp 
 set peer 47.91.xx.xx
 set transform-set TS 
 set ikev2-profile Profile2Ali
 match address cryptoacl
!
ip access-list extended cryptoacl
 permit ip 10.128.0.0 0.0.0.63 172.24.0.0 0.0.255.255

! SNIP

    우선 접속 완료



    시스코


    ip-10-128-0-57#show crypto ipsec sa        

interface: GigabitEthernet1
    Crypto map tag: cmap, local addr 10.128.0.57

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.128.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (172.24.0.0/255.255.0.0/0/0)
   current_peer 47.91.xx.xx port 4500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 18, #pkts encrypt: 18, #pkts digest: 18
    #pkts decaps: 18, #pkts decrypt: 18, #pkts verify: 18
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.128.0.57, remote crypto endpt.: 47.91.xx.xx
     plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1
     current outbound spi: 0x●●●●●●●●(●●●●●●●●)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x●●●●●●●●(●●●●●●●●)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 3475, flow_id: CSR:1475, sibling_flags FFFFFFFF80000048, crypto map: cmap
        sa timing: remaining key lifetime (k/sec): (4608000/2726)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: spi: 0x●●●●●●●●(●●●●●●●●)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 3476, flow_id: CSR:1476, sibling_flags FFFFFFFF80000048, crypto map: cmap
        sa timing: remaining key lifetime (k/sec): (4608000/2726)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:
ip-10-128-0-57#ping 172.24.189.251
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.24.189.251, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms
ip-10-128-0-57#

    Alibaba Cloud 측면



    AlibabaCloud의 IPSec connection에서 「2단계 성공」이라고 나오면 OK
    500 Internal Server Error란 무엇인가?
    Alibaba Cloud VPN GW 및 Fortigate로 IPsec 연결

    좋은 웹페이지 즐겨찾기

    개발자 우수 사이트 수집

    개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다
    best100-homepage