Intro
缘起
我司有个域名,被伟大的墙双向认证了,站点如果部署在墙内,墙外过来的访问会被 reset;站点如果部署在墙外,墙内的访问也会被 reset。我司用户主要在墙内,所以,站点自然部署在墙内,但为了让墙外用户也能访问,于是在墙外购置一 VPS,配置 nginx,proxy_pass 到墙内我们真正的服务器上。
这里有个技术问题:我们的真实服务器都是内网地址,不能通过外网直接访问,所以,需要在墙外的 VPS 上到墙内真实服务器所在网段打一个 net to net 的 tunnel(其实 host to net 的也行,这是主要是考虑到也许以后墙外节点的扩展性问题),而且这个 tunnel 还需要加密,否则过墙的时候肯定会被感知而 reset 掉链接的。于是,我们这里采用的是 IPSec 加密。
环境
网络拓扑图如下:
![[IPSec tunnel 连通网络 A 和网络 B 以及网络 C 的拓扑图]](/2017/01/Dig-a-IPSec-s-tunnel-between-2-Linux-box-with-one-is-NATed-and-has-multinets/index/net2net_IPSec_one_NATed_multinets.png)
- Server A 直接有公网地址 1.2.3.4,带的私网地址段是 10.0.0.1/24
- Server B 只有私网地址 10.0.1.2,通过设备 FW 给 map 了一个公网地址 2.3.4.5
- Server C 的缺省网关是设备 R_B&C(10.0.12.253)
- Server B 的缺省网关也是设备 R_B&C(10.0.1.253)
- 路由器 R_B&C 上的路由表里 10.0.0.0/24 的路由指向了 10.0.1.2
Howto
安装软件
在 Server A 和 Server B 上分别执行:
1 | yum -y install libreswan; |
配置
Server A
1 | cat <<EOF >/etc/ipsec.d/B.conf |
Server B
1 | cat <<EOF >/etc/ipsec.d/A.conf |
重要点
要注意的点在于 Server A 上的 Iptables 配置,这个在当 IPSec server 有自己的公网地址而且还对内提供 SNAT 服务时会保证配置正确。