因业务需求,需要将阿里云与内网进行打通。此方法适合阿里云-内网的vpn隧道、适合阿里云不同地区的隧道创建。
基本需求:购买阿里云VPN网关资源、支持IPSEC协议的防火墙。
华为USG防火墙配置:
1、创建tunnel接口
在防火墙接口中,创建tunnel接口以便于与阿里云对接。可以通过手动配置IP地址,或借用其他公网口地址两种方式,这里我们选择借用其他公网口地址。通过使用tunnel接口进行vpn对接,通过静态路由的形式将目的流量转发至tunnel接口中,策略比较清晰 不用创建nat不转换策略。
2、创建安全区域
为了更好的进行安全策略的配置,我们选择创建一个安全区域并将tunnel接口绑定至安全域中。
3、IPSEC配置
IPSEC配置无非就是源目IP、共享密钥、感兴趣流、和一二阶段协商参数。
4、路由配置
新建去往阿里云方向的路由、下一跳为第一步创建的阿里云vpn隧道接口(tunnel)
5、安全策略配置
安全策略需要创建3条
1、untrust-local 源 阿里云vpn网关;目 本端对接VPN公网地址
2、trust-阿里云 源 trust;目 阿里云区域
3、阿里云-trust 源 阿里云区域;目 trust区域
可以根据实际情况添加明细策略。
阿里云VPN配置:
1、用户网关配置
用户网关就是对端的vpn对接网关,对应华为配置第一步的公网接口。建议将描述填写清晰。
2、创建IPsec连接
本端、对端、感兴趣流、高级配置(一二阶段协商参数)
3、路由配置
进入专有网络-路由表 添加到内网的静态路由条目,如有多张路由表根据实际填写,下一条为VPN网关。
检查隧道状态
排错:
1、隧道协商不成功:根据提示查看是一二阶段协商 还是感兴趣流配置错误 。
2、隧道协商成功不通:检查双方路由条目填写是否正确;安全策略是否填写正确,阿里云安全组策略是否有禁止。
原文链接:https://blog.csdn.net/zhisibuyudem/article/details/125765422?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168466843816800197047861%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=168466843816800197047861&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-17-125765422-null-null.blog_rank_default&utm_term=NAS%E3%80%81%E7%BE%A4%E6%99%96%E3%80%81%E9%98%BF%E9%87%8C%E4%BA%91%E3%80%81%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90%E3%80%81%E5%86%85%E7%BD%91%E7%A9%BF%E9%80%8F%E3%80%81ipv6%E3%80%81ddns%E3%80%81%E8%BD%BB%E9%87%8F%E7%BA%A7%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E3%80%81%E9%93%81%E5%A8%81%E9%A9%AC%E3%80%81%E5%A8%81%E8%81%94%E9%80%9A%E3%80%81DSM%E3%80%81DSM6.0%E3%80%81%E7%BE%A4%E6%99%96nas%E3%80%81%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E3%80%81%E8%9C%97%E7%89%9B%E6%98%9F%E9%99%85%E3%80%81%E9%BB%91%E7%BE%A4%E6%99%96%E3%80%81docker%E3%80%81%E5%AE%B9%E5%99%A8%E9%95%9C%E5%83%8F%E3%80%81%E5%9F%9F%E5%90%8D%E6%B3%A8%E5%86%8C%E3%80%81%E5%AE%9D%E5%A1%94%E3%80%81%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86%E3%80%81nginx%E3%80%81frp%E3%80%81%E5%8A%A8%E6%80%81%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90
