广域网上的两个没有公网IP的内网机器之间可以运行strongswan吗? (by quqi99)

最新推荐文章于 2025-07-30 18:39:12 发布
原创 最新推荐文章于 2025-07-30 18:39:12 发布 · 222 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #网络 #网络协议

作者:张华 发表于:2025-06-27
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明

strongswan是site-to-site类型的, 一般要求两端都有公网IP, 要是没有公网IP怎么办? 例如: 机器beijing位于北京的一个内网(如IP=192.168.2.2/24), 机器guangzhou位于广州的一个内网(如IP=192.168.3.2/24)里. beijing与guangzhou两台机器都位于NAT后, 且这两个机器都没有公网IP, 这种情况可以运行strongswan将192.168.2.0/24与192.168.3.0/24两个子网连通吗?

ipsec的原始esp协议到了nat路由器认不出, nat_traversal|forceencaps=true意为在esp外再用udp包一层(增加UDP封装)从而通过udp实现穿越NAT的能力.
不必打开UDP端口50。如果没有NAT穿越,需要允许IP协议50 ( ESP ),但是如果涉及NAT,ESP数据包会封装UDP,因此打开UDP端口500和4500就足够了。

下面是AI的说话, AI说能, 但还没做实验, 先记录一下, 有时间再弄:

至少有一端能主动发起连接(strongswan支持NAT traversal, 允许在NAT网络中建立隧道), 只要beijing或guangzhou能访问互联网并能主动发起UDP/500/4500流量, 就可以作为主动发起方(initiator), 如果两端都在NAT后, 建立选择一个固定的作为initiator, 另一个作为responder.
两端的防火墙/NAT要允许UDP 500/4500端口通过(大多数家用或企业路路由器都支持转发这些端口用于ipsec)
使用ddns发布两端的外网IP

#beijing ipsec.conf
conn to-guangzhou
    left=%defaultroute
    leftid=@beijing.local
    leftsubnet=192.168.2.0/24
    right=guangzhou.ddns.net
    rightid=@guangzhou.remote
    rightsubnet=192.168.3.0/24
    keyexchange=ikev2
    auto=start
    dpdaction=restart
    dpddelay=30s
 
cat /etc/ipsec.secrets
@beijing.local @guangzhou.remote : PSK "your-pre-shared-key"
   
#guangzhou ipsec.conf
conn from-beijing
    left=%defaultroute
    leftid=@guangzhou.remote
    leftsubnet=192.168.3.0/24
    right=%any
    rightid=@beijing.local
    rightsubnet=192.168.2.0/24
    keyexchange=ikev2
    auto=add
    dpdaction=restart
    dpddelay=30s
    
cat /etc/ipsec.secrets
@guangzhou.remote @beijing.local : PSK "your-pre-shared-key"
    
#run it on both side
echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward
sudo iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.3.0/24 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE

#debug
ipsec statusall 和 journalctl -u strongswan
数据传输安全(二)
Piwrim的博客
01-03 5466
IPSEC协议簇安全框架
如何让OpenStack支持多个FIP (by quqi99)
技术并艺术着
04-24 1159
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (作者:张华 发表于:2019-04-24) 问题 OpenStack可以支持多个公网IP? OpenStack CLI不支持将同一个子网的多个FIPs分配给同一个fixed_ip的接口. 最简单的方法是直接分配FIP后手工配置在qrouter-xxx上, 并且手工做DNAT/SNAT. 但还有其他更好的方法...
IPsec虚拟专用网络
weixin_43622525的博客
01-04 2236
简介
一个外网用户端口映射进入内网之后访问不是内网ip而是ipsec分布内网ip的问题...
weixin_33851604的博客
12-04 2357
西北院那个我们准备用ipsec方式让他们网站服务器以我们这边的ipv6地址对外发布出去的。 首先我们ispec隧道是建立起来了的。 在我们出口负载均衡设备也能通他们的网站服务器。 但是映射会有问题。 譬如你先用ipv4做了端口映射,譬如把106.38.122.202:80映射到西北院网站10.10.150.22:80 我发现ipv4的不好使,更别说ipv6了。 之所以ipv4不好使是因为如下: 譬...
strongswan (by quqi99)
技术并艺术着
07-16 260
注意: 下列还未调通, 它让bastion失去ssh连接了, 有时间再弄.
通配符中一个星号两个星号和globstar的关系(by quqi99)
技术并艺术着
11-16 4754
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99)问题今天在处理一个AppArmor的问题时,遇到一个奇怪的问题,在/etc/apparmor.d/usr.bin.nova-compute文件中明明已经有了下面对/tmp及/var/tmp目录的配置。 /tmp/* rw, /tmp/*/ rw,
运行apt install为何卡顿 (by quqi99)
技术并艺术着
05-29 388
而且今天还有其他问题,将sssd删除之后,autofs可以正常启动了,但访问nas上的文件时hang在那。于是改成(sudo mount -t nfs -o vers=4,proto=tcp,nolock nas:/Public /mnt/)调试也不能运行,改成vers=3就可以mount了但仍然访问文件时hangout在那。之前遇到过下列问题,直接 sudo apt purge sssd 就好了。今天在改用小笔记本后,还遇到另一问题,就是用了十几年用autofs连nas的方法忽然感觉表现莫名其妙的了。
移动宽带frp内网穿透访问家中网络(by quqi99)
技术并艺术着
04-30 7211
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (作者:张华 发表于:2019-04-30) 移动宽带没有公网IP, 除了采用ssh正向代理可以经vps访问家里机器外, 也可以可用frp内网穿透实现. wget https://github.com/fatedier/frp/releases/download/v0.27.0/frp_0.27.0_linux...
study octavia workflow (by quqi99)
技术并艺术着
08-21 985
这个bug 2043808说的是当在unordered_flow时,它下面的subtask (JobTask)出错时,它的retry (JobRetry)类中返回retry.REVERT_ALL (应revert整个flow, 即main-flow及其子任务)时被其他subtask返回的retry.REVERT(仅revert触发它的subflow, 即subflow1-jobtask或subflow2-jobtask)给覆盖了. 如上面例子的流程是:例如,
my cloud test bed (by quqi99)
技术并艺术着
03-10 1994
若容器里如果上不了网,如无法访问api.snapcraft.io,是因为lxd容易默认使用了eth1上的dns=10.10.10.1,下面的配置可让eth0, eth1, eth2都默认使用dns=192.168.99.1来避免特色网络对api.snapcraft.io的污染。下列netplan配置创建了br-eth0,也让br-eth0支持wol通过魔术包唤醒,也创建了一个没有dhcp的br-maas用于maas实验。
play with serverless services (by quqi99)
技术并艺术着
04-17 761
云计算里的函数即服务是什么,我们学习一下如何将一个serverless services部署到云端(cloudflare workers)
analyze nfs-ganesha coredump file (by quqi99)
技术并艺术着
07-18 1109
nfs-ganesha是一个基于FUSE实现的用户空间文件系统(ganesha比 kernel based nfsv4的性能会有所欠缺,但是基于user-space会带来更多有意思的功能, 如更通用能适配更多的文件系统,如可以把FUSE挂载在NFS上而不需要内核的帮助),可以在如ceph等特定的存储后端之上提供POSIX接口来允许用户用熟悉的linux命令(eg: ls, cp)等来操作ceph, 它还支持在POSIX接口的文件系统之上提供NFS服务。如果符号表不对,在gdb中就会看到很多问号。
【PHP】几种免费的通过IP获取IP所在地理位置的接口(部分免费部分收费)
qq_25285531的博客
07-29 328
整理收集了几种通过IP地址获取所在地理位置的接口,部分免费,部分有次数限制。
7. 传输层协议 TCP
最新发布
2401_86931059的博客
07-30 763
TCP全称为传输控制协议要对数据的传 输进行一个详细的控制。
【C语言网络编程基础】TCP并发网络编程:一请求一线程模型
qq_64148519的博客
07-28 448
在实际开发中,一个 TCP 服务器往往要同时为多个客户端提供服务。最简单直观的方式,就是采用“一请求一线程”模型 —— 每当有客户端连接进来,服务器就创建一个新线程专门负责这个客户端的收发任务。本文将介绍如何使用实现一个并发 TCP 服务器。
OV IP证书如何满足PCI DSS要求
2501_92651071的博客
07-29 344
PCI DSS(支付卡行业数据安全标准)要求所有处理、存储或传输信用卡数据的系统必须实施强加密措施。其中,OV(组织验证)IP证书在满足某些PCI DSS要求方面发挥着重要作用。
手撕TCPMux单端口多路复用以及小记SSH隧道
meethigher的博客
07-28 812
本文介绍了TCP端口服务多路复用(TCPMux)的概念与实现方法,以及SSH隧道的三种应用模式。TCPMux允许通过单一端口转发多个TCP服务,作者基于Vert.x开发了支持HTTP/TCP反向代理、内网穿透和多路复用的工具。同时详细讲解了SSH隧道的本地端口转发(类似TCPMux)、远程端口转发(内网穿透)和动态端口转发(Socks5代理)三种模式的应用场景和配置方法,并提供了开源项目地址和实现时序图。这些技术可帮助解决公网服务器端口受限情况下的服务暴露问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

quqi99

你的鼓励就是我创造的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值