• [教程] 企业版VPN 监控指标项
    企业版总共支持的监控指标一共11项,但是默认只有5项,其他的需要手动添加或配置1、默认监控项企业版默认只有5个监控指标:VPN连接状态、发送/接收速率、发送包/接收包速率2、健康检查指标项 - 链路点击VPN连接名称,进入连接详情页面,在此处可以配置健康检查,开启了健康检查之后,会增加3个监控项:链路往返平均时延、链路往返最大时延、链路丢包率探测方式:本端网关ip去ping对端网关ip,因此需要对端网关不禁ping3、使能NQA的监控项(限静态路由模式)- 隧道静态路由模式下,使能了NQA之后,会增加3个监控项:隧道丢包率、隧道往返平均时延、隧道往返最大时延注意:需要配置好本对端隧道接口地址,且保证对端隧道接口地址能ping通,才会有数据打通
  • [问题求助] ubuntu 22 pptp server 无法连接
    报错 807 该检查的都检查了,不知是何原因,如何解决。
  • 【虚拟专用网络】如何将经典版VPN切换到企业版VPN
    由于经典版vpn的带宽规格较小,不支持动态IP、对接ER等特性,需要将业务切到企业版vpn使用,验证割接方案如下:一、准备环境1)  创建华为云VPN网关如果有公网攻击,建议找安全服务申请保障EIP,申请成功后,在创建VPN网关时选择已有EIP。2)  创建对端网关3)  创建华为云VPN连接注意:对端子网填写测试子网(与经典版vpn实际对端子网不同即可,防止路由冲突)4)  验证(连接成功)二、割接动作1)修改经典VPN网关对端子网为无用子网(如:88.88.88.0/24)2)修改专业版VPN远端子网为业务真实子网,即修改之前经典版的对端子网3)验证是否正常,测试ping和scp传输文件,如果出现异常,可以回退割接动作的步骤。
  • 【虚拟专用网络】企业版建议对端设备打开NAT-T
    由于企业版VPN在实现上有做NAT-T,因此在与其他设备对接时,建议对端设备打开NAT-T。例如,由于深信服ikev2的版本不支持NAT-T,因此在与深信服设备对接时,建议使用ikev1 的野蛮模式,打开NAT-T常见设备NAT-T开关1、阿里云2、腾讯云界面上没有配置选项,默认支持3、AWS  亚马逊云AWS配置中无NAT相关参数,默认支持。官方文档描述如下: https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/create-tgw-vpn-attachment.html ​ https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/cgw-options.html4、Azure 微软云AWS配置中无NAT相关参数,默认支持。5、山石防火墙支持配置
  • 【虚拟专用网络】企业版vpn对接strongswan对接指导
    1StrongSwan安装将strongswan-5.7.1.rpm上传到服务器,并执行命令:rpm –ivh strongswan-5.7.1 –-force –-nodeps安装成功后执行命令strongswan version看strongswan版本:2华为VPN双活网关策略模式对接StrongSwan组网2.1华为侧VPC及网关创建(单连接)⑴在华为云创建两个VPC,分别设置vpc网段,如下图:(2)在vpc中创建ecs一台,并绑定弹性eip1.1.1.1,带宽根据测试需求自定,本次申请300Mb带宽,(3)在另一个vpc中创建vpn网关,选择策略模式,绑定主eip2.2.2.2,备eip随意。(4)创建一个对端网关,路由模式为静态路由,公网ip选择1.1.1.12.2华为侧VPN连接创建创建vpn连接,本端网关选择步骤(3)中创建的网关,对端网关选择步骤(4)中的网关,分别填写本端子网192.168.0.0/16和对端子网172.16.0.0/16。策略协议如下所示:2.3StrongSwan IPsecVPN配置2.3.1编辑strongswan配置文件,指令为:vi /etc/strongswan/ipsec.conf在配置文件尾部增加配置:参数说明leftid本端标识rightid对端标识left本机IP(私网地址)right对端IP(华为侧EIP)leftsubnet本端子网rightsubnet对端子网auto连接方式。可选“add”,“route”,“start”.“route”表示由连接触发,“add”表示手动,“start”表示自启。left|rightauth指定left,right认证方式,可选“pubkey”“psk”“eap”“xauth”ikeIKE算法,分3个部分组成,用“-”连接,第一部分加密算法3des,aes128,aes192,aes256,第二部分认证算法:md5,sha1,sha256,第三部分DH算法:modp1024,modp1536espesp算法,分3个部分组成,用“-”连接,第一部分加密算法:3des,aes128,ase192,aes256,第二部分认证算法:md5,sha1,sha256,第三部分DH算法:modp1024,modp1536keyexchangeIKE模式,可选“ikev1”“ikev2”ikelifetimeIPSec SA协商间隔lifetimeISAKMP SA协商间隔2.3.2修改ipsec.secrets文件,在文件尾部增加共享密钥:vi /etc/strongswan/ipsec.secrets格式为:本端IP+空格+对端IP+空格+:+空格+PSK+空格+“密钥”若格式不对,启动strongswan后会报错:no shared key between ***found.2.3.3设置允许IP转发。vi /etc/sysctl.conf在文件尾增加以下内容:net.ipv4.ip_forward = 1保存后执行命令/sbin/sysctl –p使配置生效2.4连接状态检查(1)执行命令启动strongswan:service strongswan startstrongswan start执行命令查看IPsec隧道是否成功创建:service strongswan statusstrongswan statusall如图所示:security association(1 up,0 connecting)表示有一个ipsec隧道成功打通,华为云界面连接状态也变为正常。2.5连通性测试流量测试:在华为云网关对应vpc上创建另一个ecs,私有地址为192.168.0.76此时,在strongswan侧直接ping该私有地址(测试地址略有变化):
  • 【虚拟专用网络】企业版VPN连接模式的区别和使用场景
    一、连接模式:当前VPN连接有4种连接模式:策略模式、静态路由模式、BGP路由模式和策略模板模式策略模板模式仅在VPN网关是非固定IP网关,且选择的对端网关为FQDN类型时可见二、区别和使用场景:1、静态路由模式:使用全0网段与线下设备协商,根椐路由配置(本端子网与对端子网)确定哪些数据进入IPsec VPN隧道。一般推荐使用该模式配置VPN。2、策略模式:根椐策略规则(用户侧到VPC之间通信的数据流信息)确定哪些数据进入IPsec VPN隧道,支持以源网段和目的网段定义策略规则。注意:VPN最多只能配置5个源网段,且源网段和目的网段数量的乘积不能超过100,如果需要联通的子网较多,建议合并子网或者使用路由模式。3、BGP路由模式:根据BGP动态路由确定哪些数据进入IPsec VPN隧道,适用于互通子网数量多或变化频繁、与专线互备等组网场景。因为需要搭建BGP,需要在创建网关时提前规划asn,同时在线下设备配置好隧道接口地址。4、策略模板模式:用于线下公网IP非固定的场景,对端网关类型为FQDN,如需修改策略模板模式的加密策略,可在网关界面修改。
  • 【虚拟专用网络】企业版VPN对接AR路由器配置指南
    cid:link_0
  • 【虚拟专用网络】企业版VPN对接AWS配置指南
    1 注意事项1.1 注意AWS侧的子网配置AWS侧的本地IPv4网络CIDR需要填下华为侧子网,远程IPv4网络CIDR才是填写的AWS侧子网;这个配置很容易配反。配反了之后现象是:连接协商失败。1.2 注意AWS上的静态ip前缀配置亚马逊AWS默认将网段中较小的IP地址留给自己,故需要根据此处的IP地址反向设置华为云VPN连接的接口地址,且两边的配置需要互为镜像。2 创建vpc和网关2.1 华为云创建VPC在华为云北京四区上创建一个VPC,设置vpc网段,如下图:2.2华为云创建ECS在该vpc上创建ecs一台,ecs私有地址:192.168.0.198.2.3华为云创建专业版VPN网关在vpc中创建vpn网关,绑定主备EIP2.4查看VPC路由,到AWSVPC路由正确(自动生成)3AWS云前置公共配置3.1AWS创建VPC和子网AWS云控制台,新建VPC,注意生成的2个子网,一个public一个private,是有区别的。3.2AWS创建EC2创建用于测试联通性的ec2。注意1、aws的ec2如果要通过弹性ipssh登录,必须对应的网卡加入到public的子网。用于测试vpn连通性的网卡加入private的子网中。2、关闭ec2的源/目的检查3、注意ec2安全组的修改放通ICMP和SSH。4、ec2镜像选择,选择AmazonLinux 2AMI(HVM)- Kernel 5.10,SSDvolumeType3.3AWS云侧检查和配置路由检查VPC路由,进入EC2连接private子网的路由,为华为侧VPC添加到AWSVPN网关的路由。(如果是在主VPC路由表中配置的路由,则要在主路由表中关联子网)3.4创建AWS虚拟私有网关输入虚拟私有网关名字和ASN,创建后,需要将虚拟私有网关附加到VPC3.5AWS创建客户网关根据华为VPN的ASN,根据这主备EIP分别创建2个客户网关4VPN双活网关与AWS静态路由模对接4.1组网4.2AWS创建站点到站点静态路由的VPN连接输入VPN连接的名称后,虚拟私有网关客户网关都选择现有,第一个连接,选择前面创建的华为VPN主EIP的客户网关,第二个连接创建选择前面创建的华为VPN备EIP的客户网关。测试静态路由连接参数对接,只创建连接1即可。路由选项:静态静态IP前缀:华为VPN的业务VPC网段本地 IPv4网络 CIDR:华为VPN的业务VPC网段,默认0.0.0.0/0远程 IPv4网络 CIDR:AWSVPN的业务VPC网段,默认0.0.0.0/0隧道选项-内部CIDR:由于亚马逊云与华为云分配方式的不通。由Amazon生成即可,华为云测创建连接后,需要反过来修改这个CIDR的网段参数。或者按照华为云的分配方式先进行配置。保证相同的链接CIDR两端一致。隧道选项-预共享密钥:根据需要配置,和华为侧要配置的保持一致,注意AWS的共享密钥和华为云的共享密钥支持的字符有区别隧道协商选项:需要与华为侧保持一致,可以创建时指定,也可以先保持默认创建后修改。4.3华为云创建客户网关华为云客户网关需要创建4个,分别对应AWSVPN2个连接的4个Tunnel公网IP地址4.4华为云创建VPN连接华为云需要针对4个客户网关创建4个VPN连接,策略配置可以默认。本次测试基本互通,其实创建连接1和连接3即可。后续测试注意操作连接1和连接3。4.5连接状态检查4.5.1检查华为云VPN连接状态4.5.2检查AWSVPN 2个连接的4个Tunnel状态查看AWS上Tunnel的策略配置如下,算法、IKE、DH的类型是同时支持的。4.6检查华为云侧ECS和AWS云侧EC2的VPC连通性从AWS云侧EC2 ping华为云侧ECS从华为云侧ECS pingAWS云侧EC2
  • 【虚拟专用网络】企业版VPN对接腾讯云配置指导
    零、注意事项1、流量生命周期腾讯云二阶段基于流量的生命周期默认为1.8G(1843200KB),如果业务流量较大,需要适当调大流量的生命周期,避免由于频繁的流量老化导致丢包。2、连接模式腾讯云-目的路由模式对应华为云-静态路由模式腾讯云-SPD策略模式对应华为云-策略模式腾讯云VPN不支持BGP路由模式连接3、双连接场景双连接场景对接VPC时只支持人字形组网(华为云两个网关对接腾讯云一个网关),不支持口字型组网,因为腾讯云VPC不支持相同的路由前缀路由配置。双连接场景需要使用路由模式,且腾讯云健康检查必须配置,否则腾讯云连接故障后流量无法切换。一、策略模式对接1.1、组网1.2、华为侧配置创建本端网关:创建对端网关:选择腾讯侧创建的公网ip创建连接,选择策略模式,配置对端子网和策略规则策略配置1.3、腾讯侧配置1.3.1 创建VPC,设置VPC网段1.3.2 创建VPN网关进入vpn网关界面,创建vpn网关,选择带宽上限,关联网络:私有网络,选择刚建好的vpc,计费方式为按流量计费,得到新的vpn网关.1.3.3 创建对端网关进入腾讯云对端网关界面,新建对端网关,公网IP为华为云vpn网关的主eip1.3.4 新建VPN通道进入腾讯云vpn通道界面,新建vpn通道;VPN网关类型:私有网络。私有网络选择上面创建的vpc,网关/对端网关:选择上面创建的网关;配置预共享密钥;协商类型:主动协商。选择SPD策略,填写本端对端网段。设置IKE和IPsec配置如下所示:1.3.5 配置路由华为云VPC内会自动生成到VPN网关的路由,腾讯需要在VPC内手动新增一条到华为云私网的路由1.4、验证腾讯侧连接显示正常华为侧连接显示正常流量测试:在华为侧和腾讯侧对应vpc上各买一个ECS云服务器,进行ping测试二、路由模式对接腾讯云 - 双连接场景2.1、组网ipsec参数2.2、华为侧配置创建VPN网关创建对端网关创建VPN连接:使用静态路由模式如果是单连接场景,则不使能NQA 探测,也不用配置隧道接口地址。但是双连接场景,为了实现腾讯侧流量的自动切换,因此必须配置两端镜像配置隧道接口地址,华为侧开启使能NQA可以更快进行流量的切换。2.3、腾讯侧配置创建私有网络及子网在VPC内购买1个IPsecVPN网关创建对端网关创建VPN通道,通信模式选择目的路由腾讯VPN网关创建通道到华为云VPN的主EIP和主EIP2,健康检查的本地地址和对端地址即华为云侧配置的对端隧道接口地址和本端隧道接口地址。健康检查必须配置,否则腾讯云连接故障后流量无法切换。VPC路由表内新增路由策略,下一跳分别为VPN网关VPN网关路由表配置到华为VPC的路由,下一跳为VPN通道,可配置相同权重,形成ECMP2.4、验证2.4.1 华为云华为云连接状态连接健康检查状态华为云VPC里的路由2.4.2 腾讯云腾讯云连接状态腾讯云监控2.4.3 流量测试ping测试:传文件测试
  • 【虚拟专用网络】企业版VPN对接思科路由器
    1 思科路由器版本C2900 v15.72 对接配置1:ikev2 策略绑定GigabitEthernet接口 云上VPN专业版使用策略模式对接。show running-config 查看当前配置configure terminal 进入配置视图2.1 IKE配置 加密算法: AES256认证算法: SHA1DH算法: group2crypto ikev2 proposal huawei_ikev2  encryption aes-cbc-256  integrity shal  group 2crypto ikev2 policy 10  proposal huawei ikev2对端地址: 华为云VPN网关IP预共享秘钥 xxx对端ID: 华为云VPN网关IP本端ID: 思科VPN网关IP2.2 IPsec配置 加密算法: AES128认证算法: SHA1封装模式: 隧道模式crypto ipsec transform-set ipsecpro esp-aes esp-sha-hmac  mode tunnel2.3 ACL配置华为侧子网:10.37.0.0/25思科侧子网:172.16.201.0/24show access-list 查看2.4 策略配置map PFS group2ACL: 1002.5 接口配置 crypto map ipsecpolicy2.6 静态路由 对端子网: 10.37.0.0/25第一条是默认路由第二条路由将到云上子网的流量引到出口网关IP注意:如果存在相同目的和掩码的路由,思科路由器会哈希处理,需清理重复路由。可show ip route查看。3    对接配置2:ikev2策略绑定Tunnel接口  云上VPN专业版使用路由模式对接。3.1   IKE配置   同2.1。3.2   IPsec配置   同2.2。3.3   策略配置ipsec profile   不配置ACL。3.4   接口配置   Tunnel口地址:169.254.78.170 —— VPN专业版查到的对端隧道地址,用于NQA探测隧道源: GigabitEthernet0/2——该接口绑定了公网IP隧道类型: ipsec ipv4 —— Tunnel接口的用途隧道目的: 云上公网IP地址tunnel protection ipsec profile 10 —— 隧道保护的ipsec profile3.5   静态路由第一条默认路由第二条将VPN保护流量引入Tunnel口,下一跳需要是云上的本端隧道接口地址云上子网:192.168.0.0/16注意:思科侧的子网在云上对应配置:4    常用命令show crypto ikev2 sa 查看ike sa协商状态,根据信息的源目的ip,确认当前正在协商两个ike sashow crypto ipsec sa 查看ipsec sa收发包情况和一些丢包计数,pkts encaps和pkts decaps分别为ipsec隧道的加解密包计数;send error和recv error为收发包异常计数,如果不为0,需要排查确认异常原因;
  • 【虚拟专用网络】企业版VPN对接深信服vAF配置指南
    cid:link_0
  • 【虚拟专用网络】企业版VPN对接阿里云配置指南
    cid:link_0
  • 【虚拟专用网络】企业版VPN对接USG配置指南
    cid:link_0
  • [技术干货] 【虚拟专用网络】企业版VPN路由模式对接山石设备
    山石配置1、安全策略建议先使用全放通,待VPN调通后再根据需要配置安全策略;如果需要做安全策略的限制,可以只放通两端VPN公网IP,以及需要连通的两端子网网段;2、IPSEC VPN,两条VPN的配置除了对端地址不同外,其他配置完全一样Hillstone连接华为VPN主EIP的链接配置如下,对接华为VPN路由模式,代理ID可以选择自动,或者选择手工(手工时填写全0,any)IPSECVPN中主备的对端配置:提议1:提议2:3、创建安全域4、Tunnel创建加入创建的安全域IP地址为华为VPN连接的Tunnel地址分别绑定到主备IPsec VPN5、山石目的路由配置添加2条到华为VPC私网的静态路由,下一跳分别为Tunnel1和Tunnel2,优先权相同则都会活跃并负载分担。Tunnel2的优先权调整后可以实现主备功能,调高Tunnel2优先权为2后该条路由不活跃,只有Tunnel1故障后才会活跃。添加一条Hillston VPC私网的路由,下一跳为网关的接口地址。否则在双连接的场景下,从云上ping Hillstone的私网地址,只能ping和Hillstone网关接口地址相同的子网地址,其他子网地址会出现环路ping超时。6、山石VPC的云上路由配置华为配置:1、网关配置2、连接配置,主备连接除了使用的VPN网关主备EIP不同外,其他配置相同主备切换说明,修改华为侧主连接ikev1到ikev2,触发重新协商故障1、在主备连接都是OK的时候,华为侧VPN默认走主连接出云,主连接故障后自动从备连接出云。主恢复后,流量会回切2、在主备连接都是OK的时候,Hillstone根据Tunnel路由的优先级处理流量,Tunnel主备时如果主故障,主的路由变味不活跃,备的变为活跃,流量走备Tunnel出去。主恢复后,流量回切到主Tunnel。3、测试数据,Ping报文1秒1个主故障后,华为和山石切换到备链路时间基本一致,2-3秒。异常情况排查1 流量丢包 需要在山石设备上将内网网段加入攻击防护的白名单中2、路由模式对接后,发现双连接场景下,回切丢包时间过长     请排查路由模式下,山石Tunnel接口配置中高级配置,需要关闭逆向路由3、山石防火墙IPSecVPN配置中“接受对端任意代理ID”选项和代理ID列表配置参数说明A):接受对端任意代理ID选项关闭,则代理ID列表的感兴趣流可以配置多组,与华为云VPN策略模式对接时,应该按照此场景配置,两端的感兴趣流必须镜像配置。B):接受对端任意代理ID选项打开,则流量不受代理ID列表配置的感兴趣流的限制。另外打开选项时,代理ID列表手工配置感兴趣流只能配置1组。代理ID选择自动时,山石的SA感兴趣流为安全策略中配置的出入该隧道的网段。         山石策略模式与华为云VPN策略模式对接时,要避免打开接受对端任意代理ID选项,否则会出现部分子网流量不通。         山石策略模式与华为云VPN静态路由模式对接时,要打开接受对端任意代理ID选项。否则多子网场景协商失败。华为报flow mismatch,山石报Proxy id mismatch。
  • 【虚拟专用网络】华为云企业版VPN对接深信服vAF配置指南
    1 组网说明如果客户使用深信服硬件设备,可跳过3.1、3.2 vAF配置部分通过在华为云企业版VPN和华为云部署vAF防火墙之间建立VPN连接,实现region间的数据传输。企业版VPN信息:VPN网关EIP1:123.249.80.12 ,EIP2: 123.249.78.180,企业版VPN子网:192.168.1.0/24、192.168.2.0/24深信服vAF信息:VPN网关 119.3.191.196, vAF侧子网:172.16.1.0/24、172.16.2.0/24因为深信服vAF不支持路由模式,所以不能使用企业版VPN推荐的静态路由模式对接,使用企业版VPN连接的对接;因为深信服vAF不支持双连接,所以只建立1个VPN连接;如果使用深信服硬件设备,建议使用IKEv1的野蛮模式,开启NAT-T配置,详见3.3节2 华为云企业版VPN配置2.1 企业版VPN网关配置创建一个企业版VPN网关,选用双活模式。2.2 客户网关配置2.3 企业版VPN连接配置3 深信服vAF配置3.1 vAF镜像获取及部署参考文档:深信服多云安全平台(MCSP)云下一代防火墙vAF部署实施指导书.pdf1、注册和登陆深信服云安全能力中心https://mcsp.sangfor.com.cn/index.html#/2、进入多云安全平台的系统设置,新增云接入管理账户,将已有华为云账户信息录入。3、进入云安全能力中心的云下一代防火墙AF的详情页面,申请试用。4、试用申请提交通过审批后,应用中心能看到vAF的应用,通过应用部署vAF,并能对创建的vAF进行试用授权5、VPC及相关安全组设置、授权等,请参考vAF部署实施指导书。6、通过https://EIP,登陆vAF,默认用户名和密码admin/admin。版本8.0.35R1。3.2 vAF的IPsec VPN公共配置1、修改接口eth0的接口属性,设置为WAN口,归属区域L3trustA2、登录华为云VPC,给vAF的VPC添加到华为VPN的路由 3、进入IPSecVPN-DLAN运行状态,使能vAF的IPSecVPN能力 4、进入IPSecVPN-基本设置,设置IPSecVPN线路,IPSecVPN线路的公网IP和高级中的VPN接口地址,都设置为vAF虚机的弹性IP地址。 3.3 vAF的IPsec VPN配置 1、配置访问控制策略,放通vAF出防火墙的流量,配置SNAT2、配置IPsecVPN,进入IPSecVPN-第三方对接管理,新增第三方设备。注意相关参数要保持和对端一致。同时加密数据流务必是子网1v1配置。如果使用深信服硬件设备,需要改用IKEv1的野蛮模式,开启NAT-T配置,以下配置以IKEv2对接,NAT-T无法配置4 VPN连接状态检查华为侧vAF侧5 连通性测试