我想使用 IPSec (Vyatta) 与 AWS 建立 VPN 隧道。
有一些事情我无法弄清楚:如何在不必为客户网关配置静态 IP 的情况下使其工作?
我希望客户端建立连接,因为客户端的公共 IP 可能会因使用 ADSL/VDSL 访问而改变。
当我尝试配置 VPN 时,我收到以下关于未配置本地地址的警告:
Warning: Local address MY_PUBLIC_IP specified for peer "AWS_PUBLIC_IP"
is not configured on any of the ipsec-interfaces and is not the
clustering address. IPsec must be re-started after address
has been configured.
如果客户端的网关设备有 DDNS 选项,您可以为其分配 DDNS 域名。这样,您就不必担心 IP 更改,因为域名是不变的。
听起来您正在使用网关到网关隧道。最近有点涉足 IPSec,我也遇到了同样的问题。不幸的是,我无法在隧道两端不使用静态 IP 的情况下克服这个问题。
我发现只要我通过 NAT 将 UDP 500 和 UDP 4500 转发到内部 IP,我就可以让它在 NAT 后面工作。但是一旦您的公共 IP 更改,隧道就会断开,您需要重新配置所有内容。
在我的特殊情况下,设备似乎不支持使用 DNS 解析 IP。两端仅支持 IP 地址。
如果您最终无法获得静态 IP,那么为什么不尝试使用 IPSEC+NAT-T?如果 AWS 也支持 NAT-T,那么这将是建立隧道的最佳解决方案。
正如 Dave 指出的那样,当您的网关更改 WAN IP 时,您可能需要考虑这个问题。根据我对 IPSEC 的经验,我们将 StrongSwan IPsec 与 NAT-T 一起使用,并且它完美地工作。
我还建议您在网关中加载基于 Open WRT 的发行版,以便在使用 IPSec 时具有更大的灵活性