我们前面经过不懈努力,开了发三个版本的openVPN管理系统。其中,V1版本仅支持管理证书(告别命令行复杂的证书管理!可视化OpenVPN证书管理系统实战,一键发证、过期提醒全搞定);V2版本阉割了服务器证书管理(OpenVPN管理竟能如此简单?实时监控、固定IP、强制下线,运维效率翻倍),但是与服务器深度融合,支持对客户端状态进行监控;V3版本进一步优化了多因子认证功能(OpenVPN管理迎来终极形态:支持6种多因子认证,安全等级拉满,运维效率飙升!),支持6种认证方式的组合,openVPN管理能力基本完善。
除了openVPN,另一个用得比较多的就是strongSwan了。我们前面介绍了不少strongSwan的文章,包括软件基础配置(strongSwan之ipsec.conf配置手册、strongSwan之ipsec.secrets配置手册),还有与其他厂商设备的对接(strongSwan对接飞塔防火墙、strongSwan穿越NAT与公网VSR对接IPsec配置案例、用WireShark抓包解决StrongSwan和H3C对接失败的问题)。
凡是配过IPsec VPN的技术人,都有一把辛酸泪。一阶段、二阶段、加密套件、
现在,有了CodeBuddy这位得力干将的加持,我把strongSwan的配置管理也做成了WEB管理页面——IPsec VPN管理系统,旨在通过点点鼠标,就能完成strongSwan与各类网络设备的IPsec隧道一键对接,将复杂留给系统,将简便留给用户,给网络配置提提速!
登录页面还是一样的风格。
管理页面走的是极简风格,顶部是硕大的系统标题,强化系统定位。下面分为两大模块:IPsec连接列表和系统信息,包含strongSwan版本信息、监听接口和支持的算法信息。
右上角的管理员账号管理中,增加了修改密码的选项
单击【新建连接】按钮,就可以创建一个IPsec连接了。配置参数严格遵循IPsec协商过程,分为了一阶段IKE配置和二阶段IPsec配置,傻瓜式配置一目了然。
接下来,我们以strongSwan和H3C对接为例,演示一下配置过程。
一阶段IKE配置中,除了框选的部分之外,都是默认配置。其中,必填项为:连接名称、本端IP地址、对端IP地址、认证方式参数。
二阶段IPsec配置中,没有必填项,但是建议配置本端网段和对端网段,支持以换行方式配置多个网段。框选部分是我调整的内容。
最后,单击底部的【创建】按钮就完成了连接的创建。
创建完成之后,在IPsec连接列表中,我们可以查看连接关键信息及协商状态,支持修改、删除IPsec连接,并检查协商日志信息。
参考以上配置,接下来就是配置比较拿手的H3C设备了,按照strongSwan的配置进行调整(对比华三设备配置,讲解Linux主机如何配置strongSwan),直接上配置:
#
ike keychain swan
pre-shared-key address 10.25.1.5 255.255.255.0 key simple swan
#
ike proposal 10
encryption-algorithm aes-cbc-128
authentication-algorithm sha256
#
ike profile swan
keychain swan
local-identity address 10.25.1.2
match remote identity address 10.25.1.5 255.255.255.0
proposal 10
#
acl advanced 3402
rule 0 permit ip source 10.241.1.0 0.0.0.255 destination 10.115.1.0 0.0.0.255
rule 5 permit ip source 10.115.1.0 0.0.0.255 destination 10.241.1.0 0.0.0.255
#
ipsec transform-set swan
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha256
#
ipsec policy swan 10 isakmp
transform-set swan
security acl 3402
local-address 10.25.1.2
remote-address 10.25.1.5
ike-profile swan
#
interface GigabitEthernet4/0
ipsec apply policy swan
如果是先配置的H3C一侧,那配置完strongSwan一侧之后,会自动触发协商。但如果先配置了strongSwan一侧,则要在H3C一侧手动触发一下。
可以看到,跟手工配置一样,网络一触即达!
并且IPsec VPN管理系统支持自动刷新和手动刷新,协商建立之后会自动同步状态,显示为【协商成功】。同时,可以监控收发流量信息。
协商日志也可以直接常看协商过程,如果协商失败,方便排查问题原因。
检查系统底层状态信息,与前端展示完全一致。
果然,有我这么优秀的产品经理,再加上CodeBuddy这位得力干将,简直就是优秀的想法拿到了优秀的工具,碰撞出了高效的火花,开发这些专业系统也能像张飞吃菜芽——小菜一碟!让运维更简单,是我们不懈的追求!
对了,腾讯云体验CodeBuddy免费领Lighthouse轻量应用云主机的活动,
马上到月底12月31日就结束了,想体验的赶紧上车!官方活动链接如下:
https://cloud.tencent.com/act/pro/codebuddy-lighthouse
官方活动指导如下:
https://cloud.tencent.com/developer/article/2580199
领取后用来测试一下我这个项目,也是挺不错的!
不知道大家感觉这套系统怎么样?有什么意见和建议呢,欢迎评论区留言交流。
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/4867.html
