企业站点互联,还在为云厂商高昂的VPN网关费用而肉疼吗?
我们前面测试了将腾讯云的轻量应用服务器作为openVPN网关来使用(腾讯云轻量服务器实测:跑openVPN能到30Mbps!这性价比绝了),发现效果还不错。后来又测试了L2TP VPN这一传统协议(每月40元实现异地组网!用家用路由器+L2TP协议,在腾讯云上搭建企业级VPN枢纽),用起来也还行。
但是,对于传统的企业网关而言,应该还是比较喜欢用IPsec VPN(飞塔FortiGate的IPsec VPN应该怎么配?),那我们不妨在这台主机上再测试一下部署我们的基于strongSwan的IPsec VPN管理系统(IPsec穿越NAT太难?用这个strongSwan管理系统,固定/动态IP分支都能轻松接入)。
脚本的适配性还是很强的,一把成功!
然后我试了一下,好像发现了腾讯云的拦截规律,要么是通过80、443这些标准端口进行访问的请求,要么是通过非腾讯云域名配置的DNS解析。
跳过这两个限制,直接使用IP地址+端口是可以正常访问的。
那么,接下来,我们演示一下H3C路由器如何通过WEB页面配置与这个IPsec VPN管理系统的对接。
首先,在H3C路由器的管理页面,进入到【虚拟专网】下的【IPsec VPN】管理页面,单击IPsec策略列表左上角的【添加】按钮。
在添加IPsec策略配置页面,指定一个名称,接口选择WAN接口,组网方式选择【分支节点】,并且配置对端网关地址为VPN网关的公网IP地址。
需要注意的是,通过WEB页面进行配置时,认证方式仅支持【预共享密钥】,配置一个预共享密钥;再配置一个保护流,这里也就对应strongSwan的child_SA,需要配置多个,不如我们的系统灵活。
然后,进入到高级配置页面。在IKE配置中,协商模式选择【野蛮模式】,本端身份类型选择FQDN,并填入h3c,对端身份类型选择FQDN,并填入shanghai。DPD超时时间配置为30秒,算法选择推荐的默认配置【DES-SHA1-GROUP1】。
在IPsec配置中,算法组合依旧使用推荐的【ESP-SHA1-3DES】,封装模式选择【隧道模式】,PFS选择【DH group 1】,触发模式选择【自协商模式】。
最后,单击【返回基本配置】,并单击【确定】完成创建。
接下来,进入到我们的IPsec VPN管理系统。在一阶段配置中,调整以下配置,保持与H3C路由器侧一致。
在二阶段配置中,调整以下配置,保持与H3C路由器侧一致。
保存配置,完成创建。
协商成功!
就这样一个操作,能帮我们省多少钱呢?
不算不知道,一算吓一跳。就拿腾讯云的VPN网关来说,最便宜的5 Mbps带宽都要380 元/月,而我们这个最高能到200 Mbps的轻量云主机一个月才40 元,相同带宽的VPN网关月费来到了16880 元/月,一下子就省了99.7 %。
对于阿里云而言,VPN网关分为实例费和带宽费。
5 Mbps的VPN网关折合375 元/月,200 Mbps的规格折合16805 元/月,也是价格不菲。
除此之外,腾讯云和阿里云的SSL VPN虽然都是直接使用的openVPN方案,但连接数费用可不便宜呦。
如果你用我们的openVPN管理系统,这部分钱就完全省下了!
通过这次实践,我们再次证明:在云时代,通过适当的技术投入实现服务自建,能带来巨大的成本优化空间。这对于预算敏感、但又需要稳定网络连接的中小企业、工作室和技术爱好者而言,价值非凡。
你是否也曾被云服务的账单惊吓过?欢迎在评论区分享你的云上省钱妙招!
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/5812.html
