成本省下99.7%！用40元的腾讯云服务器自建IPsecVPN，成功对接企业级飞塔防火墙

我们的性价比神器——腾讯云200Mbps的锐驰型轻量应用服务器，又要解锁新成就了！此前，我们已经介绍了他的几个典型场景：用作openVPN管理系统（腾讯云轻量服务器实测：跑openVPN能到30Mbps！这性价比绝了），用作LNS（每月40元实现异地组网！用家用路由器+L2TP协议，在腾讯云上搭建企业级VPN枢纽），用作基于strongSwan的IPsec VPN管理系统，我们还做了跟H3C路由器的配置演示（节省99.7%！我用40元的腾讯云服务器，自建了企业级IPsec VPN，替代16800元/月的商用服务）。
使用成本上，我们跟腾讯云的VPN网关做了对比，200 Mbps的VPN网关要16880 元/月，相比节省99.7 %；就算是被严重QoS，限制到30 Mbps，也价值2880 元/月，相比节省98.6 %；最差情况下，比380元/月的5 Mbps还能节省90 %呢。而且，我们可以同时支持IPsec、openVPN和L2TP这些主流协议，功能简直不要太强大！
今天，我们继续更新一个IPsec VPN管理系统跟飞塔防火墙对接的配置案例。
其实，在很久之前，我们介绍过飞塔防火墙对接strongSwan（strongSwan对接飞塔防火墙），命令行进行操作，还挺复杂的。现在，有了这个系统，只要点点鼠标就行了，再也体会不到抓包、debug排障的乐趣了！
本次演示，我们先配置复杂一点的飞塔防火墙，使用的是比较新的固件版本v7.6.5 build3651，整体上跟老版本差异不大。

开始之前，先测试一下网络可达性。

没有问题，接下来，好戏开场！
首先，在【VPN】下的【VPN隧道】页面，单击左上角的【新建】按钮，选择【自定义IPsec隧道】

网络配置部分，IP版本选择【IPv4】，远程网关选择【静态IP地址】，并填入VPN网关的IP地址，接口选择连接互联网的WAN口port1。

注意，飞塔这里增加了一个传输选项，默认选择【自动】，此时会在常规IKE协商超时之前尝试使用TCP封装进行IKE协商，其实是一个私有方案，跟其他厂商无法对接。而且，IKE TCP和HTTPS使用相同的端口，会影响管理访问。所以，除非是两台飞塔防火墙进行对接，否则选择【UDP】就可以了。

然后是认证部分，我们使用预共享密钥方法，飞塔限制密钥长度不少于6位，我们配置为swan40。IKE版本我们选择【版本2】，这里的配置就简单多了。

第一阶段提案部分，加密算法只有【DES】，身份验证算法选择【SHA1】，DH Group选择一个大一点的21，配置本地ID为fortigate。

然后，单击阶段2选择器的【新建按钮】，创建一个保护兴趣流。

基础配置部分，配置名称，封装模式选择【隧道模式】，IP版本选择【IPv4】，并配置本段地址和远程地址。

高级配置部分，加密算法还是仅支持【DES】，身份验证算法选择【SHA1】，DH Group选择一个大一点的20，自动协商配置为【启用】，单击【OK】完成阶段2选择器配置。

返回新建VPN隧道页面，单击【OK】完成隧道创建。
现在，因为防火墙的策略限制，流量还不能出防火墙，我们需要到【策略&对象】下的【防火墙策略】，添加两条策略。

第一条是允许本地访问VPN网关的，配置流入接口、流出接口、源&目标。同样的操作，将流入接口和流出接口对调，源地址和目标地址对调，增加第二条允许VPN网关访问本地的防火墙策略。

然后，进入到网络下的静态路由配置页面，添加一条去往10.0.4.0/22的静态路由，接口选择新建的IPsec VPN接口。

好了，飞塔防火墙的配置就基本完成了，我们接下来配置VPN网关。
咱们的VPN网关的配置就简单多了，首先是一阶段配置。

IKE版本选择IKEv2，因为飞塔防火墙位于NAT设备后面，没有固定IP地址，对端IP地址配置为%any，指定对端ID为fortigate，并按照飞塔设备的算法配置，调整认证算法、加密算法和PFS算法。

二阶段配置部分，填入本端网段、对端网段，并按照飞塔设备的算法配置，调整ESP加密算法、ESP认证算法和PFS算法，就完成IPsec连接的创建了。
因为飞塔设备商启用了DPD和自动协商，通过日志我们可以看到，设备每隔30秒自动触发一次协商，在我们完成云端VPN网关配置的瞬间，隧道便自动协商成功！

检查飞塔防火墙的VPN状态。

完全正常，执行traceroute命令追踪路径（速速收藏！这么详细的traceroute命令介绍你见过吗？），数据包通过IPsec隧道一跳直达云端对端网络，企业级站点互联，就此轻松实现！
再次验证！通过这个案例，我们不仅掌握了飞塔防火墙的IPsec配置，更再次证明了基于开源软件和低成本云服务器的方案，在功能上足以媲美甚至超越昂贵的商业云服务。这为中小企业实现灵活、低成本、高性能的混合云组网提供了极具吸引力的选择。
你的网络中还有哪些设备等待与云端握手？欢迎在评论区留言！