项目概述
目标:为大型企业在云平台上构建高安全等级的远程访问VPN,支持跨区域高可用、与企业身份体系和证书体系集成,并提供可观测性与合规性控制。
推荐方案:
- 主方案:IKEv2/IPsec 远程访问(EAP‑TLS 或证书双向认证),部署在云平台的多可用区(AZ/Zone)VPN网关上,前置UDP负载均衡(如AWS NLB/Azure LB),支持分离隧道(Split Tunnel)与全隧道(Full Tunnel)两种模式。
- 备选方案:SSL VPN(如OpenVPN/TLS 1.3)用于对IKEv2兼容性较差终端的兜底接入,并可与SAML/IdP集成实现MFA。
特性要点:
- 高安全:禁用弱算法与IKEv1,采用AES‑GCM、ECDH(P‑256/P‑384)、SHA‑2,强制双向证书认证,启用CRL/OCSP吊销检查,最小权限访问策略。
- 高可用与可扩展:多AZ/Zone冗余;前置UDP负载均衡;无状态配置自动化;日志/指标集中化;IaC可选。
- 易运维:集中证书生命周期管理,自动化用户证书发放与吊销;集中审计与监控;标准化客户端配置模板。
前置条件
- 云平台基础设施
- 已创建VPC/VNet与子网(至少2个AZ/Zone)
- 边界出入口(IGW/EGW)已就绪
- 安全组/NSG与NACL具备变更权限
- 负载均衡(支持UDP 500/4500)或备用直连公网IP(弹性IP/公共IP)
- 服务器与系统
- 2台以上VPN网关实例(Linux/Ubuntu 22.04 LTS,建议c5/c6或同级实例,至少2ENI,2vCPU/4GB起)
- 时间同步(NTP)与统一日志(如CloudWatch/Log Analytics/Stackdriver)
- 身份与证书
- 企业内部PKI(Root/Intermediate CA,建议HSM托管CA私钥)
- 为网关与用户签发X.509证书(含SAN,EKU:serverAuth/clientAuth)
- 可选:IdP(Azure AD/Entra/Okta)与MDM用于证书/配置下发与MFA策略
- 网络规划
- 虚拟IP地址池(例:10.250.0.0/24)不与现有任何网段重叠
- 内部可访问网段清单(例:10.0.0.0/8、172.16.0.0/12)
- 内部DNS与域名(例:vpn.corp.example)
- 客户端与兼容性
- Windows/macOS/iOS/Android 原生IKEv2客户端
- OpenVPN客户端(备选方案)
配置步骤
以下以Ubuntu 22.04 + strongSwan(charon‑systemd + swanctl)为例,给出可直接执行的配置。示例以“快速部署(SNAT)”为默认;需要无NAT的企业级路由回程时,请参见步骤9B说明。
- 参考拓扑与参数
- 公网入口:UDP 500/4500(IKEv2/NAT‑T)
- 虚拟IP池:10.250.0.0/24
- 内部网段(示例):10.0.0.0/8、172.16.0.0/12
- 内部DNS:10.1.0.10、10.1.0.11
- 网关主机名/FQDN:vpn.corp.example
- 加密套件:
- IKE:aes256gcm16-prfsha384-ecp256 (或 ecp384)
- ESP:aes256gcm16-ecp256 (或 ecp384)
- 生命期:IKE 3h、CHILD 1h,启用PFS,DPD 30s/120s,MOBIKE启用
- 云侧网络与安全
- 打开安全组/NSG入站:
- UDP 500、UDP 4500(0.0.0.0/0 或按地理/IP策略限源)
- 管理访问(SSH 22/TCP,仅限运维源IP)
- 出站允许:
- 到内部网段
- 到CRL/OCSP与时间同步(NTP)
- 多AZ架构:
- 至少两台网关分别位于不同AZ/Zone
- 可选:前置UDP负载均衡(如AWS NLB,监听UDP 500/4500;健康检查可用TCP 8080/HTTP 200自检服务)
- 系统内核与基础包
sudo apt update
sudo apt install -y strongswan strongswan-pki charon-cmd libcharon-extra-plugins \
nftables iptables-persistent unzip curl jq
- 启用内核转发与安全基线
编辑 /etc/sysctl.d/99-vpn.conf:
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 2
net.ipv4.tcp_mtu_probing = 1
net.core.rmem_max = 26214400
net.core.wmem_max = 26214400
生效:
sudo sysctl --system
- 生成与部署证书(示例:strongSwan pki;生产建议使用企业CA/HSM)
mkdir -p ~/pki/{cacerts,certs,private}
chmod 700 ~/pki/private
ipsec pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/ca.key
ipsec pki --self --ca --lifetime 3650 --in ~/pki/private/ca.key \
--dn "C=CN, O=Corp, CN=Corp VPN Root CA" --outform pem > ~/pki/cacerts/ca.crt
- 生成VPN网关证书(CN与SAN需包含FQDN与公网IP):
ipsec pki --gen --type rsa --size 3072 --outform pem > ~/pki/private/vpn.key
ipsec pki --pub --in ~/pki/private/vpn.key | ipsec pki --issue --lifetime 1825 \
--cacert ~/pki/cacerts/ca.crt --cakey ~/pki/private/ca.key \
--dn "C=CN, O=Corp, CN=vpn.corp.example" \
--san "vpn.corp.example" --san "<公网IP>" \
--flag serverAuth --flag ikeIntermediate --outform pem > ~/pki/certs/vpn.crt
- 生成用户证书(每个用户唯一证书,支持设备绑定;示例用户名 alice):
ipsec pki --gen --type rsa --size 3072 --outform pem > ~/pki/private/alice.key
ipsec pki --pub --in ~/pki/private/alice.key | ipsec pki --issue --lifetime 730 \
--cacert ~/pki/cacerts/ca.crt --cakey ~/pki/private/ca.key \
--dn "C=CN, O=Corp, CN=alice@corp" \
--san "alice@corp" --flag clientAuth --outform pem > ~/pki/certs/alice.crt
# 若需PFX以便导入终端
openssl pkcs12 -export -inkey ~/pki/private/alice.key -in ~/pki/certs/alice.crt \
-certfile ~/pki/cacerts/ca.crt -name "alice@corp" -out ~/pki/alice.p12
sudo mkdir -p /etc/ipsec.d/{cacerts,certs,private}
sudo cp ~/pki/cacerts/ca.crt /etc/ipsec.d/cacerts/
sudo cp ~/pki/certs/vpn.crt /etc/ipsec.d/certs/
sudo cp ~/pki/private/vpn.key /etc/ipsec.d/private/
sudo chmod 600 /etc/ipsec.d/private/vpn.key
提示:企业级建议使用现有CA签发,启用CRL/OCSP分发,证书有效期短并自动轮转,丢失设备立即吊销。
- strongSwan核心配置
- /etc/strongswan/strongswan.conf
charon {
load_modular = yes
install_routes = yes
send_vendor_id = yes
syslog {
daemon = info
auth = info
ike = 2
}
plugins {
include strongswan.d/charon/*.conf
eap-tls { load = yes }
x509 { strict_crl_policy = yes }
attr { # 作为兜底;优先以 swanctl 池的属性为准
dns = 10.1.0.10,10.1.0.11
}
}
}
- /etc/swanctl/swanctl.conf
connections {
ikev2-eap {
version = 2
send_cert = always
mobike = yes
proposals = aes256gcm16-prfsha384-ecp256,aes256gcm16-prfsha384-ecp384
rekey_time = 3h
dpd_delay = 30s
dpd_timeout = 120s
local_addrs = 0.0.0.0
local {
auth = pubkey
certs = /etc/ipsec.d/certs/vpn.crt
id = vpn.corp.example
}
remote {
auth = eap-tls
eap_id = %any
}
children {
clients {
mode = tunnel
start_action = trap
rekey_time = 1h
dpd_action = clear
esp_proposals = aes256gcm16-ecp256,aes256gcm16-ecp384
local_ts = 0.0.0.0/0
}
}
pools = vpnpool
}
ikev2-cert {
version = 2
send_cert = always
mobike = yes
proposals = aes256gcm16-prfsha384-ecp256,aes256gcm16-prfsha384-ecp384
rekey_time = 3h
dpd_delay = 30s
dpd_timeout = 120s
local_addrs = 0.0.0.0
local {
auth = pubkey
certs = /etc/ipsec.d/certs/vpn.crt
id = vpn.corp.example
}
remote {
auth = pubkey
id = %any
}
children {
clients {
mode = tunnel
start_action = trap
rekey_time = 1h
dpd_action = clear
esp_proposals = aes256gcm16-ecp256,aes256gcm16-ecp384
local_ts = 0.0.0.0/0
}
}
pools = vpnpool
}
}
pools {
vpnpool {
addrs = 10.250.0.0/24
dns = 10.1.0.10,10.1.0.11
# 分离隧道:向客户端下发仅企业网段路由(示例)
split_include = 10.0.0.0/8,172.16.0.0/12
# 全隧道:请移除 split_include,并在客户端侧关闭Split Tunneling
}
}
加载并启动:
sudo systemctl enable strongswan-starter
sudo systemctl restart strongswan-starter
# 或使用 charon-systemd/swanctl
sudo swanctl --load-all
- 防火墙与NAT(快速部署模式:SNAT)
- 允许IKEv2与管理访问,启用MSS钳制,SNAT虚拟IP池到内网(便于回程不改路由)
# 入站允许
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 500 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPT
sudo iptables -A INPUT -p esp -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -s <你的运维源IP/CIDR> -j ACCEPT
sudo iptables -P INPUT DROP
# 转发与MSS钳制
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -s 10.250.0.0/24 -d 10.0.0.0/8 -j ACCEPT
sudo iptables -A FORWARD -s 10.250.0.0/24 -d 172.16.0.0/12 -j ACCEPT
sudo iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# SNAT:使内网主机回包无需额外路由(推荐先期使用;后期可切换为无NAT模式)
sudo iptables -t nat -A POSTROUTING -s 10.250.0.0/24 -d 10.0.0.0/8 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 10.250.0.0/24 -d 172.16.0.0/12 -j MASQUERADE
# 持久化
sudo netfilter-persistent save
- 负载均衡与高可用(可选但强烈建议)
- 部署多台网关分别在不同AZ/Zone,前置UDP负载均衡(如AWS NLB或Azure Standard LB):
- 监听:UDP/500、UDP/4500
- 健康检查:使用TCP/8080(在网关上运行一个仅本VPC可访问的健康检查服务,如nginx或简易tcp-echo)
- 会话保持:依赖四元组哈希;单实例故障时,现有隧道会中断,客户端自动重连至健康实例
- 网关无状态配置:将swanctl.conf/证书/防火墙规则以用户数据或CM工具(Ansible/SSM/Cloud-Init)自动化下发
- 回程路由方案
- A. 快速部署(SNAT,见步骤7):无需修改内网路由,适用于快速上线与存量网络复杂场景
- B. 无NAT(企业路由):
- 目标:内网主机对10.250.0.0/24的流量路由回VPN网关(或经中枢路由/防火墙)
- Azure:使用UDR将10.250.0.0/24指向NVA NIC
- AWS:推荐通过Transit Gateway + 第三方防火墙/NVA或Gateway Load Balancer链路实现回程引流(并在相关路由表中为10.250.0.0/24配置下一跳);请确保网关实例已关闭Source/Dest Check并具备对称路由
- GCP:使用自定义静态路由将10.250.0.0/24指向NVA实例NIC(需开启IP转发并配置防火墙)
- 优点:更高可见性与端到端真实源地址;缺点:网络变更要求高,需更严谨的路由与对称性设计
- 客户端配置概要
- 证书分发:
- 导入Root/Intermediate CA到“受信任的根证书”存储
- 每个用户导入其专属PFX(含私钥与中间证书;保护强口令)
- Windows(示例,证书认证):
Add-VpnConnection -Name "CorpIKEv2" -ServerAddress "vpn.corp.example" `
-TunnelType IKEv2 -AuthenticationMethod MachineCertificate `
-SplitTunneling $true -EncryptionLevel Maximum -PassThru
# 如需强制算法,可配合 CSP/EAP 配置文件或组策略
- macOS/iOS:使用MDM/配置描述文件(Profile)下发IKEv2,指定服务器FQDN、证书与分离隧道路由
- Android:原生IKEv2或StrongSwan App,导入P12与CA,设置服务器FQDN
- 若需EAP‑TLS(用户名证书)用于Windows用户级认证,可在swanctl启用ikev2‑eap连接,客户端选择EAP‑TLS并导入用户证书
- 日志与监控
- 启用系统日志转发至云日志服务
- 关键指标:并发隧道数、重协商/失败率、DPD事件、吞吐/带宽、CPU/内存、磁盘/队列
- 启用告警:失败率突增、CPU/连接数接近阈值、证书即将过期
验证方法
服务端验证
sudo systemctl status strongswan-starter
sudo journalctl -u strongswan-starter -f
sudo swanctl --list-sas
sudo ss -ulpn | egrep '500|4500'
sudo tcpdump -nni any udp port 500 or udp port 4500
sudo ip -s xfrm state
ip route
sudo iptables -S
sudo iptables -t nat -S
客户端验证
- 建立连接后检查:
- 是否分配到虚拟IP(10.250.0.0/24)
- 能否解析内部域名(使用企业DNS)
- 能否访问目标内网地址与业务端口
- 分离隧道:互联网访问应走本地;内网流量走隧道
- 全隧道:0.0.0.0/0应经隧道,公网出口为云侧EIP
- 检查路径与MTU:
- ping 内网地址(DF位)、调整MSS如有分片/丢包
- 证书链与吊销:
- 确认客户端信任链完整、未过期、未吊销;系统时间正确
安全注意事项
- 禁用过时协议/算法:禁用IKEv1、3DES、MD5、DH Group < 14;使用AES‑GCM、SHA‑2、P‑256/P‑384
- 强身份认证:
- 首选EAP‑TLS或双向证书认证;避免EAP‑MSCHAPv2等弱机制
- 用户证书一人一证、短周期(≤1年)+自动轮转;设备私钥受TPM/安全区保护
- 吊销与合规:
- 启用CRL/OCSP并设为严格策略(strict_crl_policy = yes)
- 丢失/离职即刻吊销;定期审计活跃证书与连接日志
- 最小权限与分离隧道:
- 默认分离隧道,仅下发必要网段;全隧道仅在合规/流量审计场景启用
- 在网关与内网防火墙实施细粒度访问控制(源=VPN池或用户组)
- 防暴力与暴露面最小化:
- 将UDP 500/4500仅限可信地域/ASN(如可能)
- SSH仅限堡垒机/管理网段;网关及时打补丁
- 可观测性与事件响应:
- 全量日志集中化,保留与加密存储;建立基线与告警阈值
- 定期压测与故障演练(单AZ故障/证书过期/峰值连接)
故障排查
常见问题与解决
- 无法协商/IKE失败
- 检查UDP 500/4500放行、NAT‑T、负载均衡后端健康
- 证书CN/SAN与服务器FQDN匹配;时间同步;CA链完整;吊销检查
- 查看服务端日志:journalctl -u strongswan-starter,swanctl --list-sas
- 已连通但无法访问内网
- 快速部署(SNAT)模式:确认nat表POSTROUTING已对VPN池到内网MASQUERADE
- 无NAT模式:内网路由未指向VPN网关/中枢;在Azure用UDR,AWS考虑TGW/GWLB方案
- 安全组/NSG/内网ACL未放行应用端口
- 间歇性断开/重协商频繁
- DPD/MOBIKE不匹配;NAT设备保活较短;网络抖动
- 适当增大DPD超时;检查负载均衡健康检查与实例弹性
- 访问慢/吞吐不足
- 查看CPU加密开销(AES‑NI);实例规格偏小;算法过重(可在保证合规前提下选P‑256)
- 启用MSS钳制;端到端MTU探测;避免跨区域流量回源
- 证书导入失败/客户端不信任
- 根/中间CA未导入到受信任存储;PFX口令错误;EKU/用途不匹配(需serverAuth/clientAuth)
- Windows仅支持用户名密码而非证书
- 请切换EAP‑TLS并下发用户证书(或使用MDM/组策略推送EAP配置XML)
- 多AZ切换连接中断
- IKEv2为有状态协议,实例故障时隧道需重建;确保客户端重试策略合理,并将两个网关都纳入DNS(低TTL)或通过UDP LB承载
诊断命令速查
# 服务与SAs
swanctl --list-sas
swanctl --log
journalctl -u strongswan-starter -f
# 抓包
tcpdump -nni any udp port 500 or udp port 4500
tcpdump -nni any host <client_virtual_ip> and not udp port 500 and not udp port 4500
# 内核IPsec状态/策略
ip -s xfrm state
ip -s xfrm policy
# 防火墙与路由
iptables -S
iptables -t nat -S
ip route
可选:SSL VPN 兜底(简述)
- 组件:OpenVPN/TLS 1.3,mTLS + SAML(IdP)双因子;推送Split/Full路由与DNS
- 适用:不支持IKEv2的终端/运营策略需要门户与SSO
- 注意:同样禁用弱算法,证书与IdP集成需审计与吊销闭环
以上方案遵循高安全等级与行业最佳实践,部署时请结合贵司的云平台(AWS/Azure/GCP)具体路由能力与合规要求微调参数与回程方案。若需要,我们可进一步提供针对特定云平台的自动化脚本(Terraform/Ansible)与客户端MDM配置模板。
