求问个网络问题，关于两个子网间使用 IKEv2 做 Peering

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2524 天前的主题，其中的信息可能已经有所发展或是发生改变。

Azure 上有 Virtual Gateway，使用 IKEv2 可以做 site-to-site vpn。本地有一台 Mikrotik 的 x86 虚机，无公网 IP （这个机器在家里路由器后面），但是可以去 Azure 上面搞一台虚机有公网 IP 的。请问这种情况下可以做 peering 么？谢谢！

虚机

peering

IKEv2

Azure

29 条回复 • 2018-01-13 13:56:26 +08:00

mandymak

2017-12-17 13:09:58 +08:00

@thetast 试试在 azure 搞台 ubuntu 16 装 ROS CHR，这样才可以。

zhjits

2017-12-17 20:13:20 +08:00

羡慕有钱买 Azure 网关。
可以，IKEv2 本来就有 NAT-T 模式，如果两边都支持的话连上就好了。

thetast

2017-12-17 21:44:18 +08:00

@mandymak 感谢，装完 ROS CHR 之后，应该是怎么个配置法？是以什么样的链接做配置？
@zhjits 实验干活需要 -_-，上网不靠网关 :D。主要问题是我在家里的网络上配置了 VPN，所以变成没办法重叠一个 NAT-T 再在上面。同时配置的时候需要一个固定 IP - 否则每次家里的 IP 一变就断网了。想说用一台 Azure 虚机，然后本地连上去 NAT 出去搞定这个。

mandymak

2017-12-17 23:11:26 +08:00

@thetast 装完后上 mikrotik 网站注册一个账号，然后在 ros 上用该账号激活 P1 授权，免费试用 60 天。最后配个 L2TP 服务器好了，最简单，只用 UDP 1701 端口，不用担心 IPSec 议等不通过。

thetast

2017-12-17 23:47:35 +08:00 via Android

@mandymak 这个倒是已经有了，但是连上之后您建议是用 CHR 那台机器 ipsec 外面？

goodryb

2017-12-18 10:17:05 +08:00

是不是解决公网 IP 的问题更实际一些，虽然公网 IP 会变，但配置起来简单一些

thetast

2017-12-18 10:45:37 +08:00

@goodryb 其实是因为我自己的公网 IP 已经有一个 VPN 接入我自己的网络了。这个实验的网络想分开做。

mandymak

2017-12-18 11:16:21 +08:00

@thetast 其实我的情况跟你相同，我主路由器建了 IPsec，另外有一台 routeros 作为 l2tp 客户端用主路由器的线路，互相并不影响。

zhjits

2017-12-18 12:11:12 +08:00

@thetast 如果你需要一边动态 IP 的 IPSec，可以参考我的配置 https://blog.swineson.me/routeros-gre-over-ipsec-vpn-with-dynamic-ip/

thetast

2017-12-18 13:14:45 +08:00 via Android

@zhjits 感谢～

mandymak

2017-12-18 14:03:55 +08:00

@zhjits 感谢大神！一直在用你的 CHR 安装脚本。

julyclyde

2017-12-19 14:14:10 +08:00

@mandymak lz 问的可不是 L2TP over IPSec

mandymak

2017-12-19 14:56:04 +08:00

@julyclyde 的确楼主问的不是 L2TP over IPSec，我建议的也不是 L2TP over IPSec，是纯 L2TP。因为楼主的情况跟我的情况相似，都是主路由器有条 Site to site IPSec，现在想在副路由器上再架一条 site to site IPSec，但副路由器上没有公网 IP，这样配置起来会有些困难，所以我才建议用纯 L2TP。

julyclyde

2017-12-19 16:58:33 +08:00

@mandymak 纯 L2TP 貌似挺非主流的？有些操作系统配不出来这个吧？

mandymak

2017-12-19 17:34:15 +08:00

@julyclyde 楼主主要是做 site to site，而且两端都是 RouterOS，而且 RouterOS 还支持 PPTP、Open 和 SSTP 等。

diguoemo

2017-12-21 02:34:06 +08:00 via Android

传统 vpn 协议流量稍微一大，功夫网教你做人。不停闪断连接

mandymak

2017-12-21 09:39:34 +08:00

@diguoemo 楼主没说是国内连国外 azcure 啊！可能是国内连国内 azure 呢！要是真是国内连国外 azure，最好是国内 azure 连国外 azure。

thetast

2017-12-21 14:48:27 +08:00 via Android

@mandymak 国外 Azure. 连回来的基本上还好

mandymak

2017-12-21 15:16:45 +08:00

@thetast 国内 azure 连国外 azure 有特殊加成。

terrancesiu

2017-12-21 16:00:13 +08:00

@mandymak 没那么复杂在 ubuntu 里套 chr，我直接上次的 img 转换后的 vhd 做的虚拟机跑了一年没问题。

terrancesiu

2017-12-21 16:09:29 +08:00

平时很爽，开会就真的如 @diguoemo 那样说的教你做人。我是两端都是 routeros chr，跑 gre over ipsec。当然 tcp80、8080、443 这三个目的端口的流量依然走主流移民方式。

mandymak

2017-12-21 16:16:12 +08:00

@terrancesiu 是把 CHR img 还是 x86 img 转换成 vhd ？用甚么软件转换？要是用 x86 img 转的话 key 还在吗？

terrancesiu

2017-12-21 16:27:22 +08:00

@mandymak 用“ StarWind V2V Image Converter ” 这软件把官网下载 chr-xxx.img 文件转换为 vhd，转换时候要选择 microsoft vhd pre-allocated image ；然后用 Microsoft Azure Storage Explorer 把 vhd 文件传到你的 blob 里，再到 azure 控制台里建立一个磁盘，然后通过这个磁盘创建一个虚拟机就行。至于 x86 img 没用过，我本地远程都是跑的 chr 的镜像。授权也不贵淘宝就有。

mandymak

2017-12-21 16:40:55 +08:00

@terrancesiu 好的，谢谢！

mandymak

2018-01-11 22:57:04 +08:00

@zhjits 您好！你写的 ubuntu 安装 ros 脚本在阿里云上无法使用了。

zhjits

2018-01-12 19:51:34 +08:00

@mandymak 具体哪里炸了能看到么，或者故障时候的 VNC 截图

mandymak

2018-01-12 21:14:02 +08:00

@zhjits 炸在 mount /dev/nbd0p2 /mnt 这里。

zhjits

2018-01-13 12:49:59 +08:00

@mandymak lsmod | grep nbd 有输出么

mandymak

2018-01-13 13:56:26 +08:00

@zhjits 诡异了！弄了两天都出现同样的错误，今天却能顺利安装了。都是同一台 ECS 实例，同样先卸云盾后用脚本的步骤。