如何在亚马逊虚拟私有云（VPC）和EC2中使用IPSec / Openswan？

更新

AWS刚刚取消了使用内置VPN连接到Amazon Virtual Private Cloud (VPC)的建立边界网关协议（BGP）对等连接的要求，详见Amazon VPC - Additional VPN Features：

现在，您可以使用静态路由创建到VPC的硬件VPN连接。这意味着您可以使用不支持BGP的VPN设备，例如Cisco ASA和Microsoft Windows Server 2008 R2。您还可以使用Linux来建立与VPC的硬件VPN连接。实际上，任何IPSec VPN实现都应该可以工作。[我强调]

此更改的概述原因特别强调BGP作为先前阻碍采用此非常吸引人的VPN连接到VPC的障碍：

首先，BGP可能很难设置和管理[...]。其次，一些防火墙和入门级路由器支持IPSec但不支持BGP。这些设备在企业分支机构中非常流行。正如我上面提到的，此更改大大增加了可用于连接到VPC的VPN设备数量。[...]

我非常同意-因此，您现在应该能够使用Openswan（或内置的Linux IPSec堆栈）来连接到相应的内置VPC IPSec功能。

---

初始答案

基于Racoon的相关教程可在Amazon VPC with Linux上找到。但是，在您深入研究之前，我强烈建议先阅读相关文章Connecting to Amazon VPC，至少要看Using Linux as VPN Server部分：

假设您已经决定使用某些Linux作为VPN服务器。对于一个IPSec新手来说，没有明显的理由表明这是一个不好的想法。因为很快就会找到像http://openfoo.org/blog/amazon_vpc_with_linux.html这样的教程，似乎可以完成这个任务。按照这个教程，您应该能够从VPN服务器ping通两个BGP服务器。但是在那之后，您将开始遇到麻烦。也许您能够连接到VPC中的服务器。但有一件事情无法稳定地运行：从VPC连接到家庭网络192.168.1.1/24中的某个服务器。这是因为Linux采用基于策略的IPSec实现。因此作者得出结论：最后也是最重要的原因是，Openswan并不打算以这种方式使用。在安全相关的地方滥用软件似乎不是一个好主意。您可能会有所不同，但是您已经被警告了;)