Я пытаюсь установить VPN-соединение IPSec между нашей корпоративной сетью и виртуальным частным облаком Amazon, используя их систему VPN и сервер Linux. К сожалению, единственное руководство, которое я нашел, обсуждает, как настроить туннель, используя хост-машину Linux и получить эту машину linux для доступа к экземплярам VPC, но я не могу найти в Интернете обсуждения о том, как получить экземпляр для доступа к корпоративной сети. (или остальной интернет через эту сеть).
Сетевая информация
Local subnet: 10.3.0.0/25
Remote subnet: 10.4.0.0/16
Tunnel 1:
Outside IP Addresses:
- Customer Gateway: : 199.167.xxx.xxx
- VPN Gateway : 205.251.233.121
Inside IP Addresses
- Customer Gateway : 169.254.249.2/30
- VPN Gateway : 169.254.249.1/30
Tunnel 2:
Outside IP Addresses:
- Customer Gateway: : 199.167.xxx.xxx
- VPN Gateway : 205.251.233.122
Inside IP Addresses
- Customer Gateway : 169.254.249.6/30
- VPN Gateway : 169.254.249.5/30
Вот мой /etc/ipsec-tools.conf:
flush;
spdflush;
spdadd 169.254.249.2/30 169.254.249.1/30 any -P out ipsec
esp/tunnel/199.167.xxx.xxx-205.251.233.121/require;
spdadd 169.254.249.1/30 169.254.249.2/30 any -P in ipsec
esp/tunnel/205.251.233.121-199.167.xxx.xxx/require;
spdadd 169.254.249.6/30 169.254.249.5/30 any -P out ipsec
esp/tunnel/199.167.xxx.xxx-205.251.233.122/require;
spdadd 169.254.249.5/30 169.254.249.6/30 any -P in ipsec
esp/tunnel/205.251.233.122-199.167.xxx.xxx/require;
spdadd 169.254.249.2/30 10.4.0.0/16 any -P out ipsec
esp/tunnel/199.167.xxx.xxx-205.251.233.121/require;
spdadd 10.4.0.0/16 169.254.249.2/30 any -P in ipsec
esp/tunnel/205.251.233.121-199.167.xxx.xxx/require;
spdadd 169.254.249.6/30 10.4.0.0/16 any -P out ipsec
esp/tunnel/199.167.xxx.xxx-205.251.233.122/require;
spdadd 10.4.0.0/16 169.254.249.6/30 any -P in ipsec
esp/tunnel/205.251.233.122-199.167.xxx.xxx/require;
Вот мой /etc/racoon/racoon.conf:
remote 205.251.233.122 {
exchange_mode main;
lifetime time 28800 seconds;
proposal {
encryption_algorithm aes128;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy off;
}
remote 205.251.233.121 {
exchange_mode main;
lifetime time 28800 seconds;
proposal {
encryption_algorithm aes128;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy off;
}
sainfo address 169.254.249.2/30 any address 169.254.249.1/30 any {
pfs_group 2;
lifetime time 3600 seconds;
encryption_algorithm aes128;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
sainfo address 169.254.249.6/30 any address 169.254.249.5/30 any {
pfs_group 2;
lifetime time 3600 seconds;
encryption_algorithm aes128;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
BGP работает нормально, поэтому я не собираюсь публиковать эти конфиги.
Вот что работает
- Из окна Linux я могу пропинговать локальные конечные точки (169.254.249.2/169.254.249.6) и их удаленные эквиваленты (169.254.249.1/169.254.249.5).
- Я также могу пинговать экземпляры в VPC, SSH к ним и т. Д.
- Из удаленных экземпляров в VPC я также могу пропинговать локальные и удаленные конечные точки
- Я не могу пропинговать локальные серверы в подсети 10.3.0.0/25
Я предполагаю, что упускаю что-то простое, но я попытался добавить записи в ipsec-tools.conf, чтобы отразить {локальную конечную точку} <-> {удаленную подсеть}, используя {локальную подсеть} <-> {удаленная конечная точка}, но это не сработало.
Когда я пинг с {удаленного экземпляра} на {локальный сервер}, тайм-аут пинг. Пакеты видны на интерфейсе eth0 (даже если локальная сеть находится на eth1).
Google мало чем помог; он показывает только людей, пытающихся использовать OpenSwan или имеющих похожие проблемы, но с аппаратными маршрутизаторами, или использующих более старые инструменты.