运维开发网

在服务器之外发布路由openswan vpn流量

运维开发网 https://www.qedev.com 2020-03-11 12:55 出处:网络 作者:运维开发网整理
尝试在Amazon VPC集群中设置基于openswan的服务器.我们的目标是实现这一目标,以便我们可以将VPN转换为VPC并使我们的工作站就像它们在网络上一样,更像是一个路面战士配置. 我们选择的VPN客户端是用于Mac OS X的Equinux VPN Tracker(http://equinux.com/us/products/vpntracker/).我们已经使用它通过基于硬件的VPN连接
尝试在Amazon VPC集群中设置基于openswan的服务器.我们的目标是实现这一目标,以便我们可以将VPN转换为VPC并使我们的工作站就像它们在网络上一样,更像是一个路面战士配置.

我们选择的VPN客户端是用于Mac OS X的Equinux VPN Tracker(http://equinux.com/us/products/vpntracker/).我们已经使用它通过基于硬件的VPN连接到我们现有的网络,并希望继续使用它连接到我们的VPC网络.

到目前为止,我已将其设置为可以成功连接到在VPC中运行的openswan服务器的位置,但是我只能ping通openswan服务器的内部IP.我无法与网络上的任何其他内容交谈.我可以运行tcpdump并看到ping请求显示,但是它们从未进入其他主机.

我的第一个想法是它与EC2实例只有一个网络接口有关,但是我之前没有设置过OpenVPN连接问题,虽然他们通常使用隧道设备但我还没有真正找到一个例子openswan,带有隧道或单个界面.

任何帮助将不胜感激.

一些配置:

VPC Subnet: 10.10.1.0/24
VPC Gateweay: 10.10.1.1
Openswan Private IP: 10.10.1.11
Openswan Public IP: xxx.xxx.xxx.xxx

Openswan配置:

version 2.0

config setup
  interfaces=%defaultroute
  klipsdebug=none
  plutodebug=none
  dumpdir=/var/log
  nat_traversal=yes
  Virtual_private=%v4:10.10.1.0/24

conn vpntracker-psk
  left=%any
  leftsubnet=vhost:%no,%priv
  right=10.10.1.11
  rightid=xxx.xxx.xxx.xxx
  rightsubnet=10.10.1.0/24
  rightnexthop=10.10.1.1
  auto=add
  authby=secret
  dpddelay=40
  dpdtimeout=130
  dpdaction=clear
  pfs=yes
  forceencaps=yes

iptables的/ sysctl的:

sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

tcpdump输出:

09:13:25.346645 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x6), length 116
09:13:25.346645 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 0, length 64
09:13:25.346789 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x6), length 148
09:13:26.506120 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x7), length 116
09:13:26.506120 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 1, length 64
09:13:26.506245 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x7), length 148
09:13:27.332308 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x8), length 116
09:13:27.332308 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 2, length 64
09:13:27.332397 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x8), length 148

OS X的ping输出:

:~> ping 10.10.1.251
PING 10.10.1.251 (10.10.1.251): 56 data bytes
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 6c64   0 0000  3f  01 f85a 10.200.0.30  10.10.1.251 

Request timeout for icmp_seq 0
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 1818   0 0000  3f  01 4ca7 10.200.0.30  10.10.1.251 

Request timeout for icmp_seq 1
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 1a09   0 0000  3f  01 4ab6 10.200.0.30  10.10.1.251 

Request timeout for icmp_seq 2
不确定这是否有帮助,但我发现这个网站真的很有用.

http://fortycloud.com/setting-up-ipsecopenswan-in-amazon-ec2/

向下滚动到CONFIGURING MASQUERADE部分.

这有助于“远程”端看到我本地网络上的所有主机,然后是这个

http://www.howtogeek.com/howto/windows/adding-a-tcpip-route-to-the-windows-routing-table/

反过来帮助了.

0

精彩评论

暂无评论...
验证码 换一张
取 消