Roteamento do AWS OpenVPN

Question

Roteamento do AWS OpenVPN

#1 resposta do (0 votos)

0

Eu tenho uma instância do OpenVPN AS (AWS). Eu estou tentando encaminhar o tráfego do meu VPC (172.31.10.0/20) para casa (192.168.5.0/24).

O que funciona : posso encaminhar todo o tráfego de casa (192.168.5.0/24) através de 192.168.5.4 para 172.31.10.0/20

ROUTE: ANY Source to Dest 172.31.10.0/20 via 192.168.5.4

O que não funciona : não consigo rotear todo o tráfego da AWS (172.31.10.0/20)via 172.31.10.5 para 192.168.5.0/24

Exemplo eu não posso ping de 172.31.10.15 (Win Server AWS) para 192.168.5.4 (RasPi OpenVPN Client). Quando eu faço um tcpdump de 172.31.10.5 (OpenVPN Server) para os pacotes de ping, não recebo nada.

ROUTE: Dest 192.168.5.0/24 via 172.31.10.5

O que eu fiz para solucionar problemas

-OpenVPN Server Dest Check está desativado

-VPC, Routing Tables, criei uma rota para 192.168.5.0/24 via inst OpenVPn Server Instance 172.31.10.5. veja captura de tela

Tabela de rotas do AWS OpenVPN Server 172.31.10.5 (não pode alcançar 192.168.5.4):

padrão via 172.31.10.1 dev eth0: 172.27.224.0/21 dev as0t0 link do escopo do kernel proto src 172.27.224.1

172.27.232.0/21 dev as0t1 link do escopo do kernel proto src 172.27.232.1

172.31.10.0/20 dev eth0 proto kernel escopo link src 172.31.10.5

192.168.5.0/24 dev as0t1 proto static

Tabela de rotas do Home OpenVPN Client 192.168.5.4 (que pode chegar a 172.31.10.0/20):

padrão via 192.168.5.254 dev eth0 onlink

13.59.64.181 via 192.168.5.254 dev eth0

172.27.224.0/20 via 172.27.232.1 dev tun0 métrica 101

172.27.232.0/21 dev tun0 proto kernel escopo link src 172.27.232.5

172.31.0.0/16 via 172.27.232.1 dev tun0 métrica 101

192.168.5.0/24 dev eth0 proto kernel escopo link src 192.168.5.4

networking vpn openvpn routing linux

por Benjamin Jones 26.07.2017 / 00:42

1 resposta

Tags networking vpn openvpn routing linux

Conectando LAN's de clientes e servidores OpenVPN telefone Android como restaurar contatos

score 0 · Answer 1

À primeira vista, parece que você pode ter se esquecido de atualizar o grupo de segurança do servidor VPN para aceitar tráfego de outras instâncias na VPC . Para testar, você pode editar o grupo de segurança em que a instância da AWS VPN está e adicionar uma regra que permita todo o tráfego de 172.31.10.0/20.

Acho que esse é o problema, porque os grupos de segurança agem como um firewall com estado. Isso significa que, quando a instância da AWS VPN envia tráfego para fora de casa para outras instâncias da AWS, o grupo de segurança permitirá automaticamente o tráfego de retorno. Mas quando o tráfego é iniciado por outra instância na AWS com um destino de sua rede doméstica, não haverá regras no grupo de segurança da instância do AWS VPN para permitir o tráfego. É por isso que o tráfego de casa pode alcançar a AWS, mas o contrário não funciona.

Se os grupos de segurança não fossem o problema, você poderia ...

Ative os flowlogs do VPC na sua configuração de VPC . Isso registrará o fluxo líquido como informações nos registros do CloudWatch. Podemos usar isso para solucionar problemas do lado do tráfego da AWS.

Você poderia detalhar quais dessas situações funcionam / não funcionam :

Você pode fazer o ping na extremidade inicial do túnel a partir da instância do AWS VPN?
Você pode fazer o ping da extremidade inicial do túnel a partir de outra instância do AWS?
Você pode executar ping em outra máquina doméstica a partir da instância do AWS VPN?
Você pode executar ping em outra máquina doméstica a partir de outra instância da AWS?

Inclua um traceroute de outra instância do AWS em outro computador doméstico.