Não tenho certeza se isso ajuda, mas achei esse site realmente útil.
role para baixo até a seção CONFIGURANDO MASCARADA.
Isso ajudou o final "Remoto" a ver todos os hosts da minha rede local, e então isso
ajudou com o inverso.
Tentando configurar um servidor baseado em openswan localizado em um cluster do Amazon VPC. O objetivo é fazer com que possamos VPN em VPC e ter nossas estações de trabalho como se estivessem na rede, mais uma configuração roadwarrior.
Nosso cliente VPN escolhido é o Equinux VPN Tracker ( link ) para o Mac OS X. Nós já o usamos para conectar-se às nossas redes existentes através de VPNs baseadas em hardware e esperávamos apenas continuar a usá-lo para se conectar à nossa rede VPC.
Até agora, eu tenho a configuração para onde eu posso conectar com sucesso ao servidor openswan em execução no VPC, no entanto, só posso executar ping no IP interno do servidor openswan. Eu não posso falar com mais nada na rede. Eu posso rodar o tcpdump e ver as requisições de ping aparecerem, mas elas nunca chegam ao outro host.
Meu primeiro pensamento foi que ele estava relacionado à instância do EC2 tendo apenas uma única interface de rede, no entanto eu configurei uma conexão OpenVPN antes sem um problema, embora usem normalmente um dispositivo de túnel e eu não tenha encontrado um exemplo de openswan com um túnel ou uma interface única.
Qualquer ajuda seria muito apreciada.
Alguma configuração:
VPC Subnet: 10.10.1.0/24
VPC Gateweay: 10.10.1.1
Openswan Private IP: 10.10.1.11
Openswan Public IP: xxx.xxx.xxx.xxx
Configuração do Openswan:
version 2.0
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
dumpdir=/var/log
nat_traversal=yes
virtual_private=%v4:10.10.1.0/24
conn vpntracker-psk
left=%any
leftsubnet=vhost:%no,%priv
right=10.10.1.11
rightid=xxx.xxx.xxx.xxx
rightsubnet=10.10.1.0/24
rightnexthop=10.10.1.1
auto=add
authby=secret
dpddelay=40
dpdtimeout=130
dpdaction=clear
pfs=yes
forceencaps=yes
iptables / sysctl:
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
saída tcpdump:
09:13:25.346645 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x6), length 116
09:13:25.346645 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 0, length 64
09:13:25.346789 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x6), length 148
09:13:26.506120 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x7), length 116
09:13:26.506120 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 1, length 64
09:13:26.506245 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x7), length 148
09:13:27.332308 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x8), length 116
09:13:27.332308 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 2, length 64
09:13:27.332397 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x8), length 148
ping saída do OS X:
:~> ping 10.10.1.251
PING 10.10.1.251 (10.10.1.251): 56 data bytes
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 6c64 0 0000 3f 01 f85a 10.200.0.30 10.10.1.251
Request timeout for icmp_seq 0
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 1818 0 0000 3f 01 4ca7 10.200.0.30 10.10.1.251
Request timeout for icmp_seq 1
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 1a09 0 0000 3f 01 4ab6 10.200.0.30 10.10.1.251
Request timeout for icmp_seq 2
Certifique-se sempre de desabilitar a verificação de Origem / Destino em sua instância do Openswan. Não vejo menção a isso sendo feito.
Tags vpn ipsec openswan amazon-vpc