Problema de roteamento de tráfego openswan vpn além do servidor

6

Tentando configurar um servidor baseado em openswan localizado em um cluster do Amazon VPC. O objetivo é fazer com que possamos VPN em VPC e ter nossas estações de trabalho como se estivessem na rede, mais uma configuração roadwarrior.

Nosso cliente VPN escolhido é o Equinux VPN Tracker ( link ) para o Mac OS X. Nós já o usamos para conectar-se às nossas redes existentes através de VPNs baseadas em hardware e esperávamos apenas continuar a usá-lo para se conectar à nossa rede VPC.

Até agora, eu tenho a configuração para onde eu posso conectar com sucesso ao servidor openswan em execução no VPC, no entanto, só posso executar ping no IP interno do servidor openswan. Eu não posso falar com mais nada na rede. Eu posso rodar o tcpdump e ver as requisições de ping aparecerem, mas elas nunca chegam ao outro host.

Meu primeiro pensamento foi que ele estava relacionado à instância do EC2 tendo apenas uma única interface de rede, no entanto eu configurei uma conexão OpenVPN antes sem um problema, embora usem normalmente um dispositivo de túnel e eu não tenha encontrado um exemplo de openswan com um túnel ou uma interface única.

Qualquer ajuda seria muito apreciada.

Alguma configuração:

VPC Subnet: 10.10.1.0/24
VPC Gateweay: 10.10.1.1
Openswan Private IP: 10.10.1.11
Openswan Public IP: xxx.xxx.xxx.xxx

Configuração do Openswan:

version 2.0

config setup
  interfaces=%defaultroute
  klipsdebug=none
  plutodebug=none
  dumpdir=/var/log
  nat_traversal=yes
  virtual_private=%v4:10.10.1.0/24

conn vpntracker-psk
  left=%any
  leftsubnet=vhost:%no,%priv
  right=10.10.1.11
  rightid=xxx.xxx.xxx.xxx
  rightsubnet=10.10.1.0/24
  rightnexthop=10.10.1.1
  auto=add
  authby=secret
  dpddelay=40
  dpdtimeout=130
  dpdaction=clear
  pfs=yes
  forceencaps=yes

iptables / sysctl:

sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

saída tcpdump:

09:13:25.346645 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x6), length 116
09:13:25.346645 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 0, length 64
09:13:25.346789 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x6), length 148
09:13:26.506120 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x7), length 116
09:13:26.506120 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 1, length 64
09:13:26.506245 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x7), length 148
09:13:27.332308 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x8), length 116
09:13:27.332308 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 2, length 64
09:13:27.332397 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x8), length 148

ping saída do OS X:

:~> ping 10.10.1.251
PING 10.10.1.251 (10.10.1.251): 56 data bytes
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 6c64   0 0000  3f  01 f85a 10.200.0.30  10.10.1.251 

Request timeout for icmp_seq 0
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 1818   0 0000  3f  01 4ca7 10.200.0.30  10.10.1.251 

Request timeout for icmp_seq 1
92 bytes from 10.10.1.11: Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 1a09   0 0000  3f  01 4ab6 10.200.0.30  10.10.1.251 

Request timeout for icmp_seq 2
    
por Ken Robertson 15.06.2011 / 18:22

2 respostas

1

Não tenho certeza se isso ajuda, mas achei esse site realmente útil.

link

role para baixo até a seção CONFIGURANDO MASCARADA.

Isso ajudou o final "Remoto" a ver todos os hosts da minha rede local, e então isso

link

ajudou com o inverso.

    
por 02.01.2016 / 00:03
0

Certifique-se sempre de desabilitar a verificação de Origem / Destino em sua instância do Openswan. Não vejo menção a isso sendo feito.

    
por 24.11.2014 / 22:06