Túnel IPSec para o Amazon EC2 - problema de netkey, NAT e roteamento

Navegue suas respostas
3

Estou trabalhando para que uma VPN IPSec funcione entre o Amazon EC2 e o meu local. O objetivo é ser capaz de administrar coisas com segurança, baixar / descarregar dados, etc., sobre esse túnel.

Eu obtive o túnel no openswan entre uma instância do Fedora 12 com um IP elástico e um roteador Cisco que também é NATted. Eu acho que a parte ipsec está OK, mas estou tendo problemas para descobrir como rotear o tráfego dessa maneira; não há interface virtual "ipsec0" porque na Amazon você tem que usar netkey e não KLIPS para o vpn. Eu ouço que iptables podem ser necessários e eu sou um noob do iptables.

À esquerda (Amazon), eu tenho uma rede 10.. A caixa 1 é privada 10.254.110.A, publicamente IP 184.73.168.B. O túnel de Netkey está ativo. A caixa 2 é publicamente 130.164.26.C, privadamente 130.164.0.D

E meu arquivo .conf é: 

conn ni
        type=           tunnel
        authby=         secret
        left=           10.254.110.A
        leftid=         184.73.168.B
        leftnexthop=    %defaultroute
        leftsubnet=     10.254.0.0/32
        right=          130.164.26.C
        rightid=        130.164.0.D
        rightnexthop=   %defaultroute
        rightsubnet=    130.164.0.0/18
        keyexchange=    ike
        pfs=            no
        auto=           start
        keyingtries=    3
        disablearrivalcheck=no
        ikelifetime=    240m
        auth=           esp
        compress=       no
        keylife=        60m
        forceencaps=    yes
        esp=            3des-md5

Eu adicionei uma rota para a caixa 1 (130.164.0.0/18 via 10.254.110.A dev eth0), mas isso não acontece por razões previsíveis, quando eu tracerou o tráfego ainda "em volta" e não através do vpn.

Tabela de roteamento: 

10.254.110.0/23 dev eth0  proto kernel  scope link  src 10.254.110.A
130.164.0.0/18 via 10.254.110.178 dev eth0  src 10.254.110.A
169.254.0.0/16 dev eth0  scope link  metric 1002

Alguém sabe como fazer o roteamento com um túnel ipsec netkey onde ambos os lados são NATted?

Obrigado ...

    
por Ernest Mueller 21.05.2010 / 16:14

2 respostas

3

Você conhece a Amazon Private Cloud privada , certo?

Eu passei semanas trabalhando em um esquema do OpenVPN e roteamento sofisticado para realizar a mesma coisa, após o qual a Amazon lançou este serviço e tornou obsoleto o meu trabalho.

    
por 26.05.2010 / 23:06
-2

Posso sugerir que você dê uma olhada em vCider ? Ele permite que você crie redes virtuais seguras, mesmo entre os limites do provedor (caso você queira expandir além do EC2). Você pode criar seu próprio VPC independente do provedor. Ele também oferece a você 'encobrir' sua rede na nuvem: basicamente, você pode fazer com que seus nós da nuvem desapareçam da rede pública, mas você pode especificar exceções para nós individuais. Ele oferece recursos específicos para conectar sua rede corporativa à parte da nuvem da rede.

Disclaimer: Eu trabalho para vCider. Mas por favor, não deixe que isso te impeça de dar uma olhada. Você pode criar redes privadas virtuais para até 8 hosts gratuitamente.

    
por 24.02.2012 / 22:03

Tags

Compreendendo as exportações e o pseudofilesystem do NFS4 Como o “Request Wait Time” do ASP.NET pode ser 0 quando “Requests Enfileirado” é consistentemente na casa das centenas?