Eu finalmente tenho esse trabalho, graças à ajuda do @ecdsa aqui e da ajuda do canal #strongswan irc.
-
As regras de rota do meu cliente VPN estavam incompletas. Eu precisava adicionar as duas regras:
route add 172.16.1.15/32 10.127.0.1 route add 172.16.0.0/17 172.16.1.15
O primeiro adiciona uma rota para o endereço IP privado do servidor VPN, especificando o endereço IP atribuído pelo VPN do cliente como o gateway para ele (
route print
exibirá isso como sendoon-link
AKA local para essa interface). O segundo faz o que eu estava tentando fazer com a regra de rota na minha pergunta - ele adiciona uma rota para toda a rede privada, especificando o servidor VPN como o gateway. -
Eu precisava especificar
leftsubnet=172.16.0.0/17
no servidor, caso contrário, a diretiva IPsec não permitiria o tráfego para a sub-rede, independentemente das rotas. -
Eu precisava especificar
leftfirewall=yes
no servidor para inserir regras apropriadas no iptables. -
Eu precisava desativar a "verificação de origem / destino" na minha instância do Amazon. Embora eu tenha permitido o tráfego da minha sub-rede VPN de / para os grupos de segurança no painel do Amazon VPC, não percebi que havia outra configuração. No painel do EC2, você pode clicar com o botão direito do mouse em uma instância e ir em "Alterar verificação de origem / destino". Essa verificação é ativada por padrão e impediu que meu tráfego de VPN saísse do servidor VPN (e impedia que o tráfego de outros hosts VPC para minha sub-rede VPN entrasse no servidor VPN).