É possível fazer VPN de Site para Site IPSec sem IP estático e público em uma extremidade?

2

Estou trabalhando em um projeto para o meu curso de engenharia que exige que eu faça interface com alguns equipamentos pré-existentes, por isso estou bastante limitado às minhas opções. Eu sou bastante novo para VPN e ipsec para esse assunto. Se eu entendi completamente errado, por favor preencha-me. Fiz o meu melhor para ler manpages e documentação.

Estou tentando conectar um roteador 3G celular (Moxa OnCell 5104-HSPA) ao meu servidor VPN na nuvem do Amazon EC2, para fornecer acesso de ponta a ponta entre dois dispositivos em qualquer rede. O roteador 3G suporta IPSec VPN com PSK. A parte desafiadora é que atualmente não tenho um IP público estático para o roteador de celular. Conseguir esse IP está em andamento, mas estou tentando ver se consigo fazer isso funcionar enquanto isso. Se isso não for possível sem um endereço IP estático público, avise-nos.

 [ Openswan VPN Server ] ---> internet  ---> Cellular NAT(s) ---> [ Cellular Router ] 
       ^                                                                   ^
       |                                                                   |
 [ End User ]                                                      [ Remote Device ]

O roteador do celular parece oferecer suporte apenas a configurações VPN de site para site. Eu tenho isso conectado com sucesso (veja abaixo) para a rede VPN, mas não tenho certeza como obter roteamento de pacotes de qualquer um dos lados da VPN.

Conexão confirmada de /var/log/auth.log  (IPs alterados, neste exemplo:

 172.31.0.1    = EC2 IP (VPN server)
 22.22.22.22   = Cellular NAT
 10.185.42.114 = 3G Router

pluto[11336]: "RWConn"[7] 22.22.22.22 #11: responding to Main Mode from unknown peer 22.22.22.22
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: STATE_MAIN_R1: sent MR1, expecting MI2
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): both are NATed
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: STATE_MAIN_R2: sent MR2, expecting MI3
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: Main mode peer ID is ID_IPV4_ADDR: '10.185.42.114'
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: switched from "RWConn" to "RWConn"
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: deleting connection "RWConn" instance with peer 22.22.22.22 {isakmp=#0/ipsec=#0}
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: new NAT mapping for #11, was 22.22.22.22:52862, now 22.22.22.22:46828
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1536}
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: Dead Peer Detection (RFC 3706): enabled
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: the peer proposed: 10.0.1.0/24:17/1701 -> 10.0.50.0/24:17/0
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: responding to Quick Mode proposal 
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12:     us: 172.31.0.1/32===172.31.0.1<172.31.0.1>:17/1701---172.31.0.1
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12:   them: 22.22.22.22[10.185.42.114]:17/0
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: Dead Peer Detection (RFC 3706): enabled
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x********* <0x********** xfrm=3DES_0-HMAC_SHA1 NATOA=none NATD=22.22.22.22:46828 DPD=enabled}

** Então, neste ponto, acredito ter o cliente VPN conectado corretamente, mas não tenho certeza para onde ir em seguida para configurar o encaminhamento de pacotes entre os dispositivos **

ipsec.conf e arquivos relacionados podem ser fornecidos conforme necessário. Eu quero manter meu post inicial conciso.

    
por BobTuckerman 27.04.2014 / 04:47

0 respostas