Túnel de Openswan para host NAT remoto público

Navegue suas respostas
1

Preciso de ajuda para essa configuração de VPN funcionar.
Mão esquerda. EC2:

  • eth0: 10.0.0.100/EIP=1.1.1.1 (ou seja, IP NAT'd)
  • eth1: 10.0.0.200/EIP=2.2.2.2
  • Peer ip / leftid: 1.1.1.1

Direita. Cisco:

  • Peer ip: 3.3.3.3
  • Peer host / rightsubnet: 3.3.3.30/32 (IP NATt público)

Cisco ACL: permitir host ip 3.3.3.30/32 host 2.2.2.2 (LH eth1)

  1. O túnel é UP porque os pacotes ping / telnet de saída para 3.3.3.30 estão passando pelo túnel, mas não estão respondendo / roteando de volta.
  2. Preciso configurar o SNAT, o DNAT ou o mascarado em IPTABLES.

Basicamente, o objetivo é que o LH alcance o host Peer usando IPs NAT públicos.

Todas as dicas úteis são bem-vindas.

    
por dcvpn 13.02.2013 / 19:49

2 respostas

2

Compartilhando minhas descobertas para resolver meu próprio problema e poderia ser para alguns.
O parâmetro ipsec.conf leftsourceip salvou o dia! :)
No iptables NAT necessário para o meu caso, pelo menos.
Aqui está o ipsec.conf totalmente funcional
Espero que isso seja útil para outras pessoas que tiveram problemas semelhantes.

conn myVPN

type=tunnel
forceencaps=yes
authby=secret
ike=3des-sha1;modp1024
keyexchange=ike
ikelifetime=86400s
phase2=esp
phase2alg=3des-sha1
salifetime=3600s
pfs=no
auto=start
keyingtries=3
rekey=no
left=%defaultroute
leftnexthop=%defaultroute
leftid=1.1.1.1
leftsourceip=2.2.2.2
right=3.3.3.3
rightid=3.3.3.3
rightsubnet=3.3.3.30/32
rightnexthop=%defaultroute

    
por 14.02.2013 / 10:14
1

Compartilhar suas descobertas ajudou alguém! :)

Corrigido o problema exato que eu estava enfrentando !!

Obrigado por postar a solução !!!

Aqui está o que eu precisava fazer adicionalmente para encaminhar os pacotes para o outro lado:

  • no lado esquerdo, habilite o encaminhamento

    echo 1 > / proc / sys / net / ipv4 / ip_forward

  • aloque um EIP (1.1.1.1) e associe-o à interface eth0 na instância do AWS

  • adicione outro EIP (2.2.2.2) e associe-o à interface eth1 na mesma instância
  • define o endereço do leftsourceip (2.2.2.2) como uma sub-interface eth1: 1

  • defina eth0 como o gateway padrão

    Centos - adicione "GATEWAYDEV = eth0" ao / etc / sysconfig / network

  • altere a verificação de origem / destino para desativada nas duas interfaces de instância no console da AWS

  • regras SNAT iptables para reescrever o cabeçalho de origem do pacote de modo que qualquer coisa vinda de um host local da AWS na eth1 parece vir do domínio de criptografia (leftsource) em eth1. por exemplo. 10.0.0.123, um IP no mesmo domínio de colisão dentro do VPC ao qual pertence a instância de VPN precisa sair e chegar ao destino. Permitir também que qualquer sessão estabelecida ou relacionada existente seja aprovada.

    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.123 -j SNAT - para fonte 2.2.2.2

    iptables -A FRENTE -i eth0 -o eth1 -m estado - estado RELACIONADO, ESTABELECIDO -j ACEITAR

    iptables -A FORWARD -i eth1 -o eth0 -j ACEITAR

por 19.08.2015 / 22:08

Tags

Redefinir a tabela de rotas periodicamente com o cron Usuários e portas de segurança do Mongo