Eu criei um teste VPC na AWS para uma prova de conceito do OpenVPN.
Neste VPC eu almocei um servidor membro linux e um AMI de servidor OpenVPN do AWS Marketplace, instalei e configurei ele.
Como cliente, posso me conectar à rede VPN e a ssh
no servidor OpenVPN usando cada um de seus 3 ip's, mas o problema é que não consigo ssh
no servidor membro no Sub-rede principal do VPC.
A rede é totalmente estabelecida entre o servidor OpenVPN e o servidor membro.
Os detalhes são:
VPC CIDR: 172.16.0.0/16
VPC Main Subnet CIDR: 172.16.200.0/24
VPN CIDR: 172.16.201.0/24
OVPN server:
Main Subnet interface: 172.16.200.66
VPN Server interface: 172.16.201.1
VPN Client interface: 172.16.201.129
Member server:
Main Subnet interface: 172.16.200.71
My Client IP: 172.16.201.131-134 (disconnected a few times)
Eu configurei o servidor OpenVPN assim:
E:
Alémdisso,tenteiusaroNAT,massemsucesso.
Quandoexecutotcpdump
doservidorOVPNaotentarssh
damáquinaclienteparaoservidorintegrante:
openvpnas@openvpnas2:~$sudotcpdump-ias0t1tcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocoldecodelisteningonas0t1,link-typeRAW(RawIP),capturesize262144bytes11:21:52.668974IP172.16.201.131.59009>172.16.200.71.ssh:Flags[SEW],seq2266158529,win65535,options[mss1252,nop,wscale5,nop,nop,TSval758529356ecr0,sackOK,eol],length011:21:53.681875IP172.16.201.131.59009>172.16.200.71.ssh:Flags[S],seq2266158529,win65535,options[mss1252,nop,wscale5,nop,nop,TSval758530357ecr0,sackOK,eol],length0
EupossoverqueoservidorOVPNestátentandoencaminharospacotesparaoservidormembro,masaoexecutartcpdump
nainterfacedoservidormembro,vejoquenenhumpacotechega.
RotasnoservidorOVPN:
$route-nKernelIProutingtableDestinationGatewayGenmaskFlagsMetricRefUseIface0.0.0.0172.16.200.10.0.0.0UG000eth0172.16.200.00.0.0.0255.255.255.0U000eth0172.16.201.00.0.0.0255.255.255.128U000as0t0172.16.201.1280.0.0.0255.255.255.128U000as0t1
Rotasnoservidormembro:
$route-nKernelIProutingtableDestinationGatewayGenmaskFlagsMetricRefUseIface0.0.0.0172.16.200.10.0.0.0UG000eth0172.16.200.00.0.0.0255.255.255.0U000eth0172.16.201.0172.16.200.66255.255.255.0UG000eth0
Rotasnocliente(meulaptop),algumasdelasforamadicionadasmanualmentepormim:
netstat-nr|greptun172.16.200/24172.16.201.134UGSc44utun2172.16.201/24172.16.200.66UGSc12utun2172.16.201.134172.16.201.134UH34utun2
InterfacesderedenoservidorOVPN:
2:eth0:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu9001qdiscpfifo_faststateUPgroupdefaultqlen1000link/ether02:fb:99:4a:67:04brdff:ff:ff:ff:ff:ffinet172.16.200.66/24brd172.16.200.255scopeglobaleth0valid_lftforeverpreferred_lftforeverinet6fe80::fb:99ff:fe4a:6704/64scopelinkvalid_lftforeverpreferred_lftforever3:pr0:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscnoqueuestateUNKNOWNgroupdefaultqlen1000link/ether36:ce:f1:ac:59:42brdff:ff:ff:ff:ff:ffinet6fe80::34ce:f1ff:feac:5942/64scopelinkvalid_lftforeverpreferred_lftforever21:as0t0:<POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP>mtu1500qdiscpfifo_faststateUNKNOWNgroupdefaultqlen200link/noneinet172.16.201.1/25brd172.16.201.127scopeglobalas0t0valid_lftforeverpreferred_lftforever22:as0t1:<POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP>mtu1500qdiscpfifo_faststateUNKNOWNgroupdefaultqlen200link/noneinet172.16.201.129/25brd172.16.201.255scopeglobalas0t1valid_lftforeverpreferred_lftforever
Interfacederedenoservidorintegrante:
2:eth0:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu9001qdiscpfifo_faststateUPgroupdefaultqlen1000link/ether02:c5:62:3b:ef:02brdff:ff:ff:ff:ff:ffinet172.16.200.71/24brd172.16.200.255scopeglobaleth0valid_lftforeverpreferred_lftforeverinet6fe80::c5:62ff:fe3b:ef02/64scopelinkvalid_lftforeverpreferred_lftforever
Maisalgunspontos:
ping
domeuclienteparaoservidorintegrante:
$ping172.16.200.71PING172.16.200.71(172.16.200.71):56databytesRequesttimeoutforicmp_seq0
ping
domeuclienteparaoservidorOVPN(usandoasub-redeprincipaldoVPC):
$ping172.16.200.66PING172.16.200.66(172.16.200.66):56databytes64bytesfrom172.16.200.66:icmp_seq=0ttl=64time=87.657ms
ping
domeuclienteparaovpnipdaOVPNtambémfunciona.
AtabeladeroteamentodesteVPCnoAWS:
Estassãoasminhasperguntas:
Devocriarumasub-redede"172.16.201.0" (a sub-rede vpn) no VPC? (Eu tenho, mas não resolveu o problema ... é apenas uma das coisas que eu tentei).
-
Parece que estou perdendo alguma coisa, talvez na configuração da AWS, você pode tentar encontrar meu problema?