Rota tráfego de OpenVPN através da conexão IPSec de Site para Site para rotas específicas

1

Recentemente, alteramos nosso firewall de um Sonicwall 3060 para um Meraki MX100. Depois de mudar, descobrimos que o nosso trabalho para um cliente dependia de um site para o site vpn para sua rede com a tradução outbound nat. Os dispositivos Meraki não suportam essa configuração (nos disseram isso muitas vezes diretamente da Meraki), então tivemos que configurar uma solução alternativa. Conseguimos configurar um site IPSec para o site VPN em uma instância do AWS ec2 executando o Vyos com um IP elástico. Nós configuramos com sucesso o site para o site VPN no Vyos e podemos acessar a rede do cliente a partir da instância do Vyos. Agora estamos tentando configurar o OpenVPN na instância do Vyos para que possamos rotear o tráfego de nossos computadores para a rede do cliente. Nós também (brevemente) tentamos a configuração L2TP, e também consideramos configurar uma segunda conexão vpn site-a-site entre nossos Meraki e Vyos, mas ainda não funcionou.

Podemos nos conectar com o OpenVPN com a configuração abaixo, mas não está roteando nenhum tráfego pelo site para o site vpn na rede do cliente.

Essa pergunta é muito parecida com a nossa, mas obviamente fomos com o Vyos ao invés do PfSense, e não tenho certeza se entendi a resposta. link

Por fim, a única coisa que não consegui encontrar em nenhum lugar sobre esse tópico - qual configuração é necessária para dar suporte a isso. Estamos construindo nossa VPN a partir do zero - queremos apenas que ela aceite tráfego de clientes via OpenVPN e os direcione para a rede de nossos clientes via IPSec. Precisamos disso para distribuir endereços? Atua como um gateway? Que configuração é necessária para isso? Eu encontrei apenas recursos que explicam o IPSec, ou a configuração do OpenVPN - nada explica a linha de base do que precisa estar no local para que eles se comuniquem.

Configuração do OpenVPN no vyos:

openvpn vtun0 {
        mode server
        openvpn-option "--proto udp"
        openvpn-option "--ifconfig-pool-persist ipp.txt"
        openvpn-option "--keepalive 10 120"
        openvpn-option "--comp-lzo yes"
        openvpn-option "--user nobody --group nogroup"
        openvpn-option "--persist-key --persist-tun"
        openvpn-option "--status openvpn-status.log"
        openvpn-option "--verb 3"
        openvpn-option "--mute 10"
        openvpn-option "--port 1194"
        openvpn-option --client-to-client
        openvpn-option "--verb 1"
        server {
            push-route 172.31.46.111/32    # private IP of device
            push-route 123.123.78.123/32   # fake public IP of a destination server. We have 30 more IPs and ranges we want to reach
            subnet 192.168.200.0/24 
        }
        tls {
            ca-cert-file /config/auth/ca.crt
            cert-file /config/auth/js-server.crt
            dh-file /config/auth/dh2048.pem
            key-file /config/auth/js-server.key
        }
    }

e o túnel VPN site to site (Isso funciona dentro da instalação do Vyos)

vpn {
    ipsec {
        esp-group the-esp {
            compression disable
            lifetime 3600
            mode tunnel
            pfs disable
            proposal 1 {
                encryption 3des
                hash sha1
            }
        }
        ike-group the-ike {
            ikev2-reauth no
            key-exchange ikev1
            lifetime 28800
            proposal 1 {
                dh-group 2
                encryption 3des
                hash sha1
            }
        }
        ipsec-interfaces {
            interface eth0
        }
        site-to-site {
            peer 123.123.123.8 {
                authentication {
                    id 123.123.123.207 # public IP of the vyos -- differs from local address due to AWS elastic IPs
                    mode pre-shared-secret
                    pre-shared-secret ****************
                    remote-id 123.123.123.8
                }
                connection-type initiate
                default-esp-group the-esp
                ike-group the-ike
                ikev2-reauth inherit
                local-address 172.31.46.111 # private IP of Vyos installation
                tunnel 1 {
                    local {
                        prefix 123.123.123.129/32 # we are using outbound nat translation to send that as our IP to all destinations. 
                    }
                    remote {
                        prefix 123.123.78.123/32 # fake IP of destination from the above openVPN config
                    }
                }
                # and then we have 29 more tunnels for the different routes
        }
    }
}
    
por Ben Gourarie 09.05.2018 / 02:28

0 respostas