Recentemente, alteramos nosso firewall de um Sonicwall 3060 para um Meraki MX100. Depois de mudar, descobrimos que o nosso trabalho para um cliente dependia de um site para o site vpn para sua rede com a tradução outbound nat. Os dispositivos Meraki não suportam essa configuração (nos disseram isso muitas vezes diretamente da Meraki), então tivemos que configurar uma solução alternativa. Conseguimos configurar um site IPSec para o site VPN em uma instância do AWS ec2 executando o Vyos com um IP elástico. Nós configuramos com sucesso o site para o site VPN no Vyos e podemos acessar a rede do cliente a partir da instância do Vyos. Agora estamos tentando configurar o OpenVPN na instância do Vyos para que possamos rotear o tráfego de nossos computadores para a rede do cliente. Nós também (brevemente) tentamos a configuração L2TP, e também consideramos configurar uma segunda conexão vpn site-a-site entre nossos Meraki e Vyos, mas ainda não funcionou.
Podemos nos conectar com o OpenVPN com a configuração abaixo, mas não está roteando nenhum tráfego pelo site para o site vpn na rede do cliente.
Essa pergunta é muito parecida com a nossa, mas obviamente fomos com o Vyos ao invés do PfSense, e não tenho certeza se entendi a resposta. link
Por fim, a única coisa que não consegui encontrar em nenhum lugar sobre esse tópico - qual configuração é necessária para dar suporte a isso. Estamos construindo nossa VPN a partir do zero - queremos apenas que ela aceite tráfego de clientes via OpenVPN e os direcione para a rede de nossos clientes via IPSec. Precisamos disso para distribuir endereços? Atua como um gateway? Que configuração é necessária para isso? Eu encontrei apenas recursos que explicam o IPSec, ou a configuração do OpenVPN - nada explica a linha de base do que precisa estar no local para que eles se comuniquem.
Configuração do OpenVPN no vyos:
openvpn vtun0 {
mode server
openvpn-option "--proto udp"
openvpn-option "--ifconfig-pool-persist ipp.txt"
openvpn-option "--keepalive 10 120"
openvpn-option "--comp-lzo yes"
openvpn-option "--user nobody --group nogroup"
openvpn-option "--persist-key --persist-tun"
openvpn-option "--status openvpn-status.log"
openvpn-option "--verb 3"
openvpn-option "--mute 10"
openvpn-option "--port 1194"
openvpn-option --client-to-client
openvpn-option "--verb 1"
server {
push-route 172.31.46.111/32 # private IP of device
push-route 123.123.78.123/32 # fake public IP of a destination server. We have 30 more IPs and ranges we want to reach
subnet 192.168.200.0/24
}
tls {
ca-cert-file /config/auth/ca.crt
cert-file /config/auth/js-server.crt
dh-file /config/auth/dh2048.pem
key-file /config/auth/js-server.key
}
}
e o túnel VPN site to site (Isso funciona dentro da instalação do Vyos)
vpn {
ipsec {
esp-group the-esp {
compression disable
lifetime 3600
mode tunnel
pfs disable
proposal 1 {
encryption 3des
hash sha1
}
}
ike-group the-ike {
ikev2-reauth no
key-exchange ikev1
lifetime 28800
proposal 1 {
dh-group 2
encryption 3des
hash sha1
}
}
ipsec-interfaces {
interface eth0
}
site-to-site {
peer 123.123.123.8 {
authentication {
id 123.123.123.207 # public IP of the vyos -- differs from local address due to AWS elastic IPs
mode pre-shared-secret
pre-shared-secret ****************
remote-id 123.123.123.8
}
connection-type initiate
default-esp-group the-esp
ike-group the-ike
ikev2-reauth inherit
local-address 172.31.46.111 # private IP of Vyos installation
tunnel 1 {
local {
prefix 123.123.123.129/32 # we are using outbound nat translation to send that as our IP to all destinations.
}
remote {
prefix 123.123.78.123/32 # fake IP of destination from the above openVPN config
}
}
# and then we have 29 more tunnels for the different routes
}
}
}
Tags networking vpn openvpn ipsec vyos