Назад | Перейти на главную страницу

Туннель Openswan к удаленному общедоступному хосту NAT

Нужна помощь в настройке этой VPN для работы.
Левая рука. EC2:

Правая рука. Cisco:

Cisco ACL: разрешить ip host 3.3.3.30/32 host 2.2.2.2 (LH eth1)

  1. Туннель работает, потому что исходящие пакеты ping / telnet на 3.3.3.30 проходят через туннель, но не отвечают / маршрутизируются обратно.
  2. Нужно ли мне настраивать SNAT, DNAT или маскарад в IPTABLES.

В основном цель состоит в том, чтобы LH достигал однорангового хоста с помощью общедоступных IP-адресов NAT.

Приветствуются любые полезные советы.

Делюсь своими выводами для решения моей собственной проблемы, а может быть и для некоторых.
Положение спасло параметр leftsourceip ipsec.conf! :)
По крайней мере, для моего случая iptables NAT не требуется.
Вот полностью рабочий ipsec.conf
Надеюсь, это будет полезно для других, которые столкнулись с аналогичной проблемой.

подключи мойVPN

тип = туннель
forceencaps = да
authby = секрет
ike = 3des-sha1; modp1024
keyexchange = ike
ikelifetime = 86400 с
phase2 = esp
phase2alg = 3des-sha1
salifetime = 3600 с
pfs = нет
auto = start
keyingtries = 3
rekey = нет
left =% defaultroute
leftnexthop =% defaultroute
leftid = 1.1.1.1
leftsourceip = 2.2.2.2
справа = 3.3.3.3
правый = 3.3.3.3
rightubnet = 3.3.3.30 / 32
rightnexthop =% defaultroute

Обмен вашими находками кому-то помог! :)

Исправлена ​​точная проблема, с которой я столкнулся !!

Спасибо, что разместили решение !!!

Вот что мне нужно было дополнительно сделать для пересылки пакетов на другую сторону:

  • слева включите пересылку

    эхо 1> / proc / sys / net / ipv4 / ip_forward

  • выделить EIP (1.1.1.1) и связать его с интерфейсом eth0 в экземпляре AWS

  • добавить еще один EIP (2.2.2.2) и связать его с интерфейсом eth1 в том же экземпляре
  • установите адрес leftsourceip (2.2.2.2) как подчиненный интерфейс eth1: 1
  • установить eth0 как шлюз по умолчанию

    Centos - добавьте "GATEWAYDEV = eth0" в / etc / sysconfig / network

  • отключите проверку источника / назначения на обоих интерфейсах экземпляра в консоли AWS

  • iptables правила SNAT для перезаписи исходного заголовка пакета, чтобы все, что поступает с локального хоста AWS на eth1, казалось, исходит из домена шифрования (leftsource) на eth1. например 10.0.0.123, IP-адрес в том же домене конфликтов внутри VPC, которому принадлежит экземпляр VPN, должен выйти и добраться до места назначения. Также разрешите прохождение любых существующих установленных или связанных сеансов.

    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.123 -j SNAT --to-source 2.2.2.2

    iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED, ESTABLISHED -j ACCEPT

    iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT