Нужна помощь в настройке этой VPN для работы.
Левая рука. EC2:
Правая рука. Cisco:
Cisco ACL: разрешить ip host 3.3.3.30/32 host 2.2.2.2 (LH eth1)
В основном цель состоит в том, чтобы LH достигал однорангового хоста с помощью общедоступных IP-адресов NAT.
Приветствуются любые полезные советы.
Делюсь своими выводами для решения моей собственной проблемы, а может быть и для некоторых.
Положение спасло параметр leftsourceip ipsec.conf! :)
По крайней мере, для моего случая iptables NAT не требуется.
Вот полностью рабочий ipsec.conf
Надеюсь, это будет полезно для других, которые столкнулись с аналогичной проблемой.
подключи мойVPN
тип = туннель
forceencaps = да
authby = секрет
ike = 3des-sha1; modp1024
keyexchange = ike
ikelifetime = 86400 с
phase2 = esp
phase2alg = 3des-sha1
salifetime = 3600 с
pfs = нет
auto = start
keyingtries = 3
rekey = нет
left =% defaultroute
leftnexthop =% defaultroute
leftid = 1.1.1.1
leftsourceip = 2.2.2.2
справа = 3.3.3.3
правый = 3.3.3.3
rightubnet = 3.3.3.30 / 32
rightnexthop =% defaultroute
Обмен вашими находками кому-то помог! :)
Исправлена точная проблема, с которой я столкнулся !!
Спасибо, что разместили решение !!!
Вот что мне нужно было дополнительно сделать для пересылки пакетов на другую сторону:
слева включите пересылку
эхо 1> / proc / sys / net / ipv4 / ip_forward
выделить EIP (1.1.1.1) и связать его с интерфейсом eth0 в экземпляре AWS
установить eth0 как шлюз по умолчанию
Centos - добавьте "GATEWAYDEV = eth0" в / etc / sysconfig / network
отключите проверку источника / назначения на обоих интерфейсах экземпляра в консоли AWS
iptables правила SNAT для перезаписи исходного заголовка пакета, чтобы все, что поступает с локального хоста AWS на eth1, казалось, исходит из домена шифрования (leftsource) на eth1. например 10.0.0.123, IP-адрес в том же домене конфликтов внутри VPC, которому принадлежит экземпляр VPN, должен выйти и добраться до места назначения. Также разрешите прохождение любых существующих установленных или связанных сеансов.
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.123 -j SNAT --to-source 2.2.2.2
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED, ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT