У меня есть хост-бастион ssh, но управление белым списком ssh раздражает, открытие ssh для всего мира неоптимально. Хочу поставить вперед vpn сервер. Не удается заставить openvpn оставаться на связи более часа (я использую 2fa, и либо openvpn, либо tunnelblick явно игнорируют reneg-sec 0, вызывая ежечасные события повторной авторизации)
openswan кажется отличным вариантом, но я не могу заставить работать маршрутизацию. Я отключил проверку источника / назначения на экземпляре и создал маршрут для таблицы маршрутизации VPC. Я могу подключаться и направлять трафик на север, но не в подсети VPC. Кто-нибудь успешно это сделал? Я подозреваю, что мне особенно нужна помощь в понимании того, как openswan обрабатывает маршрутизацию для клиента nat.
Есть несколько вещей, которые нужно проверить. У меня была ошибка в конфигурации iptables.
Для потомков
Отключить проверка источника / назначения.
Создать запись в таблице маршрутов VPC для включения маршрутизации в подсеть VPN NAT
Чтение этот сценарий установки меня сразу понял.