Я работаю над тем, чтобы IPSec VPN работал между Amazon EC2 и моим локальным сервером. Цель состоит в том, чтобы иметь возможность безопасно администрировать данные, загружать / скачивать данные и т. Д. Через этот туннель.
Я получил туннель в openswan между экземпляром Fedora 12 с эластичным IP-адресом и маршрутизатором Cisco, который также имеет NAT. Я думаю, что часть ipsec в порядке, но мне трудно понять, как маршрутизировать трафик таким образом; нет виртуального интерфейса "ipsec0", потому что на Amazon вы должны использовать сетевой ключ, а не KLIPS для vpn. Я слышал, что может потребоваться iptables, и я нуб iptables.
Слева (Amazon) у меня 10. сеть. Блок 1 является частным 10.254.110.A, публично IP 184.73.168.B. Туннель Netkey открыт. Поле 2 публично - 130.164.26.C, частное - 130.164.0.D.
И мой .conf:
conn ni
type= tunnel
authby= secret
left= 10.254.110.A
leftid= 184.73.168.B
leftnexthop= %defaultroute
leftsubnet= 10.254.0.0/32
right= 130.164.26.C
rightid= 130.164.0.D
rightnexthop= %defaultroute
rightsubnet= 130.164.0.0/18
keyexchange= ike
pfs= no
auto= start
keyingtries= 3
disablearrivalcheck=no
ikelifetime= 240m
auth= esp
compress= no
keylife= 60m
forceencaps= yes
esp= 3des-md5
Я добавил маршрут в поле 1 (130.164.0.0/18 через 10.254.110.A dev eth0), но это не работает по предсказуемым причинам, когда я трассирую трафик, который все еще идет "по кругу", а не через vpn.
Таблица маршрутизации:
10.254.110.0/23 dev eth0 proto kernel scope link src 10.254.110.A
130.164.0.0/18 via 10.254.110.178 dev eth0 src 10.254.110.A
169.254.0.0/16 dev eth0 scope link metric 1002
Кто-нибудь знает, как выполнить маршрутизацию с помощью туннеля ipsec netkey, где обе стороны имеют NAT?
Спасибо...
Вы знаете о Виртуальное частное облако Amazon, право?
Я потратил недели, работая над схемой OpenVPN и причудливой маршрутизацией, чтобы добиться того же, после чего Amazon выпустила эту услугу и устарела мою работу.
Могу я предложить вам взглянуть на vCider? Он позволяет создавать безопасные виртуальные сети даже за пределами границ провайдера (если вы хотите выйти за пределы EC2). Вы можете создать свой собственный VPC, не зависящий от провайдера. Он также предлагает вам «замаскировать» вашу облачную сеть: по сути, вы можете заставить свои облачные узлы исчезнуть из общедоступной сети, но вы можете указать исключения для отдельных узлов. Он предлагает специальные функции для подключения вашей корпоративной сети к облачной части сети.
Отказ от ответственности: я работаю на vCider. Но, пожалуйста, не позволяйте этому мешать вам взглянуть на него. Вы можете бесплатно создавать виртуальные частные сети для 8 хостов.