Назад | Перейти на главную страницу

Сервер strongSwan с клиентами Windows 7 не маршрутизирует трафик

У меня есть сервер, на котором работает strongSwan на экземпляре Amazon EC2, к которому я хочу подключиться с Windows 7. Сервер strongSwan находится в частной сети (IP-адрес 172.16.1.15 в сети 172.16.0.0/17), и трафик перенаправляется на его частный адрес с общедоступного IP-адреса - это то, что Amazon называет «эластичным IP».

Я хочу назначить адреса клиентов из другой частной подсети - 10.127.0.0/22 ​​- и маршрутизировать трафик между двумя частными подсетями. Обратите внимание, что подсеть 172.16.0.0/17 управляется Amazon, но подсеть 10.127.0.0/22 ​​сейчас ничем не управляется (кроме моего ipsec.conf).

Мои клиенты Windows подключаются к VPN, но не могут подключиться к каким-либо узлам частной сети. Моя теория заключается в том, что это связано с проблемой либо с маршрутизацией клиента, либо с отсутствием некоторых вызовов iptables на сервере, но я не очень хорошо разбираюсь в любом домене, и я застрял.

Буду признателен за любую помощь. Спасибо.

Наконец-то это работает, благодаря помощи @ecdsa здесь и некоторой помощи канала irc #strongswan.

  1. Правила маршрутизации моего VPN-клиента были неполными. Мне нужно было добавить оба этих правила:

    route add 172.16.1.15/32 10.127.0.1
    route add 172.16.0.0/17 172.16.1.15
    

    Первый добавляет маршрут для частного IP-адреса VPN-сервера, указывая IP-адрес моего клиента, назначенный VPN, в качестве шлюза к нему (route print затем отобразит это как on-link AKA локальный для этого интерфейса). Второй делает то, что я пытался сделать с правилом маршрута в моем вопросе, - он добавляет маршрут для всей частной сети, указывая VPN-сервер в качестве шлюза.

  2. Мне нужно было указать leftsubnet=172.16.0.0/17 на сервере, иначе политика IPsec не разрешит трафик в подсеть независимо от маршрутов.

  3. Мне нужно было указать leftfirewall=yes на сервере, чтобы он вставлял соответствующие правила в iptables.

  4. Мне нужно было отключить «проверку источника / назначения» на моем экземпляре Amazon. Хотя я разрешил трафик из моей подсети VPN в / из группы безопасности в панели управления Amazon VPC я не заметил, что есть еще один параметр. На панели управления EC2 вы можете щелкнуть правой кнопкой мыши по экземпляру и перейти к «Изменить проверку источника / назначения». Эта проверка включена по умолчанию и не позволяет моему VPN-трафику когда-либо покидать VPN-сервер (и предотвращает попадание трафика с других хостов VPC в мою VPN-подсеть на VPN-сервер).