Назад | Перейти на главную страницу

Можно ли использовать IPSec Site to Site VPN без статического и общедоступного IP-адреса на одном конце?

Я работаю над проектом для получения степени инженера, который требует от меня взаимодействия с некоторым ранее существовавшим оборудованием, поэтому я довольно ограничен в своих возможностях. Я новичок в VPN и ipsec в этом отношении. Если я ошибаюсь, заполните меня. Я сделал все возможное, чтобы прочитать страницы руководства и документацию.

Я пытаюсь подключить сотовый 3G-маршрутизатор (Moxa OnCell 5104-HSPA) к моему VPN-серверу в облаке Amazon EC2, чтобы обеспечить сквозной доступ между двумя устройствами в любой сети. Маршрутизатор 3G поддерживает IPSec VPN с PSK. Сложность заключается в том, что в настоящее время у меня нет статического общедоступного IP-адреса для сотового маршрутизатора. Получение этого IP-адреса находится в разработке, но я пока пытаюсь понять, смогу ли я заставить его работать. Если это невозможно без общедоступного статического IP-адреса, дайте мне знать.

 [ Openswan VPN Server ] ---> internet  ---> Cellular NAT(s) ---> [ Cellular Router ] 
       ^                                                                   ^
       |                                                                   |
 [ End User ]                                                      [ Remote Device ]

Сотовый маршрутизатор поддерживает только конфигурации VPN типа "сеть-сеть". у меня есть это успешно подключен (увидеть ниже) в сеть VPN, но я не уверен, как получить маршрутизацию пакетов с любого конца VPN.

Подтвержденное соединение из /var/log/auth.log (Измененные IP-адреса в этом примере:

 172.31.0.1    = EC2 IP (VPN server)
 22.22.22.22   = Cellular NAT
 10.185.42.114 = 3G Router

pluto[11336]: "RWConn"[7] 22.22.22.22 #11: responding to Main Mode from unknown peer 22.22.22.22
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: STATE_MAIN_R1: sent MR1, expecting MI2
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): both are NATed
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: STATE_MAIN_R2: sent MR2, expecting MI3
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: Main mode peer ID is ID_IPV4_ADDR: '10.185.42.114'
 pluto[11336]: "RWConn"[7] 22.22.22.22 #11: switched from "RWConn" to "RWConn"
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: deleting connection "RWConn" instance with peer 22.22.22.22 {isakmp=#0/ipsec=#0}
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: new NAT mapping for #11, was 22.22.22.22:52862, now 22.22.22.22:46828
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1536}
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: Dead Peer Detection (RFC 3706): enabled
 pluto[11336]: "RWConn"[8] 22.22.22.22 #11: the peer proposed: 10.0.1.0/24:17/1701 -> 10.0.50.0/24:17/0
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: responding to Quick Mode proposal 
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12:     us: 172.31.0.1/32===172.31.0.1<172.31.0.1>:17/1701---172.31.0.1
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12:   them: 22.22.22.22[10.185.42.114]:17/0
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: Dead Peer Detection (RFC 3706): enabled
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
 pluto[11336]: "RWConn"[8] 22.22.22.22 #12: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x********* <0x********** xfrm=3DES_0-HMAC_SHA1 NATOA=none NATD=22.22.22.22:46828 DPD=enabled}

** Итак, на данный момент я считаю, что у меня есть VPN-клиент, подключенный правильно, но я не уверен, что делать дальше, чтобы настроить пересылку пакетов между устройствами **

ipsec.conf и связанные файлы могут быть предоставлены по мере необходимости. Я хочу, чтобы мой первоначальный пост оставался кратким.