Я пытаюсь настроить AWS Site-to-Site VPN для Digital Ocean с помощью strongswan.
- Я могу пинговать с AWS на частный IP-адрес моего экземпляра DO.
- Я не могу пропинговать от DO до частного IP-адреса AWS.
У меня разрешен весь входящий трафик для моего экземпляра AWS, и когда я запускаю tcpdump Я вижу, что мой экземпляр AWS получает пинг от DO и пытается ответить:
22:03:24.901827 IP 169.254.218.10 > ip-172-31-28-61.ec2.internal: эхо-запрос ICMP, идентификатор 10, последовательность 563, длина 64
22:03:24.901860 IP ip-172-31-28-61.ec2.internal > 169.254.218.10: эхо-ответ ICMP, идентификатор 10, последовательность 563, длина 64
22:03:25.925918 IP 169.254.218.10 > ip-172-31-28-61.ec2.internal: эхо-запрос ICMP, идентификатор 10, последовательность 564, длина 64
22:03:25.925953 IP ip-172-31-28-61.ec2.internal > 169.254.218.10: эхо-ответ ICMP, идентификатор 10, последовательность 564, длина 64
Дополнительная информация, которая может быть полезна:
# На экземпляре VPN
$ IP-адрес
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
ссылка/петля 00:00:00:00:00:00 брд 00:00:00:00:00:00
инет 127.0.0.1/8 область хоста lo
valid_lft навсегда
inet6 :: 1/128 узел области видимости
valid_lft навсегда
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel состояние UP группа по умолчанию qlen 1000
ссылка/эфир 7e:4a:52:24:d1:b4 brd ff:ff:ff:ff:ff:ff
inet x.x.x.x/20 brd x.x.x.255 глобальный масштаб eth0
valid_lft навсегда
inet 10.10.0.6/16 brd 10.10.255.255 глобальная область действия eth0
valid_lft навсегда
ссылка на область inet6 fe80::7c4a:52ff:fe24:d1b4/64
valid_lft навсегда
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel состояние UP группа по умолчанию qlen 1000
ссылка/эфир 5e:a1:57:5e:2e:8d brd ff:ff:ff:ff:ff:ff
инет 10.136.197.163/16 brd 10.136.255.255 глобальная область eth1
valid_lft навсегда
ссылка на область inet6 fe80::5ca1:57ff:fe5e:2e8d/64
valid_lft навсегда
4: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop состояние DOWN группа по умолчанию qlen 1000
ссылка/ipip 0.0.0.0 брд 0.0.0.0
5: Tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN group default qlen 1000
link/ipip x.x.x.x peer 52.87.54.117
inet 169.254.218.10 одноранговый узел 169.254.218.9/30 глобальный масштаб Tunnel1
valid_lft навсегда
ссылка на область inet6 fe80::200:5efe:89b8:139e/64
valid_lft навсегда
$ IP-маршрут
по умолчанию через x.x.x.x dev eth0 proto static
10.10.0.0/16 dev eth0 ссылка на область действия прототипа ядра src 10.10.0.6
10.136.0.0/16 dev eth1 ссылка на область действия ядра proto src 10.136.197.163
x.x.x.0/20 dev eth0 proto kernel scope link src x.x.x.x
169.254.218.8/30 dev Туннель 1 прото-область ядра ссылка src 169.254.218.10
172.31.0.0/16 dev Tunnel1 ссылка на область действия
$ sudo iptables -t nat --list
Цепь PREROUTING (политика ПРИНЯТЬ)
целевая защита выбор источника назначения
Сеть INPUT (политика ACCEPT)
целевая защита выбор источника назначения
Цепочка OUTPUT (политика ACCEPT)
целевая защита выбор источника назначения
Сеть POSTROUTING (правило ACCEPT)
целевая защита выбор источника назначения
$ iptables -t mangle --list
Цепь PREROUTING (политика ПРИНЯТЬ)
целевая защита выбор источника назначения
Сеть INPUT (политика ACCEPT)
целевая защита выбор источника назначения
MARK esp -- ec2-y-y-y-y.compute-1.amazonaws.com ubuntu-s-1vcpu-1gb-nyc1-01 MARK set 0x64
Сеть FORWARD (политика ACCEPT)
целевая защита выбор источника назначения
TCPMSS tcp -- в любом месте tcp flags:SYN,RST/SYN TCPMSS прикрепляет к PMTU
Цепочка OUTPUT (политика ACCEPT)
целевая защита выбор источника назначения
Сеть POSTROUTING (правило ACCEPT)
целевая защита выбор источника назначения
Как мне отладить эту проблему?
