Описание
Я новичок в Strongswan, и мне нравится устанавливать Strongswan в дорожный Воин конфигурация.
Мой луна сеть представляет собой AWS VPC с блоком CIDR 172.31.0.0/16
Внутри этой сети мой VPN-шлюз представляет собой экземпляр EC2, расположенный в общедоступной подсети с общедоступным IP-адресом. ХХХ
В лунной сети у меня есть HTTP-сервер с IP 172.31.ХХ прослушивание запросов на порту 80.
Мой Кэрол host также является экземпляром EC2, расположенным в другом VPC с CIDR 10.0.0.0/16. Кэрол хост также находится в общедоступной подсети с общедоступным IP-адресом Г.Г.Г.Г
мне нравится мой Кэрол хост для отправки HTTP-запроса на мой HTTP-сервер в луна сеть.
Я могу загрузить и инициировать, журналы показывают успешные сообщения как на сервере, так и на клиенте.
Тем не менее, когда я бегу завиток 172.31.ХХ от хозяина гимна. Команда зависает. Я пытаюсь захватить пакеты на Кэрол хозяин с tcpdump но абсолютно ничего не появляется. Так что, я думаю, нет выхода трафика из Кэрол host (то же самое происходит при использовании пинг-я).
Проблема
Почему трафик не уходит от клиента (Кэрол хозяин) ?
Как проверить, что strongswan может пересылать/туннелировать трафик из Кэрол хост на HTTP-сервер?
Техническая конфигурация
машина
Инстансы EC2 (управляемые Cloud9) под управлением AmazonLinux 2.
Группа безопасности была проверена, и правила входа достаточно разрешительны.
Сильный лебедь
StrongSwan версии 5.9.5 как для клиента, так и для сервера, установленного из исходного кода с использованием
./configure --prefix=/usr --sysconfdir=/и т.д.
делать
судо сделать установить
Кэрол конфигурация
связи {
дом {
удаленные_адреса = X.X.X.X
местный {
авторизация = публичный ключ
сертификаты = carolCert.pem
идентификатор = [email protected]
}
удаленный {
авторизация = публичный ключ
идентификатор = moon.strongswan.org
}
дети {
дом {
удаленный_тс = 172.31.0.0/16
start_action = начало
}
}
}
}
луна конфигурация
связи {
рв {
местный {
авторизация = публичный ключ
сертификаты = moonCert.pem
идентификатор = moon.strongswan.org
}
удаленный {
авторизация = публичный ключ
}
дети {
рв {
локальные_тс = 172.31.0.0/16
remote_ts = 10.0.0.0/16
}
}
}
}
Вывод sudo swanctl --initiate --child home от Кэрол
[IKE] устанавливает домашний адрес CHILD_SA{3}
[ENC] создание запроса CREATE_CHILD_SA 3 [SA No TSi TSr]
[NET] отправка пакета: с 10.0.22.27[4500] на X.X.X.X[4500] (304 байта)
[NET] полученный пакет: от X.X.X.X[4500] до 10.0.22.27[4500] (192 байта)
[ENC] проанализирован ответ CREATE_CHILD_SA 3 [SA No TSi TSr]
[CFG] выбранное предложение: ESP:AES_GCM_16_128
[IKE] Дом CHILD_SA{3} установлен с SPI z9777de6_i z67c5f90_o и TS 10.0.22.27/32 === 172.31.0.0/16
инициация завершена успешно
IP-таблица включена Кэрол хозяин :
Администратор:~/environment $ sudo ip route показать таблицу 220
172.31.0.0/16 через 10.0.16.1 dev eth0 proto static src 10.0.22.27
