Регистрация Войти
Рейтинг:0
deann avatar Server

Проблемы с настройкой клиента strongSwan на экземпляре AWS для VPN типа «сеть-сеть»

флаг ru
deann

Я пытаюсь настроить VPN-клиент IPSec на экземпляре AWS debian-10.

К сожалению, у меня нет доступа к VPN-серверу, поскольку он настроен другой стороной, поэтому все, что я знаю, это то, что мне сказали, что он настроен для моего мой-AWS-публичный-IP.

Я пытаюсь использовать Strongswan - Linux strongSwan U5.7.2/K4.19.0-16-cloud-amd64

Вот мой файл конфигурации:

настройка конфигурации
        уникальные идентификаторы = нет
        charondebug="все"

подключение впн
        тип=туннель
        обмен ключами=ikev2
        агрессивный = нет
        авторизация = секрет
        авто=добавить
        ике = aes256-sha256-modp2048!
        esp=aes256-sha256-modp2048!
        ikelifetime=28800с
        слева = мой-aws-внутренний-ip
        leftid = мой-AWS-публичный-IP
        левая подсеть = 192.168.140.120/29
        левый источник ip = 192.168.140.121
        право = IP-адрес другой стороны
        rightsubnet=другая-сторона-туннельная-сеть/маска
        dpddelay=300 с
        dpdtimeout = 120 с
        dpdaction=перезагрузка
        ключ = да
        повторная проверка подлинности = да
        срок службы = 3600 с
        закрытьдействие = перезапустить
        инкапсуляция = да
        форсэнкапс=да
        установкаполитика=да

Когда я sudo systemctl перезапустить сильного лебедя, я получаю активную услугу. Однако, похоже, я не являюсь частью VPN, так как не могу пропинговать ни один из сеть туннеля другой стороны ip адреса.

Используя эластичный IP-адрес на AWS, я предполагаю, что нахожусь за NAT. Это проблема для передачи пакетов через туннель IPSec?

Вы видите что-то не так с моим файлом conf?

И последнее, но не менее важное: когда другая сторона сообщила мне, что они настроили VPN для my-aws-public-ip, я получил файл с информацией о сети, такой как версия IKE, режим аутентификации, предварительный ключ и т. д. Я вставил предварительный ключ в файл /etc/ipsec.secrets, используя следующий синтаксис: : PSK "мой общий ключ" Кроме того, в файле с информацией о сети сказано, что они настроили список доступа к туннелю VPN для сети: 192.168.140.120/29 и правила безопасности брандмауэра для 192.168.140.121, поэтому я добавил левая подсеть и левый исходный код в файле конфигурации. Это не моя подсеть AWS. Это проблема? Я добавил интерфейс с sudo IP-адрес добавить 192.168.140.121/29 dev ens5, и я вижу это с IP а.

Любая помощь будет оценена.

Спасибо

22
0 + 0
флаг cn
ecdsa
С `auto=add` соединение не инициируется автоматически. Либо измените это на «start» или «route», либо используйте «sudo ipsec up vpn», чтобы инициировать соединение вручную. Также обратите внимание, что `leftsourceip` предназначен для динамического согласования виртуальных IP-адресов, это не обязательно для статических внутренних IP-адресов, для этого достаточно `leftsubnet`.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.