înregistrare Logare
Puncte:1
raphael.oester avatar Server

Pachetele nu sunt direcționate prin tunelul openvpn în instanța ec2

drapel in
raphael.oester

Configurez un server openvpn pe o instanță aws ec2. Această instanță are două interfețe:

  • O interfață aparținând unei subrețele private (10.10.0.0/17)
  • O interfață aparținând unei subrețele publice (10.10.128.0/17)

Scopul meu este să permit traficului de pe internet să comunice cu instanțele care se află în subrețeaua privată, prin VPN. Iată o schemă

Legătura este bine stabilită între exterior și interfața publică.De asemenea, se stabilește între interfața privată și instanțele care se află în subrețeaua privată.

Problema apare atunci când încerc să ping instanțe private de la un client extern. Pot vedea mesajul „secvență de inițializare finalizată”, dar niciun trafic nu pare să fie direcționat prin tunel. De fapt, nicio rută nu pare găsită, chiar și atunci când destinația este serverul vpn însuși:

traceroute la interfața server tun

conectare la client

conectare pe server

Chiar dacă par să existe erori atunci când ruta este creată, aceasta este prezentă în tabelul de rutare a nucleului, așa că cred că problema nu vine de aici:

comanda route pe client

Iată configurația clientului meu:

client
dev tun
proto udp
la distanță <server_ip> 1194
traseul 10.10.0.0 255.255.128.0
nobind
rezoluție-reîncercare infinit
cheie-persiste
persist-tun
comp-lzo 
verbul 3
cifrul AES-256-CBC
<ca>
-----ÎNCEPE CERTIFICAT-----
<SNIP>
-----CERTIFICAT FINAL-----
</ca>
<cert>
Certificat:
<SNIP>
-----ÎNCEPE CERTIFICAT-----
<SNIP>
-----CERTIFICAT FINAL-----
-----ÎNCEPE CERTIFICAT-----
<SNIP>
-----CERTIFICAT FINAL-----
</cert>
<cheie>
-----BEGIN CHEIE PRIVATĂ-----
<SNIP>
-----SCHEARE CHEIE PRIVATA-----
</key>

Și cel de server:


local 0.0.0.0 

portul 1194

proto udp

dev tun

ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
cheie /etc/openvpn/easy-rsa/pki/private/server.key  

dh /etc/openvpn/easy-rsa/pki/dh.pem

subrețea topologică

server 10.10.0.0 255.255.128.0

#comunicare de la client la client
duplicat-cn

menține în viață 10 120

cifrul AES-256-CBC

comp-lzo

cheie-persiste
persist-tun

stare openvpn-status.log

verbul 3

mut 10

explicit-exit-notify 1

Am urmat modul openvpn de la început până la început și chiar nu știu ce îmi lipsește. Multumesc anticipat pentru ajutor!

71
0 + 0
Tim avatar
drapel gp
Tim
Întrebarea dvs. ar fi mai ușor de înțeles cu o diagramă și termenii dvs. precum „trafic exterior” definiți.Nu sunt chiar sigur ce încerci să obții. Două întrebări 1) Ați luat în considerare verificarea sursei/destinației EC2? 2) V-ați gândit să utilizați VPN-ul gestionat de AWS?
0
Răspunde
raphael.oester avatar
drapel in
raphael.oester
Tocmai am adăugat o schemă la postare. Trafic exterior înseamnă trafic care vine de pe internet. 1) Nu vă înțeleg întrebarea 2) Da și aș prefera să nu o folosesc pentru că este atât scumpă, cât și nu suficient de personalizabilă
0
Răspunde
Tim avatar
drapel gp
Tim
AWS VPN costă aproximativ 36 USD pe lună, scump pentru a juca, dar ieftin pentru o corporație/afacere, având în vedere redundanța și altele. Citiți toată această pagină, în special secțiunea la care fac legătura direct la https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html#EIP_Disable_SrcDestCheck. Un VPN este un pic ca un NAT prin faptul că nu este sursa sau destinația pentru trafic „Fiecare instanță EC2 efectuează verificări sursă/destinație în mod implicit. Aceasta înseamnă că instanța trebuie să fie sursa sau destinația oricărui trafic pe care îl trimite sau îl primește.. ."
0
Răspunde
raphael.oester avatar
drapel in
raphael.oester
Construiesc o aplicație care va deține mai multe instanțe VPN și chiar nu îmi pot permite 36 USD pe server având în vedere suma. Am dezactivat verificarea sursei/destinației, dar nu am schimbat nimic. Și de fapt, asta era destul de așteptat, deoarece traficul VPN nici măcar nu este direcționat prin tunel - așa cum se spunea în titlu. Vedeți captura de ecran traceroute.
0
Răspunde
Tim avatar
drapel gp
Tim
Nu pot ajuta cu OpenVPN, doar AWS. Taxele VPN AWS ​​permit intrarea a două VPN-uri și aceasta acoperă comunicarea cu fiecare resursă din VPC-ul dvs., dar numai către două ținte/destinații din afara VPC-ului dvs. Dacă conectați multe ramuri/resurse la VPN, atunci văd de ce doriți multe VPN-uri, dar mă întreb dacă vă puteți descurca cu criptarea la nivel de aplicație - dar nu ați spus ce încercați să realizați, cum vrei s-o faci.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.