înregistrare Logare
Puncte:1
BritanyTaylor avatar Server

AWS/Strongswan-Ubuntu Tunelul site-ului nu poate face ping la distanță

drapel in
BritanyTaylor

Ubuntu (Linode) Strongswan 5.6.2 Conectarea la AWS (de la site la site).

  1. Pot trimite ping de la punctul final AWS la VPN Ubuntu.
  2. Nu pot da ping de la punctul final AWS la punctul final Ubuntu.
  3. Nu pot da ping de la Ubuntu VPN la AWS nimic.

Ubuntu (VPN) public: 1.2.3.4 | Ubuntu (VPN) privat: 192.168.234.113/24

AWS (VPN) public: 4.5.6.7 | AWS (VPN) privat: 169.254.177.44/30

AWS (punct final) privat: 10.11.1.197

Ubuntu (punct final) privat: 192.168.136.15

Pot da ping la 169.254.177.46 al adaptorului de tunel de pe ubuntu (local), dar nu la telecomandă 169.254.177.45 care presupun că este gateway-ul clientului (gazdă de destinație inaccesabilă)

root@ubuntu:~# ping 10.11.1.197
PING 10.11.1.197 (10.11.1.197) 56(84) octeți de date.
De la 169.254.177.46 icmp_seq=1 Gazdă destinație inaccesabilă
De la 169.254.177.46 icmp_seq=2 Gazdă destinație inaccesabilă

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue stare UNKNOWN grup implicit qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 ::1/128 scope host
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq stare UP grup implicit qlen 1000
    link/eter f2:3c:93:db:4d:c0 brd ff:ff:ff:ff:ff:ff
    inet 1.2.3.4/24 brd 194.195.211.255 scope global eth0
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet 192.168.234.113/17 brd 192.168.255.255 scope global eth0
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 2600:3c02::f03c:93ff:fedb:4dc0/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 60sec preferred_lft 20sec
    inet6 fe80::f03c:93ff:fedb:4dc0/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
3: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN grup implicit qlen 1000
    link/ipip 0.0.0.0 brd 0.0.0.0
6: Tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN grup implicit qlen 1000
    link/ipip 1.2.3.4 peer 4.5.6.7
    inet 169.254.177.46 peer 169.254.177.45/30 domeniu global Tunnel1
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 fe80::200:5efe:c2c3:d3cb/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna

trasee

10.11.1.0 0.0.0.0 255.255.255.0 U 100 0 0 Tunel1
169.254.177.44 0.0.0.0 255.255.255.252 U 0 0 0 Tunel1
192.168.128.0 0.0.0.0 255.255.128.0 U 0 0 0 eth0
194.195.211.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

politica xfrm

src 192.168.128.0/17 dst 0.0.0.0/0
        dir out prioritate 391295
        marca 0x64/0xffffffff
        tmpl src 1.2.3.4 dst 4.5.6.7
                proto esp spi 0xcdecfff9 reqid 1 mod tunel
src 0.0.0.0/0 dst 192.168.128.0/17
        dir fwd prioritate 391295
        marca 0x64/0xffffffff
        tmpl src 4.5.6.7 dst 1.2.3.4
                proto esp reqid 1 mod tunel
src 0.0.0.0/0 dst 192.168.128.0/17
        dir cu prioritate 391295
        marca 0x64/0xffffffff
        tmpl src 4.5.6.7 dst 1.2.3.4
                proto esp reqid 1 mod tunel
src 0.0.0.0/0 dst 0.0.0.0/0
        priza cu prioritate 0
src 0.0.0.0/0 dst 0.0.0.0/0
        prioritatea prizei 0
src 0.0.0.0/0 dst 0.0.0.0/0
        priza cu prioritate 0
src 0.0.0.0/0 dst 0.0.0.0/0
        prioritatea prizei 0
src ::/0 dst ::/0
        priza cu prioritate 0
src ::/0 dst ::/0
        prioritatea prizei 0
src ::/0 dst ::/0
        priza cu prioritate 0
src ::/0 dst ::/0
        prioritatea prizei 0
48
0 + 0
Puncte:1
avatar Server
drapel cn
shearn89

Când am configurat un VPN de la site la site, am avut probleme similare ciudate. Câteva lucruri de verificat care pot ajuta:

  1. Verificați dacă propagarea rutei este activată pe subrețele și punctele finale din AWS.
  2. Verificați grupurile de securitate și NACL-urile.
  3. Dacă încercați să faceți ping la o instanță EC2, verificați grupurile de securitate care permit ping
  4. Dacă aveți îndoieli - desenați o diagramă a conexiunii de la gazda on-prem la VPN la AWS și verificați fiecare pas și direcție.

Cred ca am folosit si eu această pagină și această altă pagină - dacă încercați să o faceți cât mai sigură posibil, probabil cel mai bine să începeți cu mai puțin sigur până când veți elimina ridurile!

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.