Încerc să configurez un AWS Site-to-Site VPN la Digital Ocean cu strongswan.
- Pot trimite ping de la AWS la IP-ul privat al instanței mele DO.
- Nu pot face ping de la DO la IP-ul privat al AWS.
Am tot traficul de intrare permis pentru instanța mea AWS și când rulez tcpdump Văd că instanța mea AWS primește ping-ul de la DO și încearcă să răspundă:
22:03:24.901827 IP 169.254.218.10 > ip-172-31-28-61.ec2.internal: ICMP echo request, id 10, seq 563, length 64
22:03:24.901860 IP ip-172-31-28-61.ec2.internal > 169.254.218.10: răspuns ecou ICMP, id 10, seq 563, lungime 64
22:03:25.925918 IP 169.254.218.10 > ip-172-31-28-61.ec2.internal: ICMP echo request, id 10, seq 564, length 64
22:03:25.925953 IP ip-172-31-28-61.ec2.internal > 169.254.218.10: răspuns ecou ICMP, id 10, seq 564, lungime 64
Informații suplimentare care pot fi utile:
# Pe instanța VPN
$ adresă ip
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue stare UNKNOWN grup implicit qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet6 ::1/128 scope host
valid_lft pentru totdeauna preferred_lft pentru totdeauna
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 7e:4a:52:24:d1:b4 brd ff:ff:ff:ff:ff:ff
inet x.x.x.x/20 brd x.x.x.255 scope global eth0
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet 10.10.0.6/16 brd 10.10.255.255 scope global eth0
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet6 fe80::7c4a:52ff:fe24:d1b4/64 scope link
valid_lft pentru totdeauna preferred_lft pentru totdeauna
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 5e:a1:57:5e:2e:8d brd ff:ff:ff:ff:ff:ff
inet 10.136.197.163/16 brd 10.136.255.255 scope global eth1
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet6 fe80::5ca1:57ff:fe5e:2e8d/64 scope link
valid_lft pentru totdeauna preferred_lft pentru totdeauna
4: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
link/ipip 0.0.0.0 brd 0.0.0.0
5: Tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN grup implicit qlen 1000
link/ipip x.x.x.x peer 52.87.54.117
inet 169.254.218.10 peer 169.254.218.9/30 domeniu global Tunnel1
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet6 fe80::200:5efe:89b8:139e/64 scope link
valid_lft pentru totdeauna preferred_lft pentru totdeauna
$ traseu ip
implicit prin x.x.x.x dev eth0 proto static
10.10.0.0/16 dev eth0 proto kernel scope link src 10.10.0.6
10.136.0.0/16 dev eth1 proto kernel scope link src 10.136.197.163
x.x.x.0/20 dev eth0 proto kernel scope link src x.x.x.x
169.254.218.8/30 dev Tunnel1 proto kernel scope link src 169.254.218.10
172.31.0.0/16 dev Tunnel1 scope link
$ sudo iptables -t nat --list
PRERUUTARE în lanț (politica ACCEPTĂ)
target prot opt sursă destinație
INTRARE în lanț (politica ACCEPTĂ)
target prot opt sursă destinație
Ieșire în lanț (politica ACCEPT)
target prot opt sursă destinație
POSTOUTING în lanț (politica ACCEPT)
target prot opt sursă destinație
$ iptables -t mangle --list
PRERUUTARE în lanț (politica ACCEPTĂ)
target prot opt sursă destinație
INTRARE în lanț (politica ACCEPTĂ)
target prot opt sursă destinație
MARK esp -- ec2-y-y-y-y.compute-1.amazonaws.com ubuntu-s-1vcpu-1gb-nyc1-01 MARK set 0x64
Lanț FORWARD (politica ACCEPT)
target prot opt sursă destinație
TCPMSS tcp -- oriunde oriunde semne tcp:SYN,RST/SYN TCPMSS se fixează la PMTU
Ieșire în lanț (politica ACCEPT)
target prot opt sursă destinație
POSTOUTING în lanț (politica ACCEPT)
target prot opt sursă destinație
Cum ar trebui să procedez pentru a remedia această problemă?
