înregistrare Logare
Puncte:0
clam37 avatar Server

Traficul nu este tunelizat/redirecționat folosind StrongSwan

drapel ar
clam37

Descriere

Sunt nou la strongswan și îmi place să setez strongswan într-un războinic rutier configurație.

Ale mele lună rețeaua este un AWS VPC cu bloc CIDR 172.31.0.0/16 În interiorul acelei rețele, poarta mea VPN este o instanță EC2 situată pe o subrețea publică cu un IP public X.X.X.X

În rețeaua lunii am un server HTTP cu IP 172.31.X.X ascultarea cererilor pe portul 80.

Ale mele colindă gazda este, de asemenea, o instanță EC2 situată într-un alt VPC cu CIDR 10.0.0.0/16. The colindă gazda se află, de asemenea, într-o subrețea publică cu un IP public A.A.A.A

Îmi place să-mi colindă gazdă să trimită cererea HTTP către serverul meu HTTP în lună reţea.

Pot încărca și iniția, jurnalele arată mesaje de succes atât pe server, cât și pe client.

Cu toate acestea, când alerg curl 172.31.X.X de la gazda colindelor. Comanda se blochează. Încerc să capturez pachete pe colindă gazdă cu tcpdump dar nu apare absolut nimic. Deci, cred că nu există nicio ieșire din trafic colindă gazdă (același lucru se întâmplă atunci când se utilizează ping -I).

Problema

De ce traficul nu pare să iasă din client (colindă gazdă)?

Cum să verificați că strongswan poate redirecționa/tunel traficul de la colindă gazdă pe serverul HTTP?

Configurație tehnică

mașinărie

Instanțe EC2 (gestionate de Cloud9) care rulează AmazonLinux 2. Grupul de securitate a fost verificat și regulile de intrare sunt suficient de permisive.

Strong Swan

StrongSwan versiunea 5.9.5 atât pentru client, cât și pentru server, instalat din sursă folosind

./configure --prefix=/usr --sysconfdir=/etc 
face
sudo make install

colindă configurație

conexiuni {
    Acasă {
      adrese_la distanță = X.X.X.X
      local {
        auth = pubkey
          certs = carolCert.pem
          id = [email protected]
        }
      la distanta {
        auth = pubkey
        id = moon.strongswan.org
      }
      copii {
        Acasă {
          remote_ts = 172.31.0.0/16
          start_action = start
        }
      }
    }
  }

lună configurație

conexiuni {
    rw {
      local {
        auth = pubkey
        certs = moonCert.pem
        id = moon.strongswan.org
      }
      la distanta {
        auth = pubkey
      }
      copii {
        rw {
          local_ts = 172.31.0.0/16
          remote_ts = 10.0.0.0/16
        }
      }
    }
}

Ieșire din sudo swanctl --initiate --child home din colindă

[IKE] se înființează casa CHILD_SA{3}
[ENC] generează cererea CREATE_CHILD_SA 3 [ SA No TSi TSr ]
Pachetul de trimitere [NET]: de la 10.0.22.27[4500] la X.X.X.X[4500] (304 octeți)
Pachetul primit [NET]: de la X.X.X.X[4500] la 10.0.22.27[4500] (192 octeți)
[ENC] a analizat răspunsul CREATE_CHILD_SA 3 [ SA Nu TSi TSr ]
[CFG] propunere selectată: ESP:AES_GCM_16_128
[IKE] CHILD_SA home{3} stabilit cu SPI-uri z9777de6_i z67c5f90_o și TS 10.0.22.27/32 === 172.31.0.0/16
inițiat finalizat cu succes

Tabelul IP activat colindă gazda:

Admin:~/environment $ sudo ip route arată tabelul 220                                                                                                                                                                                  
172.31.0.0/16 prin 10.0.16.1 dev eth0 proto static src 10.0.22.27
13
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.