Tôi đang cố gắng thiết lập AWS Site-to-Site VPN cho Digital Ocean với Strongswan.
- Tôi có thể ping từ AWS tới IP riêng của phiên bản DO của tôi.
- Tôi không thể ping từ DO đến IP riêng của AWS.
Tôi có tất cả lưu lượng truy cập đến cho phiên bản AWS của mình và khi tôi chạy tcpdump Tôi thấy rằng phiên bản AWS của tôi đang nhận lệnh ping từ DO và đang cố trả lời:
22:03:24.901827 IP 169.254.218.10 > ip-172-31-28-61.ec2.internal: ICMP echo request, id 10, seq 563, độ dài 64
22:03:24.901860 IP ip-172-31-28-61.ec2.internal > 169.254.218.10: ICMP echo reply, id 10, seq 563, length 64
22:03:25.925918 IP 169.254.218.10 > ip-172-31-28-61.ec2.internal: ICMP echo request, id 10, seq 564, độ dài 64
22:03:25.925953 IP ip-172-31-28-61.ec2.internal > 169.254.218.10: ICMP echo reply, id 10, seq 564, length 64
Thông tin bổ sung có thể hữu ích:
# Trên phiên bản VPN
địa chỉ $ ip
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 trạng thái qdisc noqueue nhóm UNKNOWN mặc định qlen 1000
liên kết/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
máy chủ phạm vi inet 127.0.0.1/8 lo
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
inet6 ::1/128 máy chủ phạm vi
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái fq_codel UP nhóm mặc định qlen 1000
liên kết/ether 7e:4a:52:24:d1:b4 brd ff:ff:ff:ff:ff:ff
inet x.x.x.x/20 brd x.x.x.255 phạm vi toàn cầu eth0
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
inet 10.10.0.6/16 brd 10.10.255.255 phạm vi toàn cầu eth0
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
liên kết phạm vi inet6 fe80::7c4a:52ff:fe24:d1b4/64
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái fq_codel UP nhóm mặc định qlen 1000
liên kết/ether 5e:a1:57:5e:2e:8d brd ff:ff:ff:ff:ff:ff
inet 10.136.197.163/16 brd 10.136.255.255 phạm vi toàn cầu eth1
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
liên kết phạm vi inet6 fe80::5ca1:57ff:fe5e:2e8d/64
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
4: ip_vti0@NONE: <NOARP> mtu 1480 trạng thái qdisc noop DOWN nhóm mặc định qlen 1000
liên kết/ipip 0.0.0.0 brd 0.0.0.0
5: Tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc trạng thái noqueue nhóm UNKNOWN mặc định qlen 1000
liên kết/ipip x.x.x.x ngang hàng 52.87.54.117
inet 169.254.218.10 ngang hàng 169.254.218.9/30 phạm vi toàn cầu Đường hầm1
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
liên kết phạm vi inet6 fe80::200:5efe:89b8:139e/64
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
tuyến đường $ ip
mặc định qua x.x.x.x dev eth0 proto tĩnh
10.10.0.0/16 dev eth0 liên kết phạm vi kernel proto src 10.10.0.6
10.136.0.0/16 dev eth1 liên kết phạm vi kernel proto src 10.136.197.163
x.x.x.0/20 dev eth0 liên kết phạm vi kernel proto src x.x.x.x
169.254.218.8/30 dev Tunnel1 liên kết phạm vi kernel proto src 169.254.218.10
Liên kết phạm vi 172.31.0.0/16 dev Tunnel1
$ sudo iptables -t nat --list
PREROUTING chuỗi (CHẤP NHẬN chính sách)
đích prot opt nguồn đích
ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
đích prot opt nguồn đích
ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
đích prot opt nguồn đích
Chuỗi POSTROUTING (CHẤP NHẬN chính sách)
đích prot opt nguồn đích
$ iptables -t mangle --list
PREROUTING chuỗi (CHẤP NHẬN chính sách)
đích prot opt nguồn đích
ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
đích prot opt nguồn đích
MARK đặc biệt -- ec2-y-y-y-y.compute-1.amazonaws.com ubuntu-s-1vcpu-1gb-nyc1-01 MARK được đặt 0x64
Chuỗi FORWARD (chính sách CHẤP NHẬN)
đích prot opt nguồn đích
TCPMSS tcp -- bất kỳ nơi nào cờ tcp:SYN,RST/SYN Kẹp TCPMSS vào PMTU
ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
đích prot opt nguồn đích
Chuỗi POSTROUTING (CHẤP NHẬN chính sách)
đích prot opt nguồn đích
Tôi nên làm thế nào để gỡ lỗi vấn đề này?
