Sự miêu tả
Tôi chưa quen với Strongswan và tôi muốn thiết lập Strongswan trong một chiến binh đường phố cấu hình.
Của tôi mặt trăng mạng là AWS VPC với khối CIDR 172.31.0.0/16
Bên trong mạng đó, cổng VPN của tôi là phiên bản EC2 nằm trên mạng con công cộng có IP công khai X.X.X.X
Trên mạng mặt trăng, tôi có một máy chủ HTTP có IP 172.31.X.X lắng nghe các yêu cầu trên cổng 80.
Của tôi hát mừng máy chủ cũng là một phiên bản EC2 nằm trong một VPC khác có CIDR 10.0.0.0/16. Các hát mừng máy chủ cũng nằm trong mạng con công cộng có IP công khai Y.Y.Y.Y
tôi thích của tôi hát mừng máy chủ để gửi yêu cầu HTTP đến máy chủ HTTP của tôi trong mặt trăng mạng.
Tôi có thể tải và bắt đầu, nhật ký hiển thị thông báo thành công ở cả máy chủ và máy khách.
Tuy nhiên khi tôi chạy cuộn tròn 172.31.X.X từ người dẫn chương trình carol. Lệnh bị treo. Tôi cố gắng chụp các gói tin trên hát mừng chủ nhà với tcpdump nhưng hoàn toàn không có gì xuất hiện. Vì vậy, tôi đoán không có lưu lượng truy cập từ hát mừng máy chủ (điều tương tự cũng xảy ra khi sử dụng ping -tôi).
Số báo
Tại sao lưu lượng truy cập dường như không đi ra khỏi máy khách (hát mừng chủ nhà) ?
Làm cách nào để xác minh rằng Strongswan có thể chuyển tiếp/tạo đường hầm lưu lượng truy cập từ hát mừng máy chủ đến máy chủ HTTP?
cấu hình kỹ thuật
máy móc
Phiên bản EC2 (do Cloud9 quản lý) chạy AmazonLinux 2.
Nhóm bảo mật đã được kiểm tra và các quy tắc xâm nhập đủ cho phép.
MạnhSwan
Phiên bản StrongSwan 5.9.5 cho cả máy khách và máy chủ được cài đặt từ nguồn bằng cách sử dụng
./configure --prefix=/usr --sysconfdir=/etc
chế tạo
sudo thực hiện cài đặt
hát mừng cấu hình
kết nối {
Trang Chủ {
remote_addrs = X.X.X.X
địa phương {
xác thực = khóa công khai
chứng chỉ = carolCert.pem
id = [email protected]
}
Xa xôi {
xác thực = khóa công khai
id = moon.strongswan.org
}
bọn trẻ {
Trang Chủ {
remote_ts = 172.31.0.0/16
start_action = bắt đầu
}
}
}
}
mặt trăng cấu hình
kết nối {
rw {
địa phương {
xác thực = khóa công khai
chứng chỉ = moonCert.pem
id = moon.strongswan.org
}
Xa xôi {
xác thực = khóa công khai
}
bọn trẻ {
rw {
local_ts = 172.31.0.0/16
remote_ts = 10.0.0.0/16
}
}
}
}
đầu ra của Sudo swanctl --initiate --child home từ hát mừng
[IKE] thiết lập nhà CHILD_SA{3}
[ENC] tạo yêu cầu CREATE_CHILD_SA 3 [ SA Không có TSi TSr ]
[NET] gửi gói: từ 10.0.22.27[4500] đến X.X.X.X[4500] (304 byte)
[NET] gói đã nhận: từ X.X.X.X[4500] đến 10.0.22.27[4500] (192 byte)
[ENC] đã phân tích cú pháp phản hồi CREATE_CHILD_SA 3 [ SA Không có TSi TSr ]
[CFG] đề xuất đã chọn: ESP:AES_GCM_16_128
[IKE] Nhà CHILD_SA{3} được thiết lập với SPI z9777de6_i z67c5f90_o và TS 10.0.22.27/32 === 172.31.0.0/16
bắt đầu hoàn tất thành công
Bật bảng IP hát mừng chủ nhà :
Quản trị viên:~/môi trường $ sudo ip route hiển thị bảng 220
172.31.0.0/16 qua 10.0.16.1 dev eth0 proto tĩnh src 10.0.22.27
