リモートパブリックNATホストへのOpenswanトンネル
このVPN設定が機能するには、ヘルプが必要です。
左手。 EC2:
- eth0:10.0.0.100/EIP = 1.1.1.1(つまり、NATされたIP)
- eth1:10.0.0.200/EIP = 2.2.2.2
- ピアIP /左ID:1.1.1.1
右手。シスコ:
- ピアIP:3.3.3.3
- ピアホスト/rightsubnet:3.3.3.30/32(パブリックNAT'd ip)
Cisco ACL:permit ip Host 3.3.3.30/32 Host 2.2.2.2(LH eth1)
- 3.3.3.30へのアウトバウンドping/telnetパケットがトンネルを通過しているが、応答/ルーティングバックしていないため、トンネルはアップしています。
- IPTABLESでSNAT、DNAT、またはマスカレードを設定する必要がありますか?.
基本的に、目標はLHがパブリックNATされたIPを使用してピアホストに到達することです。
役立つヒントをいただければ幸いです。
私自身の問題を解決するために私の発見を共有すること、そしていくつかのためかもしれません。
ipsec.conf param leftsourceipがその日を救った! :)
iptablesはありませんNAT少なくとも私の場合は必要ありません。
これが完全に機能するipsec.confです
これが同様の問題にぶつかった他の人に役立つことを願っています。
conn myVPN
type = tunnel
forceencaps = yes
authby = secret
ike = 3des-sha1; modp1024
keyexchange = ike
ikelifetime = 86400s
phase2 = esp
phase2alg = 3des-sha1
salifetime = 3600s
pfs = no
auto = start
keyingtries = 3
rekey = no
left =%defaultroute
leftnexthop =%defaultroute
leftid = 1.1.1.1
leftsourceip = 2.2.2.2
right = 3.3.3.3
rightid = 3.3.3.3
rightsubnet = 3.3.3.30/32
rightnexthop =%defaultroute
あなたの発見を共有することは誰かを助けました! :)
私が直面していた正確な問題を修正しました!!
ソリューションを投稿していただきありがとうございます!!!
パケットを反対側に転送するために追加で行う必要があることは次のとおりです。
左側で、転送を有効にします
エコー1>/proc/sys/net/ipv4/ip_forward
eIP(1.1.1.1)を割り当て、AWSインスタンスのeth0インターフェースに関連付けます
- 別のEIP(2.2.2.2)を追加し、同じインスタンスのeth1インターフェイスに関連付けます
- leftsourceip(2.2.2.2)アドレスをサブインターフェースeth1:1として設定します
eth0をデフォルトゲートウェイとして設定します
Centos-「GATEWAYDEV = eth0」を/ etc/sysconfig/networkに追加します
aWSコンソールの両方のインスタンスインターフェースで送信元/宛先チェックを無効にします
iptables SNATは、パケットのソースヘッダーを書き換えて、eth1のローカルAWSホストから着信するものはすべて、eth1の暗号化ドメイン(leftsource)から着信しているように見えるようにするルールです。例えば10.0.0.123、VPNインスタンスが属するVPC内の同じコリジョンドメイン内のIPは、送信して宛先に到達する必要があります。また、既存の確立されたセッションまたは関連するセッションの通過を許可します。
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.123 -j SNAT --to-source 2.2.2.2
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED、ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT