Вопросы Теги

Openswan туннелируют к удаленному общедоступному хосту NAT'd

У нас есть старая версия программного обеспечения StarWind iSCSI Target, которое работает в 2008 R2 и может создать псевдодиски. Это не свободно, и это идет с оберткой iSCSI, но это все еще работает.

1
задан 13 February 2013 в 21:12
2 ответа

Я делюсь своими выводами для решения моей собственной проблемы, и может быть для некоторых.
Положение спасло параметр leftsourceip ipsec.conf! :)
По крайней мере, в моем случае iptables NAT не требуется.
Вот полностью рабочий ipsec.conf
Надеюсь, это будет полезно для других, которые столкнулись с аналогичной проблемой.

conn myVPN

type = tunnel
forceencaps = да
authby = секрет
ike = 3des-sha1; modp1024
keyexchange = ike
ikelifetime = 86400 с
phase2 = esp
phase2alg = 3des-sha1
salifetime = 3600 с
pfs = no
auto = start
keyingtries = 3
rekey = no
left =% defaultroute
leftnexthop =% defaultroute
leftid = 1.1.1.1
leftsourceip = 2.2.2.2
справа = 3.3.3.3
rightid = 3.3.3.3
rightsubnet = 3.3.3.30 / 32
rightnexthop =% defaultroute

2
ответ дан 3 December 2019 в 18:59

Кому-то помогло поделиться своими выводами! :)

Исправлена ​​именно та проблема, с которой я столкнулся !!

Спасибо за опубликование решения !!!

Вот что мне нужно было сделать дополнительно для пересылки пакетов на другую сторону:

  • слева сторона, включить пересылку

    echo 1> / proc / sys / net / ipv4 / ip_forward

  • выделить EIP (1.1.1.1) и связать его с интерфейсом eth0 на экземпляре AWS

  • добавить еще один EIP (2.2.2.2) и связать с интерфейсом eth1 в том же экземпляре
  • установить адрес leftsourceip (2.2.2.2) как подчиненный интерфейс eth1: 1

  • установить eth0 в качестве шлюза по умолчанию

    Centos - добавить "GATEWAYDEV = eth0" в / etc / sysconfig / network

  • отключить проверку источника / назначения на обоих интерфейсах экземпляра в консоли AWS

  • iptables правила SNAT, чтобы переписать исходный заголовок пакета так, чтобы что все, что приходит с локального хоста AWS на eth1, кажется, приходит из домена шифрования (leftsource) на eth1. например 10.0.0.123, IP-адрес в том же домене конфликтов внутри VPC, которому принадлежит экземпляр VPN, должен выйти и добраться до места назначения. Также разрешите прохождение любых существующих установленных или связанных сеансов.

    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.123 -j SNAT --to-source 2.2.2.2

    iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED, ESTABLISHED -j ACCEPT

    iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

1
ответ дан 3 December 2019 в 18:59

Теги

Похожие вопросы