Проблемы с настройкой клиента strongSwan на экземпляре AWS для VPN типа «сеть-сеть»

Я пытаюсь настроить VPN-клиент IPSec на экземпляре AWS debian-10.

К сожалению, у меня нет доступа к VPN-серверу, так как он настроен другой стороной, поэтому все, что я знаю, это то, что мне сказали, что он настроен для моего my-aws-public-ip.

Я пытаюсь использовать Strongswan — Linux strongSwan U5.7.2/K4.19.0-16-cloud-amd64

Вот мой файл конфигурации:

config setup
        uniqueids=no
        charondebug="all"

conn vpn
        type=tunnel
        keyexchange=ikev2
        aggressive=no
        authby=secret
        auto=add
        ike=aes256-sha256-modp2048!
        esp=aes256-sha256-modp2048!
        ikelifetime=28800s
        left=my-aws-internal-ip
        leftid=my-aws-public-ip
        leftsubnet=192.168.140.120/29
        leftsourceip=192.168.140.121
        right=another-party-peer-ip
        rightsubnet=another-party-tunnel-network/mask
        dpddelay=300s
        dpdtimeout=120s
        dpdaction=restart
        rekey=yes
        reauth=yes
        keylife=3600s
        closeaction=restart
        encap=yes
        forceencaps=yes
        installpolicy=yes

Когда я sudo systemctl restart strongswan, я получаю активную услугу. Однако, похоже, я не являюсь частью VPN, так как не могу пропинговать ни один из another-party-tunnel-network ip адреса.

Используя эластичный IP-адрес на AWS, я предполагаю, что нахожусь за NAT. Это проблема для передачи пакетов через туннель IPSec?

Вы видите что-то не так с моим файлом conf?

И последнее, но не менее важное: когда другая сторона сообщила мне, что они настроили VPN для my-aws-public-ip, я получил файл с информацией о сети, такой как версия IKE, режим аутентификации, предварительный ключ и т. д. Я вставил предварительный ключ в файл /etc/ipsec.secrets, используя следующий синтаксис: : PSK "my-preshared-key"
Кроме того, в файле с информацией о сети сказано, что они настроили список доступа к туннелю VPN для сети: 192.168.140.120/29 и правила безопасности брандмауэра для 192.168.140.121, поэтому я добавил leftsubnet а также leftsourceip в файле конфигурации. Это не моя подсеть AWS. Это проблема? Я добавил интерфейс с sudo ip address add 192.168.140.121/29 dev ens5и я вижу это с ip a.

Любая помощь будет оценена.

Спасибо

amazon-web-services nat ipsec site-to-site-vpn strongswan

0

Добавить комментарий

Ваш адрес email не будет опубликован.