我现在一直在b my我的头脑,我想现在是时候大声呼救。这里有一点声明:
我不是典型的networking人物,我必须根据困难在现场学习。
我一直在使用openswan设置VPN,我一直在使用基于策略的VPN。 我根本不了解基于路线的政策。
我在aws上运行openswan,因为我的一些合作伙伴会将两端的公有IP作为encryption域。 pipe理VPN的东西aws不能提供。
自从星期一以来,我一直在挣扎着一种我从未见过的VPN。 合作伙伴有2个VPN网关,所以有2个不同的右对等IP(aa.aa.aa.aa和bb.bb.bb.bb)。 它有一种负载均衡器,对等VPN设备可以从aa.aa.aa.aa切换到bb.bb.bb.bb
我的configuration如下所示
conn xp_conn1 authby=secret forceencaps=yes auto=start left=%defaultroute leftnexthop=%defaultroute leftid=xx.xx.xx.xx leftsubnets={172.40.0./24,172.40.1.0/24} leftsourceip=xx.xx.xx.xx right=aa.aa.aa.aa rightid=aa.aa.aa.aa rightsubnets={192.168.0.0/24,192.168.1.0/24} pfs=yes aggrmode=no ike=aes256-sha1;modp1024 phase2=esp phase2alg=aes256-sha1;modp1024 ikelifetime=86400s salifetime=28800s dpddelay=6 dpdtimeout=10 dpdaction=clear conn xp_conn2 authby=secret forceencaps=yes auto=start left=%defaultroute leftnexthop=%defaultroute leftid=xx.xx.xx.xx leftsubnets={172.40.0./24,172.40.1.0/24} leftsourceip=xx.xx.xx.xx right=bb.bb.bb.bb rightid=bb.bb.bb.bb rightsubnets={192.168.0.0/24,192.168.1.0/24} pfs=yes aggrmode=no ike=aes256-sha1;modp1024 phase2=esp phase2alg=aes256-sha1;modp1024 ikelifetime=86400s salifetime=28800s dpddelay=6 dpdtimeout=10 dpdaction=clear 两个PSK都是一样的
xx.xx.xx.xx aa.aa.aa.aa : PSK "pskxx_to_aabb" xx.xx.xx.xx bb.bb.bb.bb : PSK "pskxx_to_aabb"
在使用aa.aa.aa.aa的同时,我们设法使隧道经受testing访问。 当它swbhed到bb.bb.bb.bb我的身边无法访问他们的一面,所以我做了一个sudo ipsec auto --down xp_conn1 && sudo ipsec auto --up xp_conn1
我有一堆cannot install eroute -- it is in use for "xp_conn2_2/2x2" #3411
我已经添加了死对等检测清除,并要求他们设置他们的重启,但不知道它已经工作。
现在通过做一些严肃的googefu我有一种感觉dynamic路由应该已经解决了这个问题。
任何人都可以在openswan的一些选项上点亮一些灯光吗? 如果这是解决scheme,我不介意转换到VyOS(至less我可以遵循的解决scheme,不要迷路,记住环境是AWS VPC)
非常感谢,如果你们中的任何人都可以帮忙的话
最好的祝福,