服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 发布路由将打开服务器之外的vpnstream量
Intereting Posts
Linux / Unix中每个用户的磁盘使用情况 如何监视家庭无线networking连接的设备带宽 CDN体系结构 – 最佳实践和devise Apache将不会开始使用mod_ssl.so 如何启用与SQL Server 2008的远程连接而不安装Management Studio? Exchange 2007上的垃圾邮件和防病毒软件? 将.aspx站点移到nginx,需要将服务器.aspx作为静态文件或重写 清除Synology Diskstation 4.1上的chroot jail 在GPT磁盘上构build并迁移到软件raid(mdadm),现在无法组装数组 什么是IIS 7的默认MIMEtypes? 在Apache中阻止非虚拟主机访问? nginx似乎忽略了在一个组合的反向代理/发送文件服务器上的gzip 如何在Apache中启用mod_info? 如何在KVM上的访客虚拟机上运行fsck 灰名单仍然是一个有效的方法来防止垃圾邮件?

发布路由将打开服务器之外的vpnstream量

尝试设置坐在Amazon VPC群集中的基于openswan的服务器。 我们的目标是为了让我们可以VPN到VPC,并让我们的工作站就像在networking上一样,更像是一个roadwarriorconfiguration。

我们的VPN客户端selectEquinux VPN Tracker( http://equinux.com/us/products/vpntracker/ )用于Mac OS X.我们已经使用它来通过基于硬件的VPN连接到我们现有的networking,并希望只是继续用它连接到我们的VPCnetworking。

到目前为止,我已经设置了可以成功连接到在VPC中运行的openswan服务器的位置,但是我只能ping到openswan服务器的内部IP。 我无法与networking上的其他任何人交谈。 我可以运行tcpdump并看到ping请求显示,但是他们从来没有把它交给另一个主机。

我的第一个想法是,它与EC2实例只有一个networking接口有关,但是我已经build立了一个OpenVPN连接,但没有问题,尽pipe他们通常使用隧道设备,但我还没有真正find与隧道或单个界面openswan。

任何帮助将不胜感激。

一些configuration: 

VPC Subnet: 10.10.1.0/24 VPC Gateweay: 10.10.1.1 Openswan Private IP: 10.10.1.11 Openswan Public IP: xxx.xxx.xxx.xxx

Openswanconfiguration: 

 version 2.0 config setup interfaces=%defaultroute klipsdebug=none plutodebug=none dumpdir=/var/log nat_traversal=yes virtual_private=%v4:10.10.1.0/24 conn vpntracker-psk left=%any leftsubnet=vhost:%no,%priv right=10.10.1.11 rightid=xxx.xxx.xxx.xxx rightsubnet=10.10.1.0/24 rightnexthop=10.10.1.1 auto=add authby=secret dpddelay=40 dpdtimeout=130 dpdaction=clear pfs=yes forceencaps=yes

iptables的/ sysctl的: 

 sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

tcpdump输出: 

 09:13:25.346645 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x6), length 116 09:13:25.346645 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 0, length 64 09:13:25.346789 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x6), length 148 09:13:26.506120 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x7), length 116 09:13:26.506120 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 1, length 64 09:13:26.506245 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x7), length 148 09:13:27.332308 IP ROADWARRIOR_IP.4500 > ip-10-10-1-11.4500: UDP-encap: ESP(spi=0x38543e78,seq=0x8), length 116 09:13:27.332308 IP 10.200.0.30 > 10.10.1.251: ICMP echo request, id 21250, seq 2, length 64 09:13:27.332397 IP ip-10-10-1-11.4500 > ROADWARRIOR_IP.4500: UDP-encap: ESP(spi=0x07046a51,seq=0x8), length 148

从OS X的ping输出: 

 :~> ping 10.10.1.251 PING 10.10.1.251 (10.10.1.251): 56 data bytes 92 bytes from 10.10.1.11: Destination Host Unreachable Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 5400 6c64 0 0000 3f 01 f85a 10.200.0.30 10.10.1.251 Request timeout for icmp_seq 0 92 bytes from 10.10.1.11: Destination Host Unreachable Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 5400 1818 0 0000 3f 01 4ca7 10.200.0.30 10.10.1.251 Request timeout for icmp_seq 1 92 bytes from 10.10.1.11: Destination Host Unreachable Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 5400 1a09 0 0000 3f 01 4ab6 10.200.0.30 10.10.1.251 Request timeout for icmp_seq 2

不知道这是否有帮助,但我发现这个网站真的很有用。

http://fortycloud.com/setting-up-ipsecopenswan-in-amazon-ec2/

向下滚动到CONFIGURING MASQUERADE部分。

这有助于“远程”端看到我的本地networking上的所有主机,然后这个

http://www.howtogeek.com/howto/windows/adding-a-tcpip-route-to-the-windows-routing-table/

相反的帮助。

务必确保在您的Openswan实例上禁用源/目标检查。 我没有看到提到这一点。