两个 AWS 实例之间的 Strongswan VPN 隧道无法连接

两个 AWS 实例之间的 Strongswan VPN 隧道无法连接

我正在尝试使用 StrongSwan 5.1.2 在两个运行 Ubuntu 14.04.2 LTS 的 Amazon AWS EC2 实例之间设置 VPN 隧道。在使用 StrongSwan 之前,我在 Amazon RedHat AMI 上使用 open(libre)swan,效果很好。出于某种原因,我甚至无法让 IKE 在这里为 StrongSwan 工作。我仔细检查了我的 AWS 配置,一切看起来都很好,所以一定是 StrongSwan 配置出了问题。

正如您将在下面看到的,我收到的错误是“写入套接字时出错:参数无效”。我在网上查找过,但确实找不到解决方案。我确信我的 strongswan ipsec.conf 配置不正确。

以下是我正在处理的内容:

Instance #1: N.Virginia - 10.198.0.164 with public EIP 54.X.X.X
Instance #2: Oregon - 10.194.0.176 with public EIP 52.Y.Y.Y

(简单)拓扑如下:

[ Instance #1 within N.Virginia VPC <-> Public internet <-> Instance #2 within Oregon VPC ]

我验证了以下 AWS 配置是正确的:

Security groups permit all
IP information is correct
Src/Dest disabled on both instances
ACLs permit all
routes are present and correct (route to 10.x will point to that local instance in order to be routed out to the VPN tunnel)

以下是/etc/ipsec.conf (这是俄勒冈州的情况,但在北弗吉尼亚州的情况也一样,只是左|右的值是相反的)

config setup
        charondebug="dmn 2, mgr 2, ike 2, chd 2, job 2, cfg 2, knl 2, net 2, enc 2, lib 2"
conn aws1oexternal-aws1nvexternal
        left=52.Y.Y.Y (EIP)
        leftsubnet=10.194.0.0/16
        right=54.X.X.X (EIP)
        rightsubnet=10.198.0.0/16
        auto=start
        authby=secret
        type=tunnel
        mobike=no
        dpdaction=restart

下面是 /etc/ipsec.secrets *(对于其他实例,显然是反转的):

54.X.X.X 52.Y.Y.Y : PSK "Key_inserted_here"

以下是 /etc/strongswan.conf:

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
}

以下是 /etc/sysctl.conf:

net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

以下是 /var/log/syslog 的调试输出看来这里的问题是“写入套接字时出错:参数无效;我尝试了所有方法后,仍然收到同样的错误

Jun 17 17:34:48 ip-10-198-0-164 charon: 13[IKE] retransmit 5 of request with message ID 0
Jun 17 17:34:48 ip-10-198-0-164 charon: 13[NET] sending packet: from 54.X.X.X[500] to 52.Y.Y.Y[500] (1212 bytes)
Jun 17 17:34:48 ip-10-198-0-164 charon: 03[JOB] next event in 75s 581ms, waiting]
Jun 17 17:34:48 ip-10-198-0-164 charon: 16[NET] sending packet: from 54.X.X.X[500] to 52.Y.Y.Y[500]
Jun 17 17:34:48 ip-10-198-0-164 charon: 13[MGR] checkin IKE_SA aws1vexternal-aws1oexternal[1]
Jun 17 17:34:48 ip-10-198-0-164 charon: 13[MGR] check-in of IKE_SA successful.
Jun 17 17:34:48 ip-10-198-0-164 charon: 16[NET] error writing to socket: Invalid argument
Jun 17 17:36:04 ip-10-198-0-164 charon: 03[JOB] got event, queuing job for execution
Jun 17 17:36:04 ip-10-198-0-164 charon: 03[JOB] no events, waiting
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[MGR] checkout IKE_SA
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[MGR] IKE_SA aws1vexternal-aws1oexternal[1] successfully checked out
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[IKE] giving up after 5 retransmits
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[IKE] establishing IKE_SA failed, peer not responding
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[MGR] checkin and destroy IKE_SA aws1vexternal-aws1oexternal[1]
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[IKE] IKE_SA aws1vexternal-aws1oexternal[1] state change: CONNECTING => DESTROYING
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[MGR] check-in and destroy of IKE_SA successful

以下是我迄今为止尝试过的:

1)验证第 3 层

2)重启机器

3)尝试添加 leftid=

4)尝试执行 ipsec 更新,然后 ipsec 重启

5) 尝试在 confif 设置下添加 nat_traversal=yes(请注意,这无关紧要,因为 ipsec statusall 使用 IKEv2 进行验证,根据文档,它会自动使用 nat_traversal)

6)尝试省略virtual_private<--根据AWS openswan 文档使用,所以我将其包含在strongswan配置中。

7)尝试在 /etc/sysctl.conf 中禁用 net.ipv4.conf.all.send_redirects = 0 和 net.ipv4.conf.all.accept_redirects = 0

8) 尝试使用私有 IP 而不是 EIP。我不再收到套接字错误,但显然这两个 IP 无法相互通信……

9)尝试将其添加到 strongswan.conf:load = aes des sha1 sha2 md5 gmp random nonce hmac stroke kernel-netlink socket-default updown

10)尝试使用 leftfirewall=yes,没有效果

请帮忙!谢谢!

编辑#1:

Michael 的回复解决了原先的问题,但我又遇到了一个与路由相关的新问题。两个 VPN 实例都无法相互 ping 通。此外,当我尝试从任一子网中的随机实例 ping 通另一个随机实例或远端 VPN 实例时,我得到了以下 ping 响应:

root@ip-10-194-0-80:~# ping 10.198.0.164
PING 10.198.0.164 (10.198.0.164) 56(84) bytes of data.
From 10.194.0.176: icmp_seq=1 Redirect Host(New nexthop: 10.194.0.176)
From 10.194.0.176: icmp_seq=2 Redirect Host(New nexthop: 10.194.0.176)
From 10.194.0.176: icmp_seq=3 Redirect Host(New nexthop: 10.194.0.176)
From 10.194.0.176: icmp_seq=4 Redirect Host(New nexthop: 10.194.0.176)

显然,这肯定是两个 VPN 实例之间的路由问题(最有可能是由于 strongswan 配置或实例路由表),因为俄勒冈子网中的 10.194.0.80 主机能够收到来自俄勒冈 VPN 实例的响应。实例上的路由表 + traceroute:

root@ip-10-194-0-80:~# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.194.0.1      0.0.0.0         UG        0 0          0 eth0
10.194.0.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0

root@ip-10-194-0-80:~# traceroute 10.198.0.164
traceroute to 10.198.0.164 (10.198.0.164), 30 hops max, 60 byte packets
 1  10.194.0.176 (10.194.0.176)  0.441 ms  0.425 ms  0.409 ms^C

当我使用 openswan 时,它不需要我对每个实例的路由表进行任何手动修改。

以下是俄勒冈州 VPN 实例的路由表:

root@ip-10-194-0-176:~# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.194.0.1      0.0.0.0         UG        0 0          0 eth0
10.194.0.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0

我有点困惑。

编辑#2:

看起来 VPN 实例之间的路由可能不是问题:/var/log/syslog 显示从一个 VPN 实例公共 IP 接收到另一个 VPN 实例的数据包

Jun 23 19:57:49 ip-10-194-0-176 charon: 10[NET] received packet: from 54.X.X.X[4500] to 10.194.0.176[4500] (76 bytes)

看起来这是一个与儿童安全协会有关的问题:

aws1oexternal-aws1nvexternal:   child:  10.194.0.0/16 === 10.198.0.0/16 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 **connecting**):

/var/log/syslog:

Jun 23 19:52:19 ip-10-194-0-176 charon: 02[IKE] failed to establish CHILD_SA, keeping IKE_SA
Jun 23 19:52:48 ip-10-194-0-176 charon: 11[IKE] queueing CHILD_CREATE task
Jun 23 19:52:48 ip-10-194-0-176 charon: 11[IKE]   activating CHILD_CREATE task
Jun 23 19:52:48 ip-10-194-0-176 charon: 06[IKE] establishing CHILD_SA aws1oexternal-aws1nvexternal
Jun 23 19:52:48 ip-10-194-0-176 charon: 10[IKE] received FAILED_CP_REQUIRED notify, no CHILD_SA built
Jun 23 19:52:48 ip-10-194-0-176 charon: 10[IKE] failed to establish CHILD_SA, keeping IKE_SA
Jun 23 19:52:49 ip-10-194-0-176 charon: 14[CFG] looking for a child config for 10.194.0.0/16 === 10.198.0.0/16 
Jun 23 19:52:49 ip-10-194-0-176 charon: 14[CFG] found matching child config "aws1oexternal-aws1nvexternal" with prio 10
Jun 23 19:52:49 ip-10-194-0-176 charon: 14[IKE] configuration payload negotiation failed, no CHILD_SA built
Jun 23 19:52:49 ip-10-194-0-176 charon: 14[IKE] failed to establish CHILD_SA, keeping IKE_SA

***编辑#3:问题解决了(呃,实际上请参见下面的编辑#4……)****

问题已解决。

1) 我没有正确遵循 Michael 的配置说明。我还同时配置了 rightsourceip 和 leftsourceip,从而导致两个实例都认为它们都是发起方。我确保一个是发起方,一个是请求方;这解决了 IKE 问题。

2) 我发现我还必须明确设置 esp 参数。即使已经有默认值 (aes128-sha1,3des-sha1),仍必须设置 esp 参数,以便实例知道使用 esp 或 ah(但不能同时使用)。我最终使用了 aes128-sha1-modp2048。

希望这篇文章能够帮助下一位 Linux 新手完成这一设置!!

干杯!

编辑#4:问题(并非真正)解决了

在对与 strongswan 相关的单独问题进行故障排除时,我更改了“leftfirewall”参数,进行了测试,但未能解决我的单独问题,然后恢复到之前的原始配置(注释掉 leftfirewall)。然后我注意到我现在无法通过隧道进行 ping 操作。经过几个小时的疯狂尝试弄清楚发生了什么之后,我注释掉了 esp 参数以查看会发生什么:我现在可以再次通过隧道进行 ping 操作了!<- 因此,有可能有一些 ipsec 幽灵在到处捉弄我,并且 esp 参数并不是真正解决 TS_UNACCEPTABLE 错误的办法(尽管其他在线资源表明 esp 参数是解决办法...)

编辑#5:问题完全解决

我最终将所有内容移至测试环境并从头开始。我使用最新版本 (5.3.2) 而不是 Ubuntu repo 中的旧版本 (5.1.2) 从源代码进行安装。这解决了我上面遇到的问题,并使用 netcat(很棒的工具!!)通过 VPN 隧道验证了多个子网之间的第 7 层连接。

另外:不是需要为 VPC 启用 DNS 主机名(亚马逊错误地引导我相信这一点),仅供参考>

希望这一切都有帮助!

2017 年 2 月 11 日补充编辑:

根据 JustEngland 的要求,复制以下工作配置(省略某些细节以防止以任何方式识别):

A 面:

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration
config setup
# Add connections here.
conn %default
 ikelifetime= You choose; must match other side
 keylife= You choose; must match other side
 rekeymargin= You choose; must match other side
 keyingtries=1
 keyexchange= You choose; must match other side
 authby=secret
 mobike=no

conn side-a
 left=10.198.0.124
 leftsubnet=10.198.0.0/16
 leftid=54.y.y.y
 leftsourceip=10.198.0.124
 right=52.x.x.x
 rightsubnet=10.194.0.0/16
 auto=start
 type=tunnel
# Add connections here.


root@x:~# cat /etc/ipsec.secrets 
A.A.A.A B.B.B.B : PSK "Your Password"

B面:

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration
config setup

conn %default
 ikelifetime= You choose; must match other side
 keylife= You choose; must match other side
 rekeymargin= You choose; must match other side
 keyingtries=1
 keyexchange= You choose; must match other side
 authby=secret
 mobike=no

conn side-b
 left=10.194.0.129
 leftsubnet=10.194.0.0/16
 leftid=52.x.x.x
 right=54.y.y.y
 rightsubnet=10.198.0.0/16
 rightsourceip=10.198.0.124
 auto=start
 type=tunnel

root@x:~# cat /etc/ipsec.secrets 
B.B.B.B A.A.A.A : PSK "Your Password"

答案1

在 VPC 中,实例的公网 IP 地址永远不会绑定到实例的堆栈,因此您必须同时配置内部私有地址和外部公网地址。无效的论点大概是由于尝试直接从公共 IP 地址获取流量,而您的实例并不知道该地址。

left=10.10.10.10         # instance private IP of local system
leftsourceip=10.10.10.10 # instance private IP of local system
leftid=203.x.x.x         # elastic IP of local system
leftsubnet=10.x.x.x/xx

rightsubnet=10.x.x.x/xx
right=198.x.x.x          # elastic IP of remote system

答案2

问题已解决。

1) 我没有正确遵循 Michael 的配置说明。我还同时配置了 rightsourceip 和 leftsourceip,从而导致两个实例都认为它们都是发起方。我确保一个是发起方,一个是请求方;这解决了 IKE 问题。

2) 我发现我还必须明确设置 esp 参数。即使已经有默认值 (aes128-sha1,3des-sha1),仍必须设置 esp 参数,以便实例知道使用 esp 或 ah(但不能同时使用)。我最终使用了 aes128-sha1-modp2048。

相关内容