AWS Ubuntu Strongswan IPSec VPN 和 Iptables 配置隧道路由

AWS Ubuntu Strongswan IPSec VPN 和 Iptables 配置隧道路由

我把我的配置弄乱了。

我已经在运行 strongswan 的 AWS Ubuntu VM 和另一个站点之间设置了站点到站点的 VPN。

VPN 隧道正在运行,但每当我尝试通过隧道从其他站点路由流量时,隧道都没有返回任何响应。但请求也可以通过互联网到达 AWS 站点,我不得不允许这样做,以便我可以争取一些时间来正确修复配置。

我知道 iptables 配置很乱,但我不确定要清理什么。

    AWS Ubuntu Strongswan ipsec.conf:       
        config setup
         strictcrlpolicy=no
         uniqueids=no
         charondebug=”ike4, knl4, cfg 2”


        conn awsUbuntu-otherSide
         auto=add
         keyexchange=ikev1
         ike=aes256-sha256-modp1024
         esp=aes256-sha256
         leftid=2.2.2.200
         leftsubnet=2.2.2.200/32
         left=192.168.2.205
         leftsourceip=2.2.2.200
         leftfirewall=yes
         leftauth=psk
         right=1.1.1.50
         rightid=1.1.1.50
         rightsubnet=1.1.1.52/32
         rightauth=psk
         ikelifetime=86400s
         keylife=3600s
         rekeymargin=540s
         keyingtries=1
         authby=secret
         mobike=no
         dpdaction=restart


AWS Ubuntu iptables:    
        # Generated by iptables-save v1.6.0 on Fri May  4 13:15:58 2018
        *filter
        :INPUT DROP [0:0]
        :FORWARD DROP [0:0]
        :OUTPUT ACCEPT [92:10960]
        -A INPUT -i lo -j ACCEPT
        -A INPUT -p esp -j ACCEPT
        -A INPUT -p ah -j ACCEPT
        -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
        -A INPUT -i eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT
        -A INPUT -i eth0 -p udp -m udp --sport 4500 --dport 4500 -j ACCEPT
        -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
        -A INPUT -p tcp -m tcp --dport 6000 -j ACCEPT
        -A INPUT -s 1.1.1.48/29 -j ACCEPT
        -A INPUT -p tcp -m policy --dir in --pol ipsec -m tcp --dport 6000 -j ACCEPT
        -A INPUT -p tcp -m tcp --dport 3002 -j ACCEPT
        -A INPUT -p tcp -m tcp --dport 3014 -j ACCEPT
        -A FORWARD -s 1.1.1.52/32 -d 2.2.2.200/32 -i eth0 -m policy --dir in --pol ipsec --reqid 102 --proto esp -j ACCEPT
        -A FORWARD -s 2.2.2.200/32 -d 1.1.1.52/32 -o eth0 -m policy --dir out --pol ipsec --reqid 102 --proto esp -j ACCEPT
        -A FORWARD -s 1.1.1.52/32 -d 2.2.2.200/32 -i eth0 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
        -A FORWARD -s 2.2.2.200/32 -d 1.1.1.52/32 -o eth0 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
        -A FORWARD -s 1.1.1.50/32 -d 2.2.2.200/32 -i eth0 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
        -A FORWARD -s 2.2.2.200/32 -d 1.1.1.50/32 -o eth0 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
        -A FORWARD -s 1.1.1.50/32 -d 2.2.2.200/32 -i eth0 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
        -A FORWARD -s 2.2.2.200/32 -d 1.1.1.50/32 -o eth0 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
        -A OUTPUT -o lo -j ACCEPT
        -A OUTPUT -o eth0 -p esp -j ACCEPT
        -A OUTPUT -o eth0 -p ah -j ACCEPT
        -A OUTPUT -o eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT
        -A OUTPUT -o eth0 -p udp -m udp --sport 4500 --dport 4500 -j ACCEPT
        -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
        -A OUTPUT -p tcp -m tcp --sport 6000 -j ACCEPT
        -A OUTPUT -d 1.1.1.48/29 -j ACCEPT
        -A OUTPUT -p tcp -m policy --dir out --pol ipsec -m tcp --sport 6000 -j ACCEPT
        COMMIT
        # Completed on Fri May  4 13:15:58 2018
        # Generated by iptables-save v1.6.0 on Fri May  4 13:15:58 2018
        *nat
        :PREROUTING ACCEPT [15231:920394]
        :INPUT ACCEPT [368:21952]
        :OUTPUT ACCEPT [56:5926]
        :POSTROUTING ACCEPT [56:5926]
        COMMIT
        # Completed on Fri May  4 13:15:58 2018

我已经允许 strongswan 修改防火墙配置,但我认为我缺少的是适当的 nat 规则,以确保隧道流量响应返回隧道。有人能告诉我我做错了什么吗?

相关内容