AWS/Strongswan-Ubuntu 站点到站点隧道无法 Ping 远程

tag-icon tag-icon amazon-web-services routing ipsec ubuntu-18.04 strongswan
AWS/Strongswan-Ubuntu 站点到站点隧道无法 Ping 远程

Ubuntu(Linode)Strongswan 5.6.2 连接到 AWS(站点到站点)。

  1. 我可以从 AWS 端点 ping 到 Ubuntu VPN。
  2. 我无法从 AWS 端点 ping 到 Ubuntu 端点。
  3. 我无法从 Ubuntu VPN ping 通 AWS 的任何内容。

Ubuntu (VPN) 公共:1.2.3.4 | Ubuntu (VPN) 私有:192.168.234.113/24

AWS(VPN)公共:4.5.6.7 | AWS(VPN)私有:169.254.177.44/30

AWS(端点)私有:10.11.1.197

Ubuntu(端点)私有:192.168.136.15

我可以从 ubuntu(本地) ping 隧道适配器的 169.254.177.46,但不能 ping 远程 169.254.177.45,我认为它是客户网关(目标主机不可达)

root@ubuntu:~# ping 10.11.1.197
PING 10.11.1.197 (10.11.1.197) 56(84) bytes of data.
From 169.254.177.46 icmp_seq=1 Destination Host Unreachable
From 169.254.177.46 icmp_seq=2 Destination Host Unreachable

知识产权

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether f2:3c:93:db:4d:c0 brd ff:ff:ff:ff:ff:ff
    inet 1.2.3.4/24 brd 194.195.211.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 192.168.234.113/17 brd 192.168.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 2600:3c02::f03c:93ff:fedb:4dc0/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 60sec preferred_lft 20sec
    inet6 fe80::f03c:93ff:fedb:4dc0/64 scope link
       valid_lft forever preferred_lft forever
3: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/ipip 0.0.0.0 brd 0.0.0.0
6: Tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ipip 1.2.3.4 peer 4.5.6.7
    inet 169.254.177.46 peer 169.254.177.45/30 scope global Tunnel1
       valid_lft forever preferred_lft forever
    inet6 fe80::200:5efe:c2c3:d3cb/64 scope link
       valid_lft forever preferred_lft forever

路线

10.11.1.0              0.0.0.0         255.255.255.0   U     100    0        0 Tunnel1
169.254.177.44  0.0.0.0         255.255.255.252 U     0      0        0 Tunnel1
192.168.128.0    0.0.0.0         255.255.128.0   U     0      0        0 eth0
194.195.211.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

xfrm 策略

src 192.168.128.0/17 dst 0.0.0.0/0
        dir out priority 391295
        mark 0x64/0xffffffff
        tmpl src 1.2.3.4 dst 4.5.6.7
                proto esp spi 0xcdecfff9 reqid 1 mode tunnel
src 0.0.0.0/0 dst 192.168.128.0/17
        dir fwd priority 391295
        mark 0x64/0xffffffff
        tmpl src 4.5.6.7 dst 1.2.3.4
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 192.168.128.0/17
        dir in priority 391295
        mark 0x64/0xffffffff
        tmpl src 4.5.6.7 dst 1.2.3.4
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src ::/0 dst ::/0
        socket in priority 0
src ::/0 dst ::/0
        socket out priority 0
src ::/0 dst ::/0
        socket in priority 0
src ::/0 dst ::/0
        socket out priority 0

答案1

当我设置站点到站点 VPN 时,我也遇到了类似的奇怪问题。以下是一些可能有帮助的检查事项:

  1. 检查 AWS 中的子网和端点是否启用了路由传播。
  2. 检查安全组和 NACL。
  3. 如果您尝试 ping EC2 实例,请检查允许 ping 的安全组
  4. 如果有疑问 - 请绘制从内部部署主机到 VPN 到 AWS 的连接图,并检查每个步骤和方向。

我想我也用过这一页其他页面- 如果您想让它尽可能的安全,最好从不太安全开始,直到您消除皱纹!

相关内容