我想使用 AWS Site-to-Site VPN 在 AWS EKS-Kubernetes-Cluster 和其他提供商的服务器之间建立站点到站点 IPsec VPN 连接。Ping 可以通过 VPN,但 TCP 流量无法通过。
另一端的服务器运行 Ubuntu 20.04 并使用 libreswan。AWS 为 openswan 的 VPN 提供的配置文件已以两种方式更改(我认为这无关紧要):
auth=esp已被注释掉,否则 libreswan 将无法启动(libreswan 3.29)- VPN 已配置为使用 VTI。
从 AWS 站点发送 HTTP 请求时:tcpdump在 libreswan 站点上显示 SYN 到达并且 SYN-ACK 被发送回来,而tcpdump在 EC2 实例上(以及在 pod 中)仅注册 SYN。
安全组和 ACL 等已允许所有传入流量。
答案1
您有幸解决了这个问题吗?
我设置了两个 aws 账户,并在两边都安装了 strongswan(我甚至尝试了 strongswan 和 libreswan 的组合)
我可以 ping 通,但是看不到任何 tcp 数据包传递。
谢谢。
更新: 我找到了我的问题,它与 UFW 有关
当我在 strongswan 实例上禁用 ufw 时,它允许 TCP 流量。
我是怎么想的:我在 strongswan 实例上运行并从我的私有实例tail -f /var/log/syslog触发telnet X.X.X.X 80
我看到了以下 UFW BLOCK 日志条目
[UFW BLOCK] IN=ens5 OUT=ens5 MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=Y.Y.Y.Y DST=X.X.X.X LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54490 DF PROTO=TCP SPT=50814 DPT=80 WINDOW=62727 RES=0x00 SYN URGP=0
我不确定为什么流量会被阻止,即使 ufw 在任何地方允许 ipv4 和 ipv6 上的 80。