在 AWS 实例上为站点到站点 VPN 配置 strongSwan 客户端时出现问题

在 AWS 实例上为站点到站点 VPN 配置 strongSwan 客户端时出现问题

我正在尝试在 debian-10 AWS 实例上设置 IPSec VPN 客户端。

不幸的是,我无法访问 VPN 服务器,因为它是由另一方配置的,所以我所知道的只是他们告诉我它是为我的配置的my-aws-public-ip

我正在尝试使用 Strongswan - Linux strongSwan U5.7.2/K4.19.0-16-cloud-amd64

这是我的配置文件:

config setup
        uniqueids=no
        charondebug="all"

conn vpn
        type=tunnel
        keyexchange=ikev2
        aggressive=no
        authby=secret
        auto=add
        ike=aes256-sha256-modp2048!
        esp=aes256-sha256-modp2048!
        ikelifetime=28800s
        left=my-aws-internal-ip
        leftid=my-aws-public-ip
        leftsubnet=192.168.140.120/29
        leftsourceip=192.168.140.121
        right=another-party-peer-ip
        rightsubnet=another-party-tunnel-network/mask
        dpddelay=300s
        dpdtimeout=120s
        dpdaction=restart
        rekey=yes
        reauth=yes
        keylife=3600s
        closeaction=restart
        encap=yes
        forceencaps=yes
        installpolicy=yes

当我 时sudo systemctl restart strongswan,我获得了活动服务。但是,似乎我不是 VPN 的一部分,因为我无法 ping 任何another-party-tunnel-networkIP 地址。

在 AWS 上使用弹性 IP,我假设我位于 NAT 后面。这对于通过 IPSec 隧道传输包来说是个问题吗?

你觉得我的配置文件有什么问题吗?

最后但同样重要的一点是,当对方告诉我他们已经为 my-aws-public-ip 配置了 VPN 时,我收到了一个包含有关网络信息的文件 - 例如 IKE 版本、身份验证模式、预共享密钥等。我已使用以下语法在 /etc/ipsec.secrets 中插入了预共享密钥:: PSK "my-preshared-key" 此外,在包含网络信息的文件中,据说他们已经为网络配置了 VPN 隧道访问列表信息:192.168.140.120/29,以及 192.168.140.121 的防火墙安全规则,因此我在配置文件中添加了leftsubnet和。leftsourceip这不是我的 AWS 子网。这有问题吗?我已经添加了一个界面sudo ip address add 192.168.140.121/29 dev ens5,并且我可以用看到它ip a

任何帮助将不胜感激。

谢谢

相关内容