Serveur strongSwan avec des clients Windows 7 Ne roule pas de trafic

J'ai un serveur sur lequel il fonctionne strongSwan Sur l'instance Amazon EC2, À quoi je veux me connecter avec Windows 7. Serveur strongSwan Situé sur un réseau privé (adresse IP 172.16.1.15 en ligne 172.16.0.0/17), Et le trafic est redirigé vers son adresse privée à partir d'une adresse IP disponible au public. - C'est quoi Amazon appelle "élastique IP».

Je veux nommer des adresses clientes d'un autre sous-réseau privé - 10.127.0.0/22 ​​- et trafic trafic entre deux sous-réseaux privés. Notez que le sous-réseau 172.16.0.0/17 contrôlé Amazon, Mais sous-réseau 10.127.0.0/22 Maintenant rien n'est géré (outre le mien ipsec.conf).

Mes clients Windows Connectez-vous à K. VPN, Mais ils ne peuvent se connecter à aucun nœud de nœuds du réseau privé. Ma théorie est qu'elle est associée au problème ou avec le routage du client, ou avec le manque de quelques appels. iptables Sur le serveur, mais je ne sais pas très bien dans n'importe quel domaine et je suis coincé.

J'ai installé sur le serveur Ubuntu 12.04 et strongswan-ikev2.


ipsec version

Rapports

Linux strongSwan U4.5.2/K3.2.0-52-virtual

Veuillez noter que le client et le serveur sont pour NAT (client parce qu'il est dans le réseau de bureau local, et le serveur parce qu'il est dans le nuage Amazon). J'ai des ports déverrouillés UDP 500 et 4500 Sur le panneau de commande Amazon Et sur le pare-feu du client.

J'ai allumé l'expédition IPv4 Sur le serveur:

echo 1 > /proc/sys/net/ipv4/ip_forward

J'ai entré dans l'interface administrative Amazon VPC Pour sous-réseau 172.16.0.0/17 et a permis à tout le trafic dans / Du sous-réseau 10.127.0.0/23.

il /etc/ipsec.conf:

config setup
plutostart=no

conn %default
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
rekey=no

conn dlpvpn
left=172.16.1.15
leftauth=pubkey
leftcert=openssl-cert.pem
leftid=vpn.example.com
leftsubnet=172.16.0.0/17
right=%any
rightsourceip=10.127.0.0/22
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add

il /etc/ipsec.secrets:

: RSA openssl-key.rsa
TESTDOMAIN\testuser : EAP "testpassword"

il /etc/strongswan.conf:

charon {
threads = 16
dns1 = 172.16.3.246
}

Je veux utiliser un tunneling séparé, auquel seul le trafic de réseau privé 172.16.0.0/17 passe par VPN, Et le trafic associé à Internet utilise la passerelle locale du client. Pour ce faire, j'ai décollé la case "Utilisez la passerelle par défaut dans la case de réseau distant" et définit la case "Désactiver l'ajout d'itinéraire basée sur les classes" dans le client. Windows.

La connexion est complétée avec succès.

ipconfig /all

Spectacles:

PPP adapter strongswan:

Description . . . . . . . . . . . : strongswan
IPv4 Address. . . . . . . . . . . : 10.127.0.1(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 172.16.3.246

Cependant, je ne peux pas ping aucun hôte en ligne 172.16.0.0/17. En fait, si je fais nslookup, Il essaie de contacter le serveur DNS que j'ai signalé dans strongswan.conf, mais Wireshark Sur ce serveur DNS indique que rien n'a reçu. Je ne peux même pas propager l'adresse 172.16.1.15 Serveur lui-même strongSwan.

Pour autant que je sache, les règles de routage doivent être ajoutées manuellement dans Windows. Cependant, que devraient-ils être? La seule réponse que je pourrais venir avec - C'est essayer d'ajouter une itinéraire pour le réseau 172.16.0.0/17, Pour utiliser l'adresse du serveur VPN comme passerelle à l'aide de la commande

route add 172.16.0.0/17 172.16.1.15 if 45

. Cependant, cela n'a rien changé - Le trafic de mon client VPN n'a pas entré dans le réseau 172.16.0.0/17.

Je serai reconnaissant de toute aide. Remercier.
Invité:

Alice

Confirmation de:

Enfin ça marche, grâce à l'aide @ecdsa Ici et un peu d'aide canal irc #strongswan.

Les règles rondes de mon client VPN étaient incomplètes. J'avais besoin d'ajouter ces deux règles:

route add 172.16.1.15/32 10.127.0.1
route add 172.16.0.0/17 172.16.1.15

Le premier ajoute une route pour une adresse IP privée du serveur VPN, en spécifiant l'adresse IP de mon client nommé VPN, comme une passerelle (

route print

puis l'affiche comme

on-link

AKA Local pour cette interface). La seconde fait ce que j'ai essayé de faire avec la règle de la route dans ma question, - Il ajoute un itinéraire pour l'ensemble du réseau privé, en spécifiant un serveur VPN comme passerelle.

Je devais spécifier

leftsubnet=172.16.0.0/17

sur le serveur, sinon la politique IPsec N'autorise pas la circulation du sous-réseau indépendamment des itinéraires.

Je devais spécifier

leftfirewall=yes

Sur le serveur afin qu'il insère les règles pertinentes dans iptables.

Je devais désactiver "la vérification de la source / Destination "sur mon cas Amazon. Bien que j'ai autorisé le trafic de mon sous-réseau VPN dans / de

Groupes de sécurité

Dans le panneau de commande Amazon VPC Je n'ai pas remarqué qu'il y avait un autre paramètre. Sur le panneau de commande EC2 Vous pouvez cliquer avec le bouton droit de la souris sur l'instance et aller à "Modifier la vérification de la source / destination. " Cette vérification est activée par défaut et ne permet pas à mon trafic VPN de quitter le serveur VPN. (et empêche le trafic d'entrer d'autres hôtes VPC Dans mon sous-réseau VPN sur le serveur VPN).

Pour répondre aux questions, connectez-vous ou registre