AWS - Strongswan :: Как заставить клиентов из подсетей общаться?

Question

Я успешно настроил IPsec VPN между 2 VPC из 2 разных регионов через Strongswan, и эти 2 шлюза могут подключаться. Проблема заключается в том, что другие экземпляры vpc / подсети не могут пропинговать другую vpc / подсеть: VPC A / шлюз может общаться с VPC B / шлюзом ... VPC A / Instance может общаться с VPC A / Gateway То же самое относится к VPC B ... Но VPC A / Instance НЕ МОЖЕТ общаться с VPC B / Gateway B или VPC B / Instances (То же самое относится к VPC B к VPC A).

Я проверил и попытался поиграть с маршрутами таблицы 220, а также с перенаправлениями ICMP, никак.

Кто-нибудь может помочь, пожалуйста?

Привет.

Answer 1

Слишком мало информации, чтобы дать точный ответ; потребуется план топологии и адресации, соответствующие группы безопасности и конфигурация EC2, StrongSwan и соответствующая конфигурация ядра Linux.

Тем не менее, позвольте мне предложить несколько советов, что делать для того, чтобы разрешить маршрутизацию между подсетями, подключенными через VPN:

1. Переадресация IP должна быть включена в ядре Linux, при условии, что StrongSwan работает на экземпляре Linux EC2. Это можно сделать с помощью следующей команды, работающей от имени пользователя root:
   echo 1 > /proc/sys/net/ipv4/ip_forward
   Обратите внимание, что настройка не будет сохраняться во время перезагрузки. Как сделать настройку постоянной, зависит от дистрибутива Linux.

2. Источник EC2 / dest. проверка должна быть отключена, см. скриншот ниже.

3. Таблицы маршрутизации VPC должны быть настроены для маршрутизации трафика в другую подсеть в другом регионе через узел StrongSwan EC2, а не через шлюз по умолчанию.

4. Селекторы трафика (left_subnet и right_subnet) в ipsec.conf должны быть установлены соответствующим образом.