Score:1

AWS/Strongswan-Ubuntu Site to Site Tunnel ไม่สามารถ Ping Remote ได้

ธง in

Ubuntu (Linode) Strongswan 5.6.2 การเชื่อมต่อกับ AWS (ไซต์หนึ่งไปยังอีกไซต์หนึ่ง)

  1. ฉันสามารถ ping จากตำแหน่งข้อมูล AWS ไปยัง Ubuntu VPN
  2. ฉันไม่สามารถ ping จากตำแหน่งข้อมูล AWS ไปยังตำแหน่งข้อมูล Ubuntu ได้
  3. ฉันไม่สามารถ ping จาก Ubuntu VPN ไปยัง AWS ได้เลย

Ubuntu (VPN) สาธารณะ: 1.2.3.4 | Ubuntu (VPN) ส่วนตัว: 192.168.234.113/24

AWS (VPN) สาธารณะ: 4.5.6.7 | AWS (VPN) ส่วนตัว: 169.254.177.44/30

AWS (ปลายทาง) ส่วนตัว: 10.11.1.197

Ubuntu (ปลายทาง) ส่วนตัว: 192.168.136.15

ฉันสามารถ ping 169.254.177.46 ของอะแดปเตอร์อุโมงค์จาก Ubuntu (ในเครื่อง) แต่ไม่ใช่จากระยะไกล 169.254.177.45 ซึ่งฉันคิดว่าเป็นเกตเวย์ของลูกค้า (ไม่สามารถเข้าถึงโฮสต์ปลายทางได้)

root@ubuntu:~# ปิง 10.11.1.197
PING 10.11.1.197 (10.11.1.197) 56(84) ไบต์ของข้อมูล
จาก 169.254.177.46 icmp_seq=1 ไม่สามารถเข้าถึงโฮสต์ปลายทางได้
จาก 169.254.177.46 icmp_seq=2 ไม่สามารถเข้าถึงโฮสต์ปลายทางได้

ไอพี

1: จริง: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN กลุ่มเริ่มต้น qlen 1,000
    ลิงค์ / ย้อนกลับ 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 ขอบเขตโฮสต์เลย
       valid_lft ตลอดไป reserved_lft ตลอดไป
    inet6 :: โฮสต์ขอบเขต 1/128
       valid_lft ตลอดไป reserved_lft ตลอดไป
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP กลุ่มเริ่มต้น qlen 1000
    ลิงค์/อีเธอร์ f2:3c:93:db:4d:c0 brd ff:ff:ff:ff:ff:ff
    inet 1.2.3.4/24 brd 194.195.211.255 ขอบเขต global eth0
       valid_lft ตลอดไป reserved_lft ตลอดไป
    inet 192.168.234.113/17 brd 192.168.255.255 ขอบเขต global eth0
       valid_lft ตลอดไป reserved_lft ตลอดไป
    inet6 2600:3c02::f03c:93ff:fedb:4dc0/64 ขอบเขตโกลบอลไดนามิก mngtmpaddr noprefixroute
       valid_lft 60 วินาทีที่ต้องการ_lft 20 วินาที
    inet6 fe80::f03c:93ff:fedb:4dc0/64 ลิงค์ขอบเขต
       valid_lft ตลอดไป reserved_lft ตลอดไป
3: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop สถานะ DOWN กลุ่มเริ่มต้น qlen 1000
    ลิงค์/ipip 0.0.0.0 brd 0.0.0.0
6: Tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN กลุ่มเริ่มต้น qlen 1000
    ลิงค์/ipip 1.2.3.4 เพียร์ 4.5.6.7
    inet 169.254.177.46 peer 169.254.177.45/30 ขอบเขต global Tunnel1
       valid_lft ตลอดไป reserved_lft ตลอดไป
    ลิงค์ขอบเขต inet6 fe80::200:5efe:c2c3:d3cb/64
       valid_lft ตลอดไป reserved_lft ตลอดไป

เส้นทาง

10.11.1.0 0.0.0.0 255.255.255.0 U 100 0 0 อุโมงค์1
169.254.177.44 0.0.0.0 255.255.255.252 U 0 0 0 อุโมงค์1
192.168.128.0 0.0.0.0 255.255.128.0 คุณ 0 0 0 eth0
194.195.211.0 0.0.0.0 255.255.255.0 คุณ 0 0 0 eth0

นโยบาย xfrm

src 192.168.128.0/17 dst 0.0.0.0/0
        ลำดับความสำคัญ 391295
        ทำเครื่องหมาย 0x64/0xffffffff
        tmpl src 1.2.3.4 dst 4.5.6.7
                proto esp spi 0xcdecfff9 reqid 1 โหมดอุโมงค์
src 0.0.0.0/0 dst 192.168.128.0/17
        ผู้อำนวยการ fwd ลำดับความสำคัญ 391295
        ทำเครื่องหมาย 0x64/0xffffffff
        tmpl src 4.5.6.7 dst 1.2.3.4
                อุโมงค์โหมด proto esp reqid 1
src 0.0.0.0/0 dst 192.168.128.0/17
        ลำดับความสำคัญ 391295
        ทำเครื่องหมาย 0x64/0xffffffff
        tmpl src 4.5.6.7 dst 1.2.3.4
                อุโมงค์โหมด proto esp reqid 1
src 0.0.0.0/0 dst 0.0.0.0/0
        ซ็อกเก็ตลำดับความสำคัญ 0
src 0.0.0.0/0 dst 0.0.0.0/0
        ลำดับความสำคัญเอาท์พุต 0
src 0.0.0.0/0 dst 0.0.0.0/0
        ซ็อกเก็ตลำดับความสำคัญ 0
src 0.0.0.0/0 dst 0.0.0.0/0
        ลำดับความสำคัญเอาท์พุต 0
src ::/0 dst ::/0
        ซ็อกเก็ตลำดับความสำคัญ 0
src ::/0 dst ::/0
        ลำดับความสำคัญเอาท์พุต 0
src ::/0 dst ::/0
        ซ็อกเก็ตลำดับความสำคัญ 0
src ::/0 dst ::/0
        ลำดับความสำคัญเอาท์พุต 0
Score:1
ธง cn

เมื่อฉันตั้งค่า VPN แบบไซต์ต่อไซต์ ฉันพบปัญหาแปลกๆ ที่คล้ายกัน บางสิ่งที่ต้องตรวจสอบซึ่งอาจช่วยได้:

  1. ตรวจสอบว่าการเผยแพร่เส้นทางเปิดใช้งานบนเครือข่ายย่อยและจุดสิ้นสุดใน AWS หรือไม่
  2. ตรวจสอบกลุ่มความปลอดภัยและ NACL
  3. หากคุณพยายาม ping อินสแตนซ์ EC2 ให้ตรวจสอบกลุ่มความปลอดภัยที่อนุญาต ping
  4. หากมีข้อสงสัย ให้วาดไดอะแกรมของการเชื่อมต่อจากโฮสต์ภายในองค์กรไปยัง VPN ไปยัง AWS และตรวจสอบแต่ละขั้นตอนและทิศทาง

ฉันคิดว่าฉันยังใช้ หน้านี้ และ หน้าอื่นนี้ - หากคุณกำลังพยายามทำให้ปลอดภัยที่สุดเท่าที่จะเป็นไปได้ ควรเริ่มด้วยความปลอดภัยน้อยกว่าจนกว่าคุณจะขจัดรอยยับได้ดีที่สุด!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา