[uanog] Туплю із конфігурацією ocserv в AWS

Oleh Hrynchuk oleh.hrynchuk at gmail.com
Mon Mar 8 11:23:06 EET 2021 

Кароч, задача глобальна наступна:

Є кілька американських ресурсів (наші клієнти), котрі дозволяють доступ
виключно з американських ІР.
Нашим девам і QA з України треба періодично туди доступатися.
Виникла ідея підняти в AWS в регіоні US на базі безкоштовного EC2 t2.micro
якийсь безкоштовний VPN GW з NAT (щоби ліпилося Source IP Amazon'a) і через
нього "ходити" на ті ресурси
Навантаження планується мінімальне. Але кількість одночасних сесій може
перевищувати 2 (т.ч. free OpenVPN не дуже бажано, хоча якщо вже нічого не
підійде, то згодиться й воно).

Як найпростіше це зробити?

В принципі OpenConnect server був би чудовим рішенням, але щось не можу
налагодити механізм роутингу трафіку від VPN-клієнта після його
підключення. Нікуди не хоче ходити за винятком Private IP Ocserv AWS :( Не
піднімається на клієнті правильний роутинг, хоч плач, хоч конект з ocserv
відбувається.



нд, 7 бер. 2021 о 17:37 Oleh Hrynchuk <oleh.hrynchuk at gmail.com> пише:

> Доброго вечора усім.
>
> Десь гальмую з networking...
>
> Засетапив ocserv (openconnect server) на класичному ubuntu server 20.04,
> що знаходиться в AWS.
> Ubuntu має eth0: 172.31.18.xx/20
> До нього присобачений Public IP: 54.xx.xx.xx/32
>
> В ocserv.conf прописано між іншим
>
> ipv4-network = 172.31.18.0
> ipv4-netmask = 255.255.240.0
>
> І конект ніби й піднімається, але після:
>
> Connected as 172.31.19.13, using SSL + LZ4, with DTLS disabled
> Connect Banner:
> | Welcome
>
>
>
> *Error: Nexthop has invalid gateway.Error: any valid prefix is expected
> rather than "broadcast/24".*
>
>
> А на клієнті
> oleh at oleh-ws:~$ ip a
> ...
> 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1472 qdisc
> fq_codel state UNKNOWN group default qlen 500
>     link/none
>     inet 172.31.19.13/32 scope global tun0
>        valid_lft forever preferred_lft forever
>     inet6 fe80::c077:3a39:601b:c5e/64 scope link stable-privacy
>        valid_lft forever preferred_lft forever
> oleh at oleh-ws:~$
>
>
> oleh at oleh-ws:~$ ip r
> default dev tun0 scope link
> default via 192.168.31.200 dev enp3s0 proto dhcp metric 100
> default via 192.168.31.200 dev wlp2s0 proto dhcp metric 600
> 169.254.0.0/16 dev enp3s0 scope link metric 1000
> 172.31.16.0/20 dev tun0 scope link
> oleh at oleh-ws:~$
>
>
>
> І ніякі маршрути з клієнтського ноута не йдуть.
>
> Чого я не доробив, чи може щось не так зробив?
>
>
> --
> Regards,
> /oleh hrynchuk
>


-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210308/197e94f0/attachment.html>

More information about the uanog mailing list