[uanog] Fwd: Туплю із конфігурацією ocserv в AWS

Oleh Hrynchuk oleh.hrynchuk at gmail.com
Mon Mar 8 17:39:30 EET 2021 

пн, 8 бер. 2021 о 16:07 Volodymyr Litovka <doka at funlab.cc> пише:

> Ці всі SSL VPN дають можливість видавати окремі раути. Навіщо робити
> подвійний VPN? Нехай вони напряму чіпляються на американський vpn-сервер.
> Тобто - одна сесія - на офіс, друга - на штати.
>
>
Policy не дозволяє на AWS EC2 в security group прописувати домашні IP
address. Там на доступ дозволена лише одна IP address офісного Internet GW.
Мушу викручуватися.




> Sent from my iPhone
>
> On 8 Mar 2021, at 15:41, Oleh Hrynchuk <oleh.hrynchuk at gmail.com> wrote:
>
> 
>
> не пропустив mailman об"ємного листа. То утиснув трохи картинку...
>
>
> ---------- Forwarded message ---------
> Від: Oleh Hrynchuk <oleh.hrynchuk at gmail.com>
> Date: пн, 8 бер. 2021 о 15:36
> Subject: Re: [uanog] Туплю із конфігурацією ocserv в AWS
> To: Volodymyr Litovka <doka at funlab.cc>
> Cc: List, Uanog <uanog at uanog.kiev.ua>, <doka at funlab.cc>
>
>
> Що б не прописував - хєрня виходить.
> Зараз дефолт стоїть. Але пробував по всякому.
>
> Ось наглядніше що треба (див. мал. в аттач). Забезпечити logical
> connections з деякими партнерськими ресурсами в USA з домашніх та офісних
> робочих місць в Україні.
> Таких партнерських ресурсів може бути більше одного. І вони міняються
> (здали проект - забули той logical connection. Стартували новий - будуємо
> нові connections)
>
> Ситуація ускладнюється тим, що навіть з домашніх робочих місць працівники
> повинні спочатку входити по VPN в офісну мережу, звідти ПО ІНШОМУ VPN на
> AWS EC2 і вже аж з того EC2 (котрий присвоює свій Source IP) - на
> партнерський ресурс.
>
> Думаю зараз чи взагалі задача має рішення в такій постановці...
>
> Ще sshuttle спробую.. бо ні openconnect, ні OpenVPN не хочуть працювати.
>
>
>
>
> пн, 8 бер. 2021 о 12:33 Volodymyr Litovka <doka at funlab.cc> пише:
>
>> Привіт,
>>
>> подивись, що у тебе в route= прописано
>>
>> ти згодовуєш клієнту щос, що він вважає invalid nexthop для раутів
>> On 07.03.2021 17:37, Oleh Hrynchuk wrote:
>>
>> Доброго вечора усім.
>>
>> Десь гальмую з networking...
>>
>> Засетапив ocserv (openconnect server) на класичному ubuntu server 20.04,
>> що знаходиться в AWS.
>> Ubuntu має eth0: 172.31.18.xx/20
>> До нього присобачений Public IP: 54.xx.xx.xx/32
>>
>> В ocserv.conf прописано між іншим
>>
>> ipv4-network = 172.31.18.0
>> ipv4-netmask = 255.255.240.0
>>
>> І конект ніби й піднімається, але після:
>>
>> Connected as 172.31.19.13, using SSL + LZ4, with DTLS disabled
>> Connect Banner:
>> | Welcome
>>
>>
>>
>> *Error: Nexthop has invalid gateway. Error: any valid prefix is expected
>> rather than "broadcast/24". *
>>
>>
>> А на клієнті
>> oleh at oleh-ws:~$ ip a
>> ...
>> 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1472 qdisc
>> fq_codel state UNKNOWN group default qlen 500
>>     link/none
>>     inet 172.31.19.13/32 scope global tun0
>>        valid_lft forever preferred_lft forever
>>     inet6 fe80::c077:3a39:601b:c5e/64 scope link stable-privacy
>>        valid_lft forever preferred_lft forever
>> oleh at oleh-ws:~$
>>
>>
>> oleh at oleh-ws:~$ ip r
>> default dev tun0 scope link
>> default via 192.168.31.200 dev enp3s0 proto dhcp metric 100
>> default via 192.168.31.200 dev wlp2s0 proto dhcp metric 600
>> 169.254.0.0/16 dev enp3s0 scope link metric 1000
>> 172.31.16.0/20 dev tun0 scope link
>> oleh at oleh-ws:~$
>>
>>
>>
>> І ніякі маршрути з клієнтського ноута не йдуть.
>>
>> Чого я не доробив, чи може щось не так зробив?
>>
>>
>> --
>> Regards,
>> /oleh hrynchuk
>>
>> _______________________________________________
>> uanog mailing listuanog at uanog.kiev.uahttps://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>
>> --
>> Volodymyr Litovka
>>   "Vision without Execution is Hallucination." -- Thomas Edison
>>
>>
>
>
> --
> Regards,
> /oleh hrynchuk
> <GW-AWS-VPN.pdf>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
>

-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210308/30129b6c/attachment-0001.html>

More information about the uanog mailing list