[uanog] Туплю із конфігурацією ocserv в AWS

Tue Mar 9 07:49:39 EET 2021

hi,

Нещодавно реалiзовував шось подiбне на Taiscale:
https://tailscale.com/kb/1059/ip-blocklist-relays

Tailscale - то така SDN в облацi, на базi Wireguard, з зовнiшньою аутентiфiкацieю, 2-way NAT traversal та iншими плюшками;
трафик звичайно йде напрямки, якщо можливо.
Пiдтримує усе - навiть raspberry pi та FreeBSD :)

Для ціє задачi Tailscale -  це можливо забагато, але в нього е й інші використання.

А щоб найдешевше - можна поставити у AWS Wireguard та NAT.
Ось наприклад:
https://habr.com/en/post/449234/

Але пiдтримувати це без SSO/LDAP etc - ще та морока.

--igor

On Mon, Mar 08, 2021 at 11:23:06AM +0200, Oleh Hrynchuk wrote:
> 
> Кароч, задача глобальна наступна:
> 
> Є кілька американських ресурсів (наші клієнти), котрі дозволяють доступ
> виключно з американських ІР.
> Нашим девам і QA з України треба періодично туди доступатися.
> Виникла ідея підняти в AWS в регіоні US на базі безкоштовного EC2 t2.micro
> якийсь безкоштовний VPN GW з NAT (щоби ліпилося Source IP Amazon'a) і через
> нього "ходити" на ті ресурси
> Навантаження планується мінімальне. Але кількість одночасних сесій може
> перевищувати 2 (т.ч. free OpenVPN не дуже бажано, хоча якщо вже нічого не
> підійде, то згодиться й воно).
> 
> Як найпростіше це зробити?
> 
> В принципі OpenConnect server був би чудовим рішенням, але щось не можу
> налагодити механізм роутингу трафіку від VPN-клієнта після його
> підключення. Нікуди не хоче ходити за винятком Private IP Ocserv AWS :( Не
> піднімається на клієнті правильний роутинг, хоч плач, хоч конект з ocserv
> відбувається.
> 
> 
> 
> нд, 7 бер. 2021 о 17:37 Oleh Hrynchuk <oleh.hrynchuk at gmail.com> пише:
> 
> > Доброго вечора усім.
> >
> > Десь гальмую з networking...
> >
> > Засетапив ocserv (openconnect server) на класичному ubuntu server 20.04,
> > що знаходиться в AWS.
> > Ubuntu має eth0: 172.31.18.xx/20
> > До нього присобачений Public IP: 54.xx.xx.xx/32
> >
> > В ocserv.conf прописано між іншим
> >
> > ipv4-network = 172.31.18.0
> > ipv4-netmask = 255.255.240.0
> >
> > І конект ніби й піднімається, але після:
> >
> > Connected as 172.31.19.13, using SSL + LZ4, with DTLS disabled
> > Connect Banner:
> > | Welcome
> >
> >
> >
> > *Error: Nexthop has invalid gateway.Error: any valid prefix is expected
> > rather than "broadcast/24".*
> >
> >
> > А на клієнті
> > oleh at oleh-ws:~$ ip a
> > ...
> > 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1472 qdisc
> > fq_codel state UNKNOWN group default qlen 500
> >     link/none
> >     inet 172.31.19.13/32 scope global tun0
> >        valid_lft forever preferred_lft forever
> >     inet6 fe80::c077:3a39:601b:c5e/64 scope link stable-privacy
> >        valid_lft forever preferred_lft forever
> > oleh at oleh-ws:~$
> >
> >
> > oleh at oleh-ws:~$ ip r
> > default dev tun0 scope link
> > default via 192.168.31.200 dev enp3s0 proto dhcp metric 100
> > default via 192.168.31.200 dev wlp2s0 proto dhcp metric 600
> > 169.254.0.0/16 dev enp3s0 scope link metric 1000
> > 172.31.16.0/20 dev tun0 scope link
> > oleh at oleh-ws:~$
> >
> >
> >
> > І ніякі маршрути з клієнтського ноута не йдуть.
> >
> > Чого я не доробив, чи може щось не так зробив?
> >
> >
> > --
> > Regards,
> > /oleh hrynchuk
> >
> 
> 
> -- 
> Regards,
> /oleh hrynchuk

> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog