[uanog] Туплю із конфігурацією ocserv в AWS

Tue Mar 9 08:02:38 EET 2021

Дуже дякую, Ігоре!

Мабуть саме те що треба..
Зараз гляну.

вт, 9 бер. 2021 о 07:49 Igor Sviridov <sia at uanog.sink.nest.org> пише:

> hi,
>
> Нещодавно реалiзовував шось подiбне на Taiscale:
> https://tailscale.com/kb/1059/ip-blocklist-relays
>
> Tailscale - то така SDN в облацi, на базi Wireguard, з зовнiшньою
> аутентiфiкацieю, 2-way NAT traversal та iншими плюшками;
> трафик звичайно йде напрямки, якщо можливо.
> Пiдтримує усе - навiть raspberry pi та FreeBSD :)
>
> Для ціє задачi Tailscale -  це можливо забагато, але в нього е й інші
> використання.
>
> А щоб найдешевше - можна поставити у AWS Wireguard та NAT.
> Ось наприклад:
> https://habr.com/en/post/449234/
>
> Але пiдтримувати це без SSO/LDAP etc - ще та морока.
>
> --igor
>
> On Mon, Mar 08, 2021 at 11:23:06AM +0200, Oleh Hrynchuk wrote:
> >
> > Кароч, задача глобальна наступна:
> >
> > Є кілька американських ресурсів (наші клієнти), котрі дозволяють доступ
> > виключно з американських ІР.
> > Нашим девам і QA з України треба періодично туди доступатися.
> > Виникла ідея підняти в AWS в регіоні US на базі безкоштовного EC2
> t2.micro
> > якийсь безкоштовний VPN GW з NAT (щоби ліпилося Source IP Amazon'a) і
> через
> > нього "ходити" на ті ресурси
> > Навантаження планується мінімальне. Але кількість одночасних сесій може
> > перевищувати 2 (т.ч. free OpenVPN не дуже бажано, хоча якщо вже нічого не
> > підійде, то згодиться й воно).
> >
> > Як найпростіше це зробити?
> >
> > В принципі OpenConnect server був би чудовим рішенням, але щось не можу
> > налагодити механізм роутингу трафіку від VPN-клієнта після його
> > підключення. Нікуди не хоче ходити за винятком Private IP Ocserv AWS :(
> Не
> > піднімається на клієнті правильний роутинг, хоч плач, хоч конект з ocserv
> > відбувається.
> >
> >
> >
> > нд, 7 бер. 2021 о 17:37 Oleh Hrynchuk <oleh.hrynchuk at gmail.com> пише:
> >
> > > Доброго вечора усім.
> > >
> > > Десь гальмую з networking...
> > >
> > > Засетапив ocserv (openconnect server) на класичному ubuntu server
> 20.04,
> > > що знаходиться в AWS.
> > > Ubuntu має eth0: 172.31.18.xx/20
> > > До нього присобачений Public IP: 54.xx.xx.xx/32
> > >
> > > В ocserv.conf прописано між іншим
> > >
> > > ipv4-network = 172.31.18.0
> > > ipv4-netmask = 255.255.240.0
> > >
> > > І конект ніби й піднімається, але після:
> > >
> > > Connected as 172.31.19.13, using SSL + LZ4, with DTLS disabled
> > > Connect Banner:
> > > | Welcome
> > >
> > >
> > >
> > > *Error: Nexthop has invalid gateway.Error: any valid prefix is expected
> > > rather than "broadcast/24".*
> > >
> > >
> > > А на клієнті
> > > oleh at oleh-ws:~$ ip a
> > > ...
> > > 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1472 qdisc
> > > fq_codel state UNKNOWN group default qlen 500
> > >     link/none
> > >     inet 172.31.19.13/32 scope global tun0
> > >        valid_lft forever preferred_lft forever
> > >     inet6 fe80::c077:3a39:601b:c5e/64 scope link stable-privacy
> > >        valid_lft forever preferred_lft forever
> > > oleh at oleh-ws:~$
> > >
> > >
> > > oleh at oleh-ws:~$ ip r
> > > default dev tun0 scope link
> > > default via 192.168.31.200 dev enp3s0 proto dhcp metric 100
> > > default via 192.168.31.200 dev wlp2s0 proto dhcp metric 600
> > > 169.254.0.0/16 dev enp3s0 scope link metric 1000
> > > 172.31.16.0/20 dev tun0 scope link
> > > oleh at oleh-ws:~$
> > >
> > >
> > >
> > > І ніякі маршрути з клієнтського ноута не йдуть.
> > >
> > > Чого я не доробив, чи може щось не так зробив?
> > >
> > >
> > > --
> > > Regards,
> > > /oleh hrynchuk
> > >
> >
> >
> > --
> > Regards,
> > /oleh hrynchuk
>
> > _______________________________________________
> > uanog mailing list
> > uanog at uanog.kiev.ua
> > https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>

-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210309/5af7abfe/attachment.html>