[uanog] Fwd: Туплю із конфігурацією ocserv в AWS
Volodymyr Litovka
doka at funlab.cc
Tue Mar 9 10:15:07 EET 2021
Привіт,
> Є кілька американських ресурсів (наші клієнти), котрі дозволяють
> доступ виключно з американських ІР.
> Виникла ідея підняти в AWS в регіоні US на базі безкоштовного EC2
> t2.micro якийсь безкоштовний VPN GW з NAT
не зовсім зрозумів. Є задача отримати доступ до ресурсів, в яких полісі
дозволяє доступ тільки з американських адрес. Що заважає підняти в
амазоні автономний сервер, який буде приймати конекшени з будь-яких
адрес та NAT'ити їх в американські адреси - саме так, як ти написав в
другому повідомленні?
On 08.03.2021 17:39, Oleh Hrynchuk wrote:
>
>
> пн, 8 бер. 2021 о 16:07 Volodymyr Litovka <doka at funlab.cc> пише:
>
> Ці всі SSL VPN дають можливість видавати окремі раути. Навіщо
> робити подвійний VPN? Нехай вони напряму чіпляються на
> американський vpn-сервер. Тобто - одна сесія - на офіс, друга - на
> штати.
>
>
> Policy не дозволяє на AWS EC2 в security group прописувати домашні IP
> address. Там на доступ дозволена лише одна IP address офісного
> Internet GW.
> Мушу викручуватися.
>
>
> Sent from my iPhone
>
>> On 8 Mar 2021, at 15:41, Oleh Hrynchuk <oleh.hrynchuk at gmail.com
>> <mailto:oleh.hrynchuk at gmail.com>> wrote:
>>
>>
>>
>> не пропустив mailman об"ємного листа. То утиснув трохи картинку...
>>
>>
>> ---------- Forwarded message ---------
>> Від: *Oleh Hrynchuk* <oleh.hrynchuk at gmail.com
>> <mailto:oleh.hrynchuk at gmail.com>>
>> Date: пн, 8 бер. 2021 о 15:36
>> Subject: Re: [uanog] Туплю із конфігурацією ocserv в AWS
>> To: Volodymyr Litovka <doka at funlab.cc>
>> Cc: List, Uanog <uanog at uanog.kiev.ua
>> <mailto:uanog at uanog.kiev.ua>>, <doka at funlab.cc>
>>
>>
>> Що б не прописував - хєрня виходить.
>> Зараз дефолт стоїть. Але пробував по всякому.
>>
>> Ось наглядніше що треба (див. мал. в аттач). Забезпечити logical
>> connections з деякими партнерськими ресурсами в USA з домашніх та
>> офісних робочих місць в Україні.
>> Таких партнерських ресурсів може бути більше одного. І вони
>> міняються (здали проект - забули той logical connection.
>> Стартували новий - будуємо нові connections)
>>
>> Ситуація ускладнюється тим, що навіть з домашніх робочих місць
>> працівники повинні спочатку входити по VPN в офісну мережу,
>> звідти ПО ІНШОМУ VPN на AWS EC2 і вже аж з того EC2 (котрий
>> присвоює свій Source IP) - на партнерський ресурс.
>>
>> Думаю зараз чи взагалі задача має рішення в такій постановці...
>>
>> Ще sshuttle спробую.. бо ні openconnect, ні OpenVPN не хочуть
>> працювати.
>>
>>
>>
>>
>> пн, 8 бер. 2021 о 12:33 Volodymyr Litovka <doka at funlab.cc> пише:
>>
>> Привіт,
>>
>> подивись, що у тебе в route= прописано
>>
>> ти згодовуєш клієнту щос, що він вважає invalid nexthop для
>> раутів
>>
>> On 07.03.2021 17:37, Oleh Hrynchuk wrote:
>>> Доброго вечора усім.
>>>
>>> Десь гальмую з networking...
>>>
>>> Засетапив ocserv (openconnect server) на класичному ubuntu
>>> server 20.04, що знаходиться в AWS.
>>> Ubuntu має eth0: 172.31.18.xx/20
>>> До нього присобачений Public IP: 54.xx.xx.xx/32
>>>
>>> В ocserv.conf прописано між іншим
>>>
>>> ipv4-network = 172.31.18.0
>>> ipv4-netmask = 255.255.240.0
>>>
>>> І конект ніби й піднімається, але після:
>>>
>>> Connected as 172.31.19.13, using SSL + LZ4, with DTLS disabled
>>> Connect Banner:
>>> | Welcome
>>>
>>> *Error: Nexthop has invalid gateway.
>>> Error: any valid prefix is expected rather than "broadcast/24".
>>> *
>>>
>>>
>>> А на клієнті
>>> oleh at oleh-ws:~$ ip a
>>> ...
>>> 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1472
>>> qdisc fq_codel state UNKNOWN group default qlen 500
>>> link/none
>>> inet 172.31.19.13/32 <http://172.31.19.13/32> scope
>>> global tun0
>>> valid_lft forever preferred_lft forever
>>> inet6 fe80::c077:3a39:601b:c5e/64 scope link stable-privacy
>>> valid_lft forever preferred_lft forever
>>> oleh at oleh-ws:~$
>>>
>>>
>>> oleh at oleh-ws:~$ ip r
>>> default dev tun0 scope link
>>> default via 192.168.31.200 dev enp3s0 proto dhcp metric 100
>>> default via 192.168.31.200 dev wlp2s0 proto dhcp metric 600
>>> 169.254.0.0/16 <http://169.254.0.0/16> dev enp3s0 scope link
>>> metric 1000
>>> 172.31.16.0/20 <http://172.31.16.0/20> dev tun0 scope link
>>> oleh at oleh-ws:~$
>>>
>>>
>>>
>>> І ніякі маршрути з клієнтського ноута не йдуть.
>>>
>>> Чого я не доробив, чи може щось не так зробив?
>>>
>>>
>>> --
>>> Regards,
>>> /oleh hrynchuk
>>>
>>> _______________________________________________
>>> uanog mailing list
>>> uanog at uanog.kiev.ua <mailto:uanog at uanog.kiev.ua>
>>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog <https://mailman.uanog.kiev.ua/mailman/listinfo/uanog>
>>
>> --
>> Volodymyr Litovka
>> "Vision without Execution is Hallucination." -- Thomas Edison
>>
>>
>>
>>
>> --
>> Regards,
>> /oleh hrynchuk
>> <GW-AWS-VPN.pdf>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua <mailto:uanog at uanog.kiev.ua>
>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>> <https://mailman.uanog.kiev.ua/mailman/listinfo/uanog>
>
>
>
> --
> Regards,
> /oleh hrynchuk
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210309/5bc3c924/attachment-0001.html>
More information about the uanog
mailing list