[uanog] Fwd: Туплю із конфігурацією ocserv в AWS

Oleh Hrynchuk oleh.hrynchuk at gmail.com
Tue Mar 9 10:22:18 EET 2021 

нічого не заважає підняти EC2-сервер в AWS :)
Я так і зробив.

Проблема (як я й написав) - налаштувати правильно VPN-server на цьому EC2
та на усіх клієнтах (в офісній LAN та з "домашніх" LANs).
Причому дозволено "ходити" на той AWS VPN server лише з офіційної офісної
WAN IP address. Тобто, якщо "ходити" з домашніх машин, то треба спочатку
підняти VPN з офісом, а тоді вже піднімати ДРУГУ VPN з AWS EC2.

Бо партнерські ресурси міняються. І доступні виключно по "білому" ІР.





вт, 9 бер. 2021 о 10:15 Volodymyr Litovka <doka at funlab.cc> пише:

> Привіт,
>
> Є кілька американських ресурсів (наші клієнти), котрі дозволяють доступ
> виключно з американських ІР.
> Виникла ідея підняти в AWS в регіоні US на базі безкоштовного EC2 t2.micro
> якийсь безкоштовний VPN GW з NAT
>
> не зовсім зрозумів. Є задача отримати доступ до ресурсів, в яких полісі
> дозволяє доступ тільки з американських адрес. Що заважає підняти в амазоні
> автономний сервер, який буде приймати конекшени з будь-яких адрес та
> NAT'ити їх в американські адреси - саме так, як ти написав в другому
> повідомленні?
>
> On 08.03.2021 17:39, Oleh Hrynchuk wrote:
>
>
>
> пн, 8 бер. 2021 о 16:07 Volodymyr Litovka <doka at funlab.cc>
> <doka at funlab.cc> пише:
>
>> Ці всі SSL VPN дають можливість видавати окремі раути. Навіщо робити
>> подвійний VPN? Нехай вони напряму чіпляються на американський vpn-сервер.
>> Тобто - одна сесія - на офіс, друга - на штати.
>>
>>
> Policy не дозволяє на AWS EC2 в security group прописувати домашні IP
> address. Там на доступ дозволена лише одна IP address офісного Internet GW.
> Мушу викручуватися.
>
>
>
>
>> Sent from my iPhone
>>
>> On 8 Mar 2021, at 15:41, Oleh Hrynchuk <oleh.hrynchuk at gmail.com> wrote:
>>
>> 
>>
>> не пропустив mailman об"ємного листа. То утиснув трохи картинку...
>>
>>
>> ---------- Forwarded message ---------
>> Від: Oleh Hrynchuk <oleh.hrynchuk at gmail.com>
>> Date: пн, 8 бер. 2021 о 15:36
>> Subject: Re: [uanog] Туплю із конфігурацією ocserv в AWS
>> To: Volodymyr Litovka <doka at funlab.cc> <doka at funlab.cc>
>> Cc: List, Uanog <uanog at uanog.kiev.ua>, <doka at funlab.cc> <doka at funlab.cc>
>>
>>
>> Що б не прописував - хєрня виходить.
>> Зараз дефолт стоїть. Але пробував по всякому.
>>
>> Ось наглядніше що треба (див. мал. в аттач). Забезпечити logical
>> connections з деякими партнерськими ресурсами в USA з домашніх та офісних
>> робочих місць в Україні.
>> Таких партнерських ресурсів може бути більше одного. І вони міняються
>> (здали проект - забули той logical connection. Стартували новий - будуємо
>> нові connections)
>>
>> Ситуація ускладнюється тим, що навіть з домашніх робочих місць працівники
>> повинні спочатку входити по VPN в офісну мережу, звідти ПО ІНШОМУ VPN на
>> AWS EC2 і вже аж з того EC2 (котрий присвоює свій Source IP) - на
>> партнерський ресурс.
>>
>> Думаю зараз чи взагалі задача має рішення в такій постановці...
>>
>> Ще sshuttle спробую.. бо ні openconnect, ні OpenVPN не хочуть працювати.
>>
>>
>>
>>
>> пн, 8 бер. 2021 о 12:33 Volodymyr Litovka <doka at funlab.cc>
>> <doka at funlab.cc> пише:
>>
>>> Привіт,
>>>
>>> подивись, що у тебе в route= прописано
>>>
>>> ти згодовуєш клієнту щос, що він вважає invalid nexthop для раутів
>>> On 07.03.2021 17:37, Oleh Hrynchuk wrote:
>>>
>>> Доброго вечора усім.
>>>
>>> Десь гальмую з networking...
>>>
>>> Засетапив ocserv (openconnect server) на класичному ubuntu server 20.04,
>>> що знаходиться в AWS.
>>> Ubuntu має eth0: 172.31.18.xx/20
>>> До нього присобачений Public IP: 54.xx.xx.xx/32
>>>
>>> В ocserv.conf прописано між іншим
>>>
>>> ipv4-network = 172.31.18.0
>>> ipv4-netmask = 255.255.240.0
>>>
>>> І конект ніби й піднімається, але після:
>>>
>>> Connected as 172.31.19.13, using SSL + LZ4, with DTLS disabled
>>> Connect Banner:
>>> | Welcome
>>>
>>>
>>>
>>> *Error: Nexthop has invalid gateway. Error: any valid prefix is expected
>>> rather than "broadcast/24". *
>>>
>>>
>>> А на клієнті
>>> oleh at oleh-ws:~$ ip a
>>> ...
>>> 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1472 qdisc
>>> fq_codel state UNKNOWN group default qlen 500
>>>     link/none
>>>     inet 172.31.19.13/32 scope global tun0
>>>        valid_lft forever preferred_lft forever
>>>     inet6 fe80::c077:3a39:601b:c5e/64 scope link stable-privacy
>>>        valid_lft forever preferred_lft forever
>>> oleh at oleh-ws:~$
>>>
>>>
>>> oleh at oleh-ws:~$ ip r
>>> default dev tun0 scope link
>>> default via 192.168.31.200 dev enp3s0 proto dhcp metric 100
>>> default via 192.168.31.200 dev wlp2s0 proto dhcp metric 600
>>> 169.254.0.0/16 dev enp3s0 scope link metric 1000
>>> 172.31.16.0/20 dev tun0 scope link
>>> oleh at oleh-ws:~$
>>>
>>>
>>>
>>> І ніякі маршрути з клієнтського ноута не йдуть.
>>>
>>> Чого я не доробив, чи може щось не так зробив?
>>>
>>>
>>> --
>>> Regards,
>>> /oleh hrynchuk
>>>
>>> _______________________________________________
>>> uanog mailing listuanog at uanog.kiev.uahttps://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>>
>>> --
>>> Volodymyr Litovka
>>>   "Vision without Execution is Hallucination." -- Thomas Edison
>>>
>>>
>>
>>
>> --
>> Regards,
>> /oleh hrynchuk
>> <GW-AWS-VPN.pdf>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>
>>
>
> --
> Regards,
> /oleh hrynchuk
>
> --
> Volodymyr Litovka
>   "Vision without Execution is Hallucination." -- Thomas Edison
>
>

-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210309/4be00902/attachment-0001.html>

More information about the uanog mailing list