<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Привіт,<br>
<blockquote type="cite">
<div>Є кілька американських ресурсів (наші клієнти), котрі
дозволяють доступ виключно з американських ІР.</div>
Виникла ідея підняти в AWS в регіоні US на базі безкоштовного
EC2 t2.micro якийсь безкоштовний VPN GW з NAT</blockquote>
не зовсім зрозумів. Є задача отримати доступ до ресурсів, в яких
полісі дозволяє доступ тільки з американських адрес. Що заважає
підняти в амазоні автономний сервер, який буде приймати конекшени
з будь-яких адрес та NAT'ити їх в американські адреси - саме так,
як ти написав в другому повідомленні?<br>
</p>
<div class="moz-cite-prefix">On 08.03.2021 17:39, Oleh Hrynchuk
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CAJWhN-rk_pjX0XhRh1hS-BJVRNp2+mLOg5n04vdiCUDcsYZSNg@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">
<div dir="ltr"><br>
<input name="virtru-metadata" type="hidden"
value="{"email-policy":{"state":"closed","expirationUnit":"days","disableCopyPaste":false,"disablePrint":false,"disableForwarding":false,"enableNoauth":false,"persistentProtection":false,"expandedWatermarking":false,"expires":false,"isManaged":false},"attachments":{},"compose-id":"17","compose-window":{"secure":false}}"></div>
<br>
<div class="gmail_quote" style="">
<div dir="ltr" class="gmail_attr">пн, 8 бер. 2021 о 16:07
Volodymyr Litovka <a class="moz-txt-link-rfc2396E" href="mailto:doka@funlab.cc"><doka@funlab.cc></a> пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
<div dir="auto">Ці всі SSL VPN дають можливість видавати
окремі раути. Навіщо робити подвійний VPN? Нехай вони
напряму чіпляються на американський vpn-сервер. Тобто -
одна сесія - на офіс, друга - на штати.
<div><br>
</div>
</div>
</blockquote>
<div><br>
</div>
<div>Policy не дозволяє на AWS EC2 в security group
прописувати домашні IP address. Там на доступ дозволена лише
одна IP address офісного Internet GW.<br>
</div>
<div>Мушу викручуватися.</div>
<div><br>
</div>
<div><br>
</div>
<div> </div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
<div dir="auto">
<div>
<div dir="ltr">Sent from my iPhone</div>
<div dir="ltr"><br>
<blockquote type="cite">On 8 Mar 2021, at 15:41, Oleh
Hrynchuk <<a
href="mailto:oleh.hrynchuk@gmail.com"
target="_blank" moz-do-not-send="true">oleh.hrynchuk@gmail.com</a>>
wrote:<br>
<br>
</blockquote>
</div>
<blockquote type="cite">
<div dir="ltr">
<div dir="ltr"><br>
не пропустив mailman об"ємного листа. То утиснув
трохи картинку...
<div><br>
</div>
<div><br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">----------
Forwarded message ---------<br>
Від: <strong class="gmail_sendername"
dir="auto">Oleh Hrynchuk</strong> <span
dir="auto"><<a
href="mailto:oleh.hrynchuk@gmail.com"
target="_blank" moz-do-not-send="true">oleh.hrynchuk@gmail.com</a>></span><br>
Date: пн, 8 бер. 2021 о 15:36<br>
Subject: Re: [uanog] Туплю із конфігурацією
ocserv в AWS<br>
To: Volodymyr Litovka <a class="moz-txt-link-rfc2396E" href="mailto:doka@funlab.cc"><doka@funlab.cc></a><br>
Cc: List, Uanog <<a
href="mailto:uanog@uanog.kiev.ua"
target="_blank" moz-do-not-send="true">uanog@uanog.kiev.ua</a>>,
<a class="moz-txt-link-rfc2396E" href="mailto:doka@funlab.cc"><doka@funlab.cc></a><br>
</div>
<br>
<br>
<div dir="ltr">
<div dir="ltr">Що б не прописував - хєрня
виходить.<br>
Зараз дефолт стоїть. Але пробував по
всякому.
<div><br>
</div>
<div>Ось наглядніше що треба (див. мал. в
аттач). Забезпечити logical connections
з деякими партнерськими ресурсами в USA
з домашніх та офісних робочих місць в
Україні.</div>
<div>Таких партнерських ресурсів може бути
більше одного. І вони міняються (здали
проект - забули той logical connection.
Стартували новий - будуємо нові
connections)<br>
<br>
Ситуація ускладнюється тим, що навіть з
домашніх робочих місць працівники
повинні спочатку входити по VPN в офісну
мережу, звідти ПО ІНШОМУ VPN на AWS EC2
і вже аж з того EC2 (котрий присвоює
свій Source IP) - на партнерський
ресурс.</div>
<div><br>
Думаю зараз чи взагалі задача має
рішення в такій постановці...</div>
<div><br>
</div>
<div>Ще sshuttle спробую.. бо ні
openconnect, ні OpenVPN не хочуть
працювати.</div>
<div><br>
</div>
<div><br>
<br>
</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">пн, 8
бер. 2021 о 12:33 Volodymyr Litovka
<a class="moz-txt-link-rfc2396E" href="mailto:doka@funlab.cc"><doka@funlab.cc></a> пише:<br>
</div>
<blockquote class="gmail_quote"
style="margin:0px 0px 0px
0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
<div>
<p>Привіт,</p>
<p>подивись, що у тебе в route=
прописано</p>
<p>ти згодовуєш клієнту щос, що він
вважає invalid nexthop для раутів<br>
</p>
<div>On 07.03.2021 17:37, Oleh
Hrynchuk wrote:<br>
</div>
<blockquote type="cite">
<div dir="ltr">Доброго вечора усім.
<div><br>
</div>
<div>Десь гальмую з networking...</div>
<div><br>
</div>
<div>Засетапив ocserv (openconnect
server) на класичному ubuntu
server 20.04, що знаходиться в
AWS.</div>
<div>Ubuntu має eth0:
172.31.18.xx/20</div>
<div>До нього присобачений Public
IP: 54.xx.xx.xx/32</div>
<div><br>
</div>
<div>В ocserv.conf прописано між
іншим</div>
<div><br>
</div>
<div>ipv4-network = 172.31.18.0<br>
ipv4-netmask = 255.255.240.0<br>
</div>
<div><br>
</div>
<div>І конект ніби й піднімається,
але після:<br>
<br>
</div>
<div>Connected as 172.31.19.13,
using SSL + LZ4, with DTLS
disabled<br>
Connect Banner:<br>
| Welcome<br>
<br>
<b>Error: Nexthop has invalid
gateway.<br>
Error: any valid prefix is
expected rather than
"broadcast/24".<br>
</b></div>
<div><br>
</div>
<div><br>
</div>
<div>А на клієнті</div>
<div>oleh@oleh-ws:~$ ip a<br>
</div>
<div>...</div>
<div>27: tun0:
<POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP>
mtu 1472 qdisc fq_codel state
UNKNOWN group default qlen 500<br>
link/none <br>
inet <a
href="http://172.31.19.13/32"
target="_blank"
moz-do-not-send="true">172.31.19.13/32</a>
scope global tun0<br>
valid_lft forever
preferred_lft forever<br>
inet6
fe80::c077:3a39:601b:c5e/64
scope link stable-privacy <br>
valid_lft forever
preferred_lft forever<br>
oleh@oleh-ws:~$<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>oleh@oleh-ws:~$ ip r<br>
default dev tun0 scope link <br>
default via 192.168.31.200 dev
enp3s0 proto dhcp metric 100 <br>
default via 192.168.31.200 dev
wlp2s0 proto dhcp metric 600 <br>
<a href="http://169.254.0.0/16"
target="_blank"
moz-do-not-send="true">169.254.0.0/16</a>
dev enp3s0 scope link metric
1000 <br>
<a href="http://172.31.16.0/20"
target="_blank"
moz-do-not-send="true">172.31.16.0/20</a>
dev tun0 scope link <br>
oleh@oleh-ws:~$<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div>І ніякі маршрути з
клієнтського ноута не йдуть.</div>
<div><br>
</div>
<div>Чого я не доробив, чи може
щось не так зробив?</div>
<div><br>
</div>
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</div>
</div>
<br>
<fieldset></fieldset>
<pre>_______________________________________________
uanog mailing list
<a href="mailto:uanog@uanog.kiev.ua" target="_blank" moz-do-not-send="true">uanog@uanog.kiev.ua</a>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" target="_blank" moz-do-not-send="true">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></pre>
</blockquote>
<pre cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison</pre>
</div>
</blockquote>
</div>
<br>
</div>
</div>
<br clear="all">
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</div>
</div>
<div><GW-AWS-VPN.pdf></div>
<span>_______________________________________________</span><br>
<span>uanog mailing list</span><br>
<span><a href="mailto:uanog@uanog.kiev.ua"
target="_blank" moz-do-not-send="true">uanog@uanog.kiev.ua</a></span><br>
<span><a
href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
target="_blank" moz-do-not-send="true">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></span></div>
</blockquote>
</div>
</div>
</blockquote>
</div>
<br clear="all">
<div><br>
</div>
-- <br>
<div dir="ltr" class="gmail_signature">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</div>
</blockquote>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison</pre>
</body>
</html>