IPSec VPN між DO Droplet та іншим (довіреним) провайдером

0

У мене є вимога встановити IPsec VPN між компанією моєї компанії та мережею, що належить компанії-партнері, яка використовує іншого постачальника. Інструмент:

  • Debian (мій дроплет) з IP, наприклад 169.22.231.13 і місцеву адресу, наприклад 10.22.0.50
  • Інструменти IPsec & amp; Racoon (Racoon сам по собі не потрібний - LibreSwan або StrongSwan також прийнятні, хоча у мене є відчуття, що це не може бути проблемою)
  • mode = Tunnel
  • ESP

Я створив тестове середовище для того, щоб випробувати інструменти і можливість виконання завдання, що складається з 2 крапель, які мені вдалося підключити відповідно до вищезазначених пунктів, і вдалося домогтися того, чого я хотів (під час тестування за допомогою власних крапель) .

На реальний випадок - ось опис віддаленого сервера (належить компанії-партнеру):

  • точка входу має брандмауер (моя дроп-біла) - напр., загальний IP 153.132.142.123
  • Сервіс, запущений на моїй дроплеті, повинен підключатися до сервісу, що стоїть за цим публічним IP, наприклад, внутрішній IP 10.100.232.11
  • Віддалена мережа зіставила мою внутрішню адресу в мережевому інтерфейсі

Мені вдалося налаштувати тунель VPN між моєю краплею та віддаленою мережею відповідно до:

  • racoonctl show-sa ipsec показуючи як вхідні, так і вихідні напрямки тунелю, з esp mode=tunnel і state=mature
  • racoonctl -l show-sa isakmp показує правильний пункт призначення та Phase 2 = 1, також журнали повідомляють, що з'єднання успішно виконано

Однак, коли я намагаюся пінг 10.100.232.11 адреса, вона зависає, і коли партнерська служба пінгує мій внутрішній IP (що я відображав у базі даних Security Association), вони говорять мені, що цей IP недоступний. Я не бачу виходу ESP-пакетів.

У мене є наступні підозри:

  • мої та / або партнерські мережі використовують NAT, тоді як обидва налаштовані наші VPN з NAT Traversal = OFF;
  • DigitalOcean не дозволяє VPN VPN іншим провайдерам, через деякі внутрішні правила мережі для захисту наших крапель Чи може хтось вказати мені в правильному напрямку? Я був би дуже вдячний всім, хто міг би поділитися деякими знаннями з цієї теми зі мною.

Допомога оцінена!

networking  vpn  tunnel  ipsec 
rdj
джерело
Чи ви обов'язково повинні використовувати racoon, а не щось із поточної епохи, наприклад, strongSwan або LibreSwan?
grawity
Чи бачите ви пакети ESP, які виходять з вашої системи, і чи бачите їх інші системи? Чи має інша система маршрут для вашої внутрішньої адреси через eth0?
grawity
@grawity Я не зобов'язаний використовувати Racoon - LibreSwan або StrongSwan є прийнятними, якщо вони працюють (хоча у мене є відчуття, що це не може бути проблемою). Я не бачу виходу ESP-пакетів. Інша система має відображення маршруту для моєї внутрішньої адреси. (Я оновлював публікацію)
rdj
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.