Ich versuche, mit Pritunl einen OpenVPN-Server auf AWS einzurichten, und habe Probleme, meine AWS-Knoten über das VPN mit Knoten außerhalb des VPC zu verbinden.
Grundsätzlich ist mein Setup
[ AWS Instance ] -- [ AWS OpenVpn Instance ] -- [ Local OS X Machine ]
Derzeit funktioniert der Datenverkehr, der von der OS X-Maschine ausgeht, einwandfrei. Ich kann jede Instanz hinter dem VPC anpingen. Wenn ich jedoch versuche, die lokale OS X-Maschine anzupingen (oder genauer gesagt, auf einen auf dieser Maschine laufenden Server zuzugreifen), hängt die Verbindung.
Die AWS-Knoten befinden sich im Subnetz 172.31.0.0/16 und die OS X-Maschine im Subnetz 192.168.241.0/24. Auf der OpenVPN-Instanz funktioniert der Ping normal:
ubuntu@ip-172-31-11-153:~$ ping 192.168.241.2
PING 192.168.241.2 (192.168.241.2) 56(84) bytes of data.
64 bytes from 192.168.241.2: icmp_seq=1 ttl=64 time=186 ms
64 bytes from 192.168.241.2: icmp_seq=2 ttl=64 time=170 ms
Auf der AWS-Instanz bleibt der Ping hängen:
ubuntu@ip-172-31-32-5:~$ ping 192.168.241.2
PING 192.168.241.2 (192.168.241.2) 56(84) bytes of data.
^C
--- 192.168.241.2 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2015ms
Auf dem OpenVPN-Rechner kann ich mit tcpdump sehen, dass die Pakete den Rechner erreichen, es wird jedoch nie eine Antwort gesendet
ubuntu@ip-172-31-11-153:~$ sudo tcpdump -i any -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
02:04:32.706204 IP 172.31.32.5 > 192.168.241.2: ICMP echo request, id 31959, seq 1, length 64
02:04:33.705490 IP 172.31.32.5 > 192.168.241.2: ICMP echo request, id 31959, seq 2, length 64
02:04:34.705519 IP 172.31.32.5 > 192.168.241.2: ICMP echo request, id 31959, seq 3, length 64
02:04:35.705436 IP 172.31.32.5 > 192.168.241.2: ICMP echo request, id 31959, seq 4, length 64
Zum Vergleich: Dies passiert, wenn die OpenVPN-Maschine die lokale OS X-Maschine anpingt
ubuntu@ip-172-31-11-153:~$ sudo tcpdump -i any -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
02:06:13.214559 IP 192.168.241.1 > 192.168.241.2: ICMP echo request, id 4169, seq 1, length 64
02:06:13.791529 IP 192.168.241.2 > 192.168.241.1: ICMP echo reply, id 4169, seq 1, length 64
02:06:14.215124 IP 192.168.241.1 > 192.168.241.2: ICMP echo request, id 4169, seq 2, length 64
02:06:14.370423 IP 192.168.241.2 > 192.168.241.1: ICMP echo reply, id 4169, seq 2, length 64
Die Routentabelle in der AWS-Konsole ist konfiguriert ( 192.168.241.0/24 -> OpenVpn Instance)
Die OpenVPN-Instanz hat die IP-Weiterleitung aktiviert ( echo 1 > /proc/sys/net/ipv4/ip_forward)
Die Quell-/Zielprüfung der OpenVPN-Instanz ist deaktiviert.
Ich habe es versucht ip route add(11.153 ist die OpenVPN-Instanz) und es wird nur ein Fehler zurückgegeben:
ubuntu@ip-172-31-32-5:~$ sudo ip route add 192.168.241.0/24 via 172.31.11.153
RTNETLINK answers: Network is unreachable
Meine IP-Tabellen sind wie folgt definiert:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere ip-172-31-0-0.us-east-2.compute.internal/16 /* pritunl-5a1f3acaf55623048c5ccaf0 */
ACCEPT all -- anywhere ip-192-168-241-0.us-east-2.compute.internal/24 /* pritunl-5a1f3acaf55623048c5ccaf0 */
DROP all -- anywhere anywhere /* pritunl-5a1f3acaf55623048c5ccaf0 */
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- ip-172-31-0-0.us-east-2.compute.internal/16 anywhere ctstate RELATED,ESTABLISHED /* pritunl-5a1f3acaf55623048c5ccaf0 */
ACCEPT all -- anywhere ip-172-31-0-0.us-east-2.compute.internal/16 /* pritunl-5a1f3acaf55623048c5ccaf0 */
ACCEPT all -- ip-192-168-241-0.us-east-2.compute.internal/24 anywhere /* pritunl-5a1f3acaf55623048c5ccaf0 */
ACCEPT all -- anywhere ip-192-168-241-0.us-east-2.compute.internal/24 /* pritunl-5a1f3acaf55623048c5ccaf0 */
DROP all -- anywhere anywhere /* pritunl-5a1f3acaf55623048c5ccaf0 */
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- ip-172-31-0-0.us-east-2.compute.internal/16 anywhere /* pritunl-5a1f3acaf55623048c5ccaf0 */
ACCEPT all -- ip-192-168-241-0.us-east-2.compute.internal/24 anywhere /* pritunl-5a1f3acaf55623048c5ccaf0 */
DROP all -- anywhere anywhere /* pritunl-5a1f3acaf55623048c5ccaf0 */
Antwort1
Weiter -https://docs.pritunl.com/v1/docs/routing-issues,
Ich habe die Option „Routing einschränken“ deaktiviert.