Problema de Strongswan con la IP de origen

tag-icon tag-icon amazon-web-services openstack strongswan
Problema de Strongswan con la IP de origen

Establecí una conexión VPN entre una región en AWS y un centro de datos implementado con OpenStack:

|---AWS------------------|        |-----OpenStack----------|
Private IP      EIP               Float. IP     Private IP
10.2.10.250 <-> 35.x.255.x TUNNEL 75.x.65.x <-> 172.16.0.156

Si intento hacer ping desde un host en OpenStack a otro host en AWS, no obtengo respuesta. Esta es una línea de tcpdump que se ejecuta en el servidor VPN 10.2.10.250:

3:04:01.523351 IP 172.16.0.156 > 10.2.10.27: ICMP echo request, id 9407, seq 8, length 64

El problema es que el servidor desde el que estoy haciendo ping no es 172.16.0.156 sino algo así como 172.16.0.125. Entonces creo que en las redes OpenStack algo está obligando a SNAT. He eliminado todos los iptables en ambos hosts. Reproduje el entorno en dos regiones de AWS y el ping funciona, la IP de origen es correcta.

Este es el archivo /etc/ipsec.conf:

config setup
        charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn %default
        ike=aes256-sha2_256-modp1024!
        esp=aes256-sha2_256!
        keyingtries=0
        ikelifetime=1h
        lifetime=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        auto=start
        keyexchange=ikev2
        type=tunnel

conn uswest2-x-to-x-x
    leftfirewall=yes
        leftcert=device-x-x_cert.pem
        leftid="C=CH, O=strongSwan, CN=device-x-x"
        rightid="C=CH, O=strongSwan, CN=device-uswest2-x-a"
        left=172.16.0.156
        leftsubnet=172.16.0.0/24
        right=35.x.255.x
        rightsubnet=10.2.0.0/16

Y iptables:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain DOCKER (0 references)
target     prot opt source               destination

Chain DOCKER-ISOLATION (0 references)
target     prot opt source               destination

información relacionada