각각의 공용 IP를 사용하여 LAN에 있는 서로의 API 서버에 액세스해야 하는 공급업체와 사이트 간 IPSec 터널을 설정해야 합니다. 우리는 AWS를 사용하고 있으며 2개의 서브넷으로 VPC를 구성했으며 공급업체는 CISCO ASA 방화벽을 사용하고 있습니다.
나는 몇 주 동안 벽에 머리를 부딪혔지만 아무 소용이 없었습니다.
요구 사항은 다음과 같습니다.
AWS Subnet 1 10.100.128.0/20 AWS Subnet 2
[Our API server]-----------------------[Ubuntu/StrongSwan]---------[Vendors VPN Gw = 41.x.x.6]-----[Vendor's API Server=41.x.x.233]
| |
13.x.x.115/10.100.133.21 13.x.x.175/10.100.11.25
지금까지 내가 한 일은 다음과 같습니다.
- Gw가 Ubuntu StrongSwan을 향하도록 서브넷 1의 라우팅 테이블을 업데이트했습니다.
- NAT 인스턴스 역할을 하도록 Ubuntu StrongSwan EC2 인스턴스를 구성했습니다.
- 중지된 소스/대상 확인
- 커널이 다음을 통해 전달할 수 있도록 허용
net.ipv4.ip_forward = 1 - 소스 NAT 추가
sudo iptables -t nat -A POSTROUTING -s 10.100.133.21 -d 41.x.x.233 -j SNAT --to-source 13.x.x.115 - 대상 NAT 추가
sudo iptables -t nat -A PREROUTING -d 13.x.x.115 -j DNAT --to-destination 10.100.133.21 - 10.100.128.0/20의 나머지 트래픽을 가장합니다.
sudo iptables -t nat -A POSTROUTING -s 10.100.128.0/20 -j MASQUERADE
마지막으로 다음과 같이 터널을 설정했습니다.
conn %default
# Tunnel properties
type=tunnel
authby=psk
auto=start
keyexchange=ikev2
mobike=no
rekey=yes
reauth=no
compress=no
# Session configuration
ikelifetime=86400s
lifetime=3600s
dpdaction=restart
closeaction=restart
dpddelay=10s
dpdtimeout=30
# keyingtries=1
# Default ph1
# Encryption, hash and authentication
ike=aes256-sha256-ecp256!
# Default ph2
# phase2=esp
# phase2alg=aes256-sha256!
# No pfs
esp=aes256-sha256!
conn TigoPesa-Tunnel
# Us
left=%defaultroute
leftid=10.100.11.25
leftsubnet=13.x.x.115/32
# Them
right=41.x.x.6
rightid=41.x.x.6
rightsubnet=41.x.x.233/32
다음과 같이 PSK를 구성했습니다 ipsec.secrets.
10.100.133.21 41.x.x.6 : PSK "xxxx"
터널을 불러오려고 할 때마다 다음 오류가 항상 내 뺨을 때립니다!
initiating IKE_SA TigoPesa-Tunnel[4] to 41.x.x.6
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 10.100.11.25[500] to 41.x.x.6[500] (272 bytes)
received packet: from 41.x.x.6[500] to 10.100.11.25[500] (447 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No V V N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) V ]
received Cisco Delete Reason vendor ID
received Cisco Copyright (c) 2009 vendor ID
received FRAGMENTATION vendor ID
selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
local host is behind NAT, sending keep alives
received 3 cert requests for an unknown ca
authentication of '10.100.11.25' (myself) with pre-shared key
establishing CHILD_SA TigoPesa-Tunnel{5}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from 10.100.11.25[4500] to 41.x.x.6[4500] (304 bytes)
received packet: from 41.x.x.6[4500] to 10.100.11.25[4500] (160 bytes)
parsed IKE_AUTH response 1 [ V IDr AUTH N(TS_UNACCEPT) ]
authentication of '41.x.x.6' with pre-shared key successful
IKE_SA TigoPesa-Tunnel[4] established between 10.100.11.25[10.100.11.25]...41.x.x.6[41.x.x.6]
scheduling rekeying in 85567s
maximum IKE_SA lifetime 86107s
received TS_UNACCEPTABLE notify, no CHILD_SA built
failed to establish CHILD_SA, keeping IKE_SA
establishing connection 'TigoPesa-Tunnel' failed
누군가 내 하루를 구해주세요! (커뮤니케이션을 위한 배경지식, 저는 네트워크 엔지니어가 아니고 소프트웨어 엔지니어입니다)