amazon-ec2 – Al conectar una VPC EC2 con OpenVPN, se pierde todo el tráfico enrutado

Pregunta:

Estoy intentando usar OpenVPN en Amazon Linux para conectar la LAN local a una VPC en EC2. Tengo tráfico que fluye desde la instancia de OpenVPN a cualquier máquina en la LAN, pero otras máquinas en la VPC no ven tráfico desde la LAN.

Aquí hay una versión recortada de la red:

       Local network          /        EC2 VPC, 10.2.0.*/255.255.255.0
  10.1.0.*/               ,'
     255.255.255.0     ,'
                      .'
                      |
 +---------------+   |             
 | OpenVPN on    |   |             
 |   firewall    XXX |   +---------------+
 | 10.1.0.1      |  XXXX | OpenVPN server|
 +------`.-------+   \  XX  10.2.0.10  `-.    +-------------+
          \          '.  +---------------+  `-. Second server
  +--------`.---+     |                       | 10.2.0.12   |
  |Local server |      \                      +-------------+
  | 10.1.0.3    |       \
  +-------------+        \

Desde el servidor EC2 OpenVPN:

[root@ip-10-2-0-10 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.2.0.1        0.0.0.0         UG    0      0        0 eth0
10.1.0.0        10.1.2.5        255.255.255.0   UG    0      0        0 tun0
10.1.2.0        10.1.2.5        255.255.255.0   UG    0      0        0 tun0
10.1.2.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.2.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0

[root@ip-10-2-0-10 ~]# ping -c 2 10.1.0.3
PING 10.1.0.3 (10.1.0.3) 56(84) bytes of data.
64 bytes from 10.1.0.3: icmp_seq=1 ttl=127 time=488 ms
64 bytes from 10.1.0.3: icmp_seq=2 ttl=127 time=54.9 ms

--- 10.1.0.3 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1056ms
rtt min/avg/max/mdev = 54.925/271.767/488.609/216.842 ms

Desde el firewall de LAN:

root@firewall:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         xxx.xxx.xxx.xxx 0.0.0.0         UG    0      0        0 eth0.2
10.1.0.0        0.0.0.0         255.255.255.0   U     0      0        0 br-lan
10.1.2.0        10.1.2.2        255.255.255.0   UG    0      0        0 tun0
10.1.2.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.2.0.0        10.1.2.2        255.255.255.0   UG    0      0        0 tun0

Desde el segundo servidor en EC2:

[root@ip-10-2-0-12 ~]# ping -c 3 10.1.0.3
PING 10.1.0.3 (10.1.0.3) 56(84) bytes of data.

--- 10.1.0.3 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 12014ms

Sin embargo, aquí está el truco. Hacer un tcpdump en el servidor EC2 OpenVPN muestra que todo el tráfico fluye como debería:

[root@ip-10-2-0-10 ~]# tcpdump -i eth0 -n host 10.1.0.3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:46:58.779826 IP 10.2.0.12 > 10.1.0.3: ICMP echo request, id 21846, seq 1, length 64
13:46:58.852756 IP 10.1.0.3 > 10.2.0.12: ICMP echo reply, id 21846, seq 1, length 64
13:46:59.787467 IP 10.2.0.12 > 10.1.0.3: ICMP echo request, id 21846, seq 2, length 64
13:46:59.847424 IP 10.1.0.3 > 10.2.0.12: ICMP echo reply, id 21846, seq 2, length 64

Tcpdump en el segundo servidor en EC2 solo muestra la solicitud de eco y no responde.

  • Los cortafuegos de IPtables están desactivados en todas las instancias EC2.
  • El reenvío de IP se ha habilitado en el servidor OpenVPN.
  • El grupo de seguridad EC2 en el que tanto el servidor OpenVPN como el segundo servidor están configurados para permitir todo el tráfico de 10.0.0.0/8 y las ACL de red están completamente abiertas.

Parece que Amazon está descartando este tráfico que se origina fuera de la VPC, independientemente de la configuración del grupo de seguridad.

¿Hay algo que me esté perdiendo que provoque la caída de este tráfico?

Respuesta:

Resulta que EC2 estaba bloqueando los paquetes reenviados desde el servidor OpenVPN.

Hay una configuración en el panel de EC2 en Red y seguridad -> Interfaces de red -> Acciones -> Cambiar origen / destino. Cheque.

Cuando desactivé esto en todas mis instancias, el tráfico a través de la VPN fluye según lo previsto.

Con suerte, esto ayudará a alguien más.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım