AWS - Strongswan :：如何使来自子网的客户端进行通信？

Question

我通过Strongswan在两个不同地域的两个私有网络之间成功搭建了IPsec虚拟专用网，两个网关可以互通。问题是一个私有网络/子网的其他实例无法ping通另一个私有网络/子网:私有网络A/网关可以与私有网络B/网关通信...VPC A/实例可以与VPC A/网关通信，同样适用于VPC B...但VPC A/实例无法与VPC B/网关B或VPC B/实例通信( VPC B到VPC A也是如此)。

我已经检查并尝试使用表220的路由和ICMP重定向，不可能。

有谁能帮上忙吗？

致以问候。

Answer 1

提供确切答案的信息太少了；需要拓扑和寻址计划、相关的安全组和EC2配置、StrongSwan和相关的Linux内核配置。

不过，请允许我提供一些提示，以便在通过VPN连接的子网之间进行路由：

1. IP转发必须在Linux内核中开启，假设StrongSwan运行在Linux EC2实例上。可以通过以下命令来完成，以root用户身份运行：

echo 1 > /proc/sys/net/ipv4/ip_forward

请注意，在重新启动期间，该设置不会持续存在。如何使设置持久化取决于Linux发行版。

• EC2源/目标。必须禁用检查，请参见下面的屏幕截图。

​

必须将

1. VPC路由表设置为通过StrongSwan EC2节点而不是通过ipsec.conf中的默认gateway.
2. Traffic选择器(left_subnet和right_subnet)将流量路由到另一个区域中的另一个子网必须设置为accordingly.