AWS站点到站点VPN ping工作，TCP不工作

Question

我想在集群和来自不同提供商的服务器之间建立一个站点间的IPsec VPN连接。Pings通过VPN，但TCP流量不能。

另一端的服务器运行Ubuntu20.04并使用libreswan。针对openswan的VPN的AWS配置文件已经通过两种方式进行了更改(我认为这并不重要)：

• auth=esp已经被注释掉，因为libreswan不会启动否则(libreswan 3.29)
• VPN已配置为使用VTI。

当从AWS站点发送HTTP请求时:libreswan-站点上的tcpdump显示SYN到达并发送回SYN，而EC2实例上的tcpdump只注册SYN。

安全组和ACL等中允许所有传入通信量。

Answer 1

你算出来了吗？

我安装了两个aws帐户，两边都安装了强天鹅(我甚至尝试了强天鹅和libreswan组合)。

我可以ping，但看不到任何tcp数据包被传递。

谢谢。

更新:我发现了我的问题，它与UFW有关。

当我在强天鹅实例上禁用ufw时，它允许TCP通信。

我是怎么想的:我在strongswan实例上运行tail -f /var/log/syslog，并从我的私有实例中触发了一个telnet X.X.X.X 80

我看到了以下UFW块日志条目

[UFW BLOCK] IN=ens5 OUT=ens5 MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=Y.Y.Y.Y DST=X.X.X.X LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54490 DF PROTO=TCP SPT=50814 DPT=80 WINDOW=62727 RES=0x00 SYN URGP=0

我不知道为什么交通被阻塞，即使你允许80在ipv4和ipv6上任何地方。