У меня есть требование настроить IPsec VPN между каплей моей компании и сетью, принадлежащей компании-партнеру, которая использует другого поставщика. Инструментальное:

  • Debian (моя капелька) с IP, например, 169.22.231.13 и локальным адресом, например, 10.22.0.50
  • IPsec-Tools & Racoon (Racoon сам по себе не требуется - LibreSwan или StrongSwan также приемлемы, хотя у меня есть ощущение, что проблема не в этом)
  • mode = Tunnel
  • ESP

Я создал тестовую среду, чтобы опробовать инструментарий и выполнимость задачи, состоящую из 2 капель, которые мне удалось подключить в соответствии с указанными выше пунктами, и мне удалось достичь того, что я хотел (во время тестирования с собственными каплями),

Реальный случай - вот описание удаленного сервера (принадлежащего компании-партнеру):

  • точка входа имеет брандмауэр (моя капелька занесена в белый список) - например, общедоступный IP-адрес 153.132.142.123
  • служба, работающая на моей дроплете, должна подключаться к службе за этим общедоступным IP, например внутренним IP 10.100.232.11
  • удаленная сеть сопоставила мой внутренний адрес в их сетевом интерфейсе

Мне удалось настроить VPN-туннель между моей каплей и удаленной сетью в соответствии с:

  • racoonctl show-sa ipsec показывающий направления входа и выхода туннеля, с esp mode=tunnel и state=mature
  • racoonctl -l show-sa isakmp показывает правильный пункт назначения и Phase 2 = 1 , также в журналах сообщается, что соединение успешно установлено

Однако, когда я пытаюсь пропинговать адрес 10.100.232.11 , он зависает, и когда служба партнера проверяет мой внутренний IP-адрес (который я сопоставил в базе данных ассоциации безопасности), они говорят мне, что этот IP-адрес недоступен. Я не вижу выходящих пакетов ESP.

У меня есть следующие подозрения:

  • мои и / или партнерские сети используют NAT, в то время как мы настроили наши VPN с NAT Traversal = OFF;
  • DigitalOcean не разрешает IPsec VPN другим провайдерам из-за некоторых внутренних сетевых правил для защиты наших капель. Может ли кто-нибудь указать мне правильное направление? Я был бы очень признателен всем, кто мог бы поделиться со мной некоторыми знаниями по этой теме.

Помощь приветствуется!

|источник

0