[GELÖST] Probleme mit AWS Site to Site VPN

[computeralex92]

Hallo zusammen,

wir kämpfen hier gerade mit einem kleinem Problem:

Ziel: Über die Firewall einen IPSec-Tunnel aufzubauen, der unser lokales Netz mit einer AWS VPC verbindet (also Site2Site).
Problem: Der Tunnel steht, aber es gehen keine Daten durch.

Wir haben schon mit dem AWS Support rumgemacht, kommen aber nicht hinter das Problem.
Im Endeffekt steht der Tunnel, aber es gehen keinerlei Daten von beiden Seiten drüber, weder ICMP noch SSH etc.
Auch die Byte-Zahl in der Tunnel-Statistik bleibt auf 0 stehen.

Ich hab die aktuellen Einstellungen von Phase 1 und 2 angehängt; diese wurden gemäß der Vorgaben von AWS hinterlegt (analog zu PFSense).

Hoffentlich weiß jemand von euch Rat.

Merci,

Alex

[JeGr]

Wurden denn auch entsprechend Regel angelegt? Bei AWS muss m.W. ja auch das verwendete Netz hinterlegt werden etc.?

[computeralex92]

Wurden denn auch entsprechend Regel angelegt? Bei AWS muss m.W. ja auch das verwendete Netz hinterlegt werden etc.?

Bei AWS wurde alles gemäß Vorgaben vom AWS Support hinterlegt.

[jmalter]

Ich nehme an, du benutzt das AWS eigene VPN oder hast Du dir eine eigene VPN mit StrongSwan erstellt?
Das gleiche Problem hatte ich mit IPFire und hatte deswegen eine eigene Instanz benutzt. Im Zuge der Umstellung auf OPNSense (am folgenden Wochenende geplant) will ich das auf die AWS VPN Lösung umstellen. Dann kann ich Dir berichten

Viele Grüße

Jörg

[jmalter]

Wenn AWS VPN:
Bist nach dieser Anleitung vorgegangen?

[computeralex92]

Wenn AWS VPN:
Bist nach dieser Anleitung vorgegangen?

Wir sind genau nach dieser Anleitung vorgegangen.
Nach ein paar Sitzungen heute mit dem AWS Support hat sich folgender Verdacht erhärtet:
Der Traffic wird nicht richtig geroutet.

Die Prüfung der Routing Tabelle zeigt, dass das Subnetz von der Firewall über das externe Interface geroutet wird.
Stimmt das so?

[jmalter]

Das kann nicht stimmen. Der Traffic aus dem AWS VPC muss über die interne IP eurer Firewall gehen

[jmalter]

Schau mal unter VPC -> Routing Table -> (euer VPC) -> Route

Als Target für euer Netz im Office, was steht da drin?

[computeralex92]

Das kann nicht stimmen. Der Traffic aus dem AWS VPC muss über die interne IP eurer Firewall gehen

Beweisfoto im Anhang... 

[jmalter]

Da sollte die ID vom virtual private gateway drin sein

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-create-vpg

[computeralex92]

Da sollte die ID vom virtual private gateway drin sein

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-create-vpg

Du sagst es: sollte...

[jmalter]

Dann editiere die Route und trage das Gateway ein. Es fängt mit vgw-xxxxxx an

[computeralex92]

Dann editiere die Route und trage das Gateway ein. Es fängt mit vgw-xxxxxx an

Naja, auf AWS Seite ist alles eingetragen, und auch die Opnsense hab ich dazu gezwungen, jetzt die IP des VPN Endpoints zu verwenden.
Ergebnis: geht nicht.

Interressant ist auch, dass er mit eingetragener Route auf der Opnsense den Traffic in Richtung Standleitung (also Standard-GW) schickt, da ich von dem Gateway der Standleitung den Fehler bekomme, er kennt das Zielnetz nicht.

Aus meiner Sicht liegt der Fehler darin, dass die Opnsense den Traffic stur auf die Standleitung schießt und jede Route etc übergeht.

[jmalter]

Wenns bis zum Wochenende Zeit hat, dann kann ich Dir berichten. Die Umstellung von IPFire auf OPNSense und die Ablösung der eigenen VPN Instanz mit Strongswan bei AWS ist bei mir am Samstag

[computeralex92]

Wenns bis zum Wochenende Zeit hat, dann kann ich Dir berichten. Die Umstellung von IPFire auf OPNSense und die Ablösung der eigenen VPN Instanz mit Strongswan bei AWS ist bei mir am Samstag

Mal schauen wer schneller ist
Aktuell sind wir überlegen, den Opnsense Business Support zu buchen; vielleicht kommen wir dann der Lösung näher...