Site-to-Site-Probleme mit OpenSWAN VPN-Tunnel mit AWS

8

Wir haben einen VPN-Tunnel mit Openswan zwischen zwei AWS-Regionen und unserer Colo-Einrichtung (Benutzter AWS-Leitfaden: Ссылка ). Die reguläre Verwendung funktioniert OK (ssh, etc), aber wir haben einige MySQL-Probleme über den Tunnel zwischen allen Bereichen. Mit Mysql Kommandozeilen-Client auf einem Linux-Server und versuchen, eine Verbindung mit dem MySQL Connector J herzustellen, es im Grunde blockiert ... es scheint, die Verbindung zu öffnen, aber dann bleibt stecken. Es wird nicht geleugnet oder irgendetwas, hängt einfach dort.

Nach anfänglichen Recherchen war das ein MTU-Problem, aber ich habe viel damit zu tun gehabt und kein Glück.

Die Verbindung zum Server funktioniert einwandfrei, und wir können eine zu verwendende Datenbank und so auswählen, aber mit dem Java-Connector scheint der Java-Client keinen Netzwerkverkehr zu empfangen, nachdem die Abfrage durchgeführt wurde.

Wenn wir einen Select im MySQL-Client unter Linux ausführen, können wir maximal zwei oder drei Zeilen erhalten, bevor er tot ist.

Mit diesem gesagt, habe ich auch ein separates openswan VPN auf der AWS-Seite für Client (Mac und iOS) VPN-Verbindungen. Alles funktioniert fantastisch über das Client-VPN und es scheint im Allgemeinen stabiler. Der Hauptunterschied, den ich bemerkt habe, ist, dass die statische Verbindung "Tunnel" als Typ verwendet und der Client "Transport" verwendet, aber beim Umschalten der statischen Tunnelverbindung zum Transport sagt es, dass es 30 offene Verbindungen gibt und nicht funktioniert .

Ich bin sehr neu in OpenSWAN und hoffe, dass jemand mir helfen kann, mich in die richtige Richtung zu bringen, damit der statische Tunnel funktioniert und das Client-VPN funktioniert.

Wie immer, hier sind meine Konfigurationsdateien:

ipsec.conf für BEIDE statische Tunnelserver:

%Vor%

VPC1-zu-Colotunnel-Konf.

%Vor%

colo-to-VPC1 tunnel conf

%Vor%

Client-Punkt VPN ipsec.conf

%Vor%     
Christopher Glenn Schlägel 13.02.2014, 17:52
quelle

2 Antworten

3

Die Lösung gefunden. Erforderlich, um die folgende IP-Tabellenregel an beiden Enden hinzuzufügen:

iptables -t Mangel -I POSTROUTING -p tcp - tcp-Markierungen SYN, RST SYN -j TCPMSS - Klammer-MSS-zu-Ptuu

Dies zusammen mit einer MTU von 1400 und wir sehen sehr solide aus

    
Christopher Glenn Schlägel 20.02.2014, 08:29
quelle
2

Wir hatten das gleiche Problem mit einem Server, der eine Verbindung von der EU-Region zu einer RDS-Instanz in den USA herstellt. Dies scheint ein bekanntes Problem zu sein, bei dem die RDS-Instanzen nicht auf ICMP reagieren, was zur automatischen Erkennung der MTU-Einstellungen erforderlich ist. Als Workaround müssen Sie eine kleinere MTU für die Instanz konfigurieren, die die Abfrage ausführt.

Führen Sie auf dem Server, der die Verbindung zur RDS-Instanz herstellt (nicht die VPN-Tunnelinstanzen), den folgenden Befehl aus, um eine MTU-Einstellung von 1422 zu erhalten (was für uns funktionierte):

%Vor%     
Scott 20.04.2014 23:24
quelle