Vpn cliente cisco na aws trafego de retorno

Iniciado por delannobaena, 11 de Março de 2013, 23:31

tópico anterior - próximo tópico

delannobaena

Boa tarde senhores,
depois de rodar bastante pelo forum e web resolvi pedir a ajuda.
Tenho um servidor com ubuntu instalado em uma instancia EC2 da Amazon, nele instalei um cliente vpn da cisco para acessar a rede de um parceiro,até aqui tudo bem, vpn instalada o serviço sobe sem problemas e consigo pingar em sua rede (192.168.1.1 server que preciso acessar).
Sendo assim parti para o deploy de minha aplicação que ao subir com jboss veio o susto, ao carregar o data sourse a aplicação para, parece que espera uma resposta do servidor(do parceiro na outra ponta da vpn) que não chega. Desta forma executei um tcpdump na interface da vpn para ver o trafego e pinguei no servidor o resultado foi o seguinte:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
12:49:34.846375 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 1, length 64
12:49:35.918681 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 2, length 64
12:49:36.998885 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 3, length 64


Não tenho trafego de volta pra meu server (acredito que seja isso).

veja como esta minha rota:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
200.195.150.        195 10.195.202.1      255.255.255.255 UGH 0 0 0 eth0
10.195.202.          0 0.0.0.0                      255.255.254.0 U 0 0 0 eth0
10.9.0.0                 0.0.0.0                         255.255.254.0 U 0 0 0 cipsec0
169.254.0.0          0.0.0.0                        255.255.0.0 U 0 0 0 eth0
192.168.0.0          10.9.0.34                    255.255.0.0 UG 0 0 0 cipsec0
172.16.0.0             10.9.0.34                   255.240.0.0 UG 0 0 0 cipsec0
0.0.0.0                   10.195.202.1             0.0.0.0 UG 0 0 0 eth0

veja quais são minhas interfaces de rede:


cipsec0
Link encap:Ethernet HWaddr 00:0B:FC:F8:01:8F
inet addr:10.9.0.34 Mask:255.255.254.0
UP RUNNING NOARP MTU:1356 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:3 overruns:0 carrier:0
collisions:0 txqueuelen:1000

eth0
Link encap:Ethernet HWaddr 12:31:3B:07:C9:61
inet addr:10.195.202.143 Bcast:10.195.203.255 Mask:255.255.254.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:883 errors:0 dropped:0 overruns:0 frame:0
TX packets:850 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Interrupt:247

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:181 errors:0 dropped:0 overruns:0 frame:0
TX packets:181 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0


Existe alguma configuração que devo fazer para conseguir o trafego da outra ponta da vpn (192.169.1.1) para meu servidor?
Lembrando que na Amazom meu grupo de segurança esta liberado pra todas as portas udp,tcp e outras portas possiveis de liberar pela interface do aws.
E que o iptables do servidor esta sem nenhuma regra criada.

Obrigado!

zekkerj

Não consegui entender direito... vc primeiro disse que consegue pingar a outra ponta, mas depois diz que não tem retorno?

Ou vc consegue pingar um endereço na outra ponta, mas não o endereço que deseja?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

delannobaena

Olá zekkerj,
consigo pingar no no servidor que preciso o 192.168.1.1, porém quando vejo pelo tcpdump vejo que meu ping chega no servidor mais não tem
pacote voltando, apenas indo veja oresultado:

12:49:34.846375 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 1, length 64
12:49:35.918681 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 2, length 64
12:49:36.998885 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 3, length 64

o correto seria receber pacote do 192.168.1.1 mais ou menos assim:

IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 1, length 64 Envio
IP  192.168.1.1 > 10.9.0.15 : ICMP echo request, id 7163, seq 1, length 64 Recebo

O recebe não acontece

zekkerj

Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

delannobaena

O tcpdump ta assim:

tcpdump -n -i any host 10.9.1.110

devo configurar algo pra conseguir esse retorno corretamente?
Porque minha aplicação ao conectar com datasource fica aquardando a resposta da outra ponta da vpn e não a consegue.

obrigado

zekkerj

Acho que já sei o que é... a interface criada pelo IPSEC não deve ser compatível com a biblioteca pcap, que faz a captura dos pacotes.

Se for isso, até tem como contornar, tunelando a conexão via GRE, mas isso implica em alterar na outra ponta, e aumentar o overhead.

Pra confirmar, tente capturar diretamente na interface cipsec0. Se vc não conseguir capturar nem o que envia, está comprovado.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

delannobaena

#6
Verdade tinha feito o teste, nem com o tcpdump na interface captura, existe alguma alternativa noquael não precise alterar a autra ponta?
alguma atualização da lib ou do so?

Obrigado!

zekkerj

Hmmm. Pensei que já tinha respondido.

Talvez seja o caso de tentar a captura em outro ponto. Ou talvez mudar o enfoque da depuração.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

clcampos

Tópico movido para Internet, Redes e Segurança.
Cristiano/Timóteo - MG
.: Como Fazer Perguntas de Forma Inteligente :.                
Com dúvida? pesquise!