Vpn cliente cisco na aws trafego de retorno

delannobaena · 11 de Março de 2013, 23:31

Boa tarde senhores,
depois de rodar bastante pelo forum e web resolvi pedir a ajuda.
Tenho um servidor com ubuntu instalado em uma instancia EC2 da Amazon, nele instalei um cliente vpn da cisco para acessar a rede de um parceiro,até aqui tudo bem, vpn instalada o serviço sobe sem problemas e consigo pingar em sua rede (192.168.1.1 server que preciso acessar).
Sendo assim parti para o deploy de minha aplicação que ao subir com jboss veio o susto, ao carregar o data sourse a aplicação para, parece que espera uma resposta do servidor(do parceiro na outra ponta da vpn) que não chega. Desta forma executei um tcpdump na interface da vpn para ver o trafego e pinguei no servidor o resultado foi o seguinte:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
12:49:34.846375 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 1, length 64
12:49:35.918681 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 2, length 64
12:49:36.998885 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 3, length 64

Não tenho trafego de volta pra meu server (acredito que seja isso).

veja como esta minha rota:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
200.195.150. 195 10.195.202.1 255.255.255.255 UGH 0 0 0 eth0
10.195.202. 0 0.0.0.0 255.255.254.0 U 0 0 0 eth0
10.9.0.0 0.0.0.0 255.255.254.0 U 0 0 0 cipsec0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
192.168.0.0 10.9.0.34 255.255.0.0 UG 0 0 0 cipsec0
172.16.0.0 10.9.0.34 255.240.0.0 UG 0 0 0 cipsec0
0.0.0.0 10.195.202.1 0.0.0.0 UG 0 0 0 eth0

veja quais são minhas interfaces de rede:

cipsec0
Link encap:Ethernet HWaddr 00:0B:FC:F8:01:8F
inet addr:10.9.0.34 Mask:255.255.254.0
UP RUNNING NOARP MTU:1356 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:3 overruns:0 carrier:0
collisions:0 txqueuelen:1000

eth0
Link encap:Ethernet HWaddr 12:31:3B:07:C9:61
inet addr:10.195.202.143 Bcast:10.195.203.255 Mask:255.255.254.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:883 errors:0 dropped:0 overruns:0 frame:0
TX packets:850 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Interrupt:247

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:181 errors:0 dropped:0 overruns:0 frame:0
TX packets:181 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

Existe alguma configuração que devo fazer para conseguir o trafego da outra ponta da vpn (192.169.1.1) para meu servidor?
Lembrando que na Amazom meu grupo de segurança esta liberado pra todas as portas udp,tcp e outras portas possiveis de liberar pela interface do aws.
E que o iptables do servidor esta sem nenhuma regra criada.

Obrigado!

zekkerj · 12 de Março de 2013, 10:57

Não consegui entender direito... vc primeiro disse que consegue pingar a outra ponta, mas depois diz que não tem retorno?

Ou vc consegue pingar um endereço na outra ponta, mas não o endereço que deseja?

delannobaena · 12 de Março de 2013, 11:11

Olá zekkerj,
consigo pingar no no servidor que preciso o 192.168.1.1, porém quando vejo pelo tcpdump vejo que meu ping chega no servidor mais não tem
pacote voltando, apenas indo veja oresultado:

12:49:34.846375 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 1, length 64
12:49:35.918681 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 2, length 64
12:49:36.998885 IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 3, length 64

o correto seria receber pacote do 192.168.1.1 mais ou menos assim:

IP 10.9.0.15 > 192.168.1.1: ICMP echo request, id 7163, seq 1, length 64 Envio
IP 192.168.1.1 > 10.9.0.15 : ICMP echo request, id 7163, seq 1, length 64 Recebo

O recebe não acontece

zekkerj · 12 de Março de 2013, 11:18

Como você está filtrando o tcpdump?

delannobaena · 12 de Março de 2013, 11:25

O tcpdump ta assim:

tcpdump -n -i any host 10.9.1.110

devo configurar algo pra conseguir esse retorno corretamente?
Porque minha aplicação ao conectar com datasource fica aquardando a resposta da outra ponta da vpn e não a consegue.

obrigado

zekkerj · 12 de Março de 2013, 11:56

Acho que já sei o que é... a interface criada pelo IPSEC não deve ser compatível com a biblioteca pcap, que faz a captura dos pacotes.

Se for isso, até tem como contornar, tunelando a conexão via GRE, mas isso implica em alterar na outra ponta, e aumentar o overhead.

Pra confirmar, tente capturar diretamente na interface cipsec0. Se vc não conseguir capturar nem o que envia, está comprovado.

delannobaena · 12 de Março de 2013, 13:42

Verdade tinha feito o teste, nem com o tcpdump na interface captura, existe alguma alternativa noquael não precise alterar a autra ponta?
alguma atualização da lib ou do so?

Obrigado!

zekkerj · 12 de Março de 2013, 21:36

Hmmm. Pensei que já tinha respondido.

Talvez seja o caso de tentar a captura em outro ponto. Ou talvez mudar o enfoque da depuração.

clcampos · 17 de Março de 2013, 17:14

Tópico movido para Internet, Redes e Segurança.