VPC 内の EC2 インスタンスに OpenVPN サーバーがインストールされており、リモート ユーザーがプライベート サブネット内のサービスにアクセスできるようにするために使用されています。これまでのところ十分なソリューションでしたが、現在はすべてのクライアントが VPN サーバー IP として認識されています。
EC2 インスタンスで OpenVPN サーバーを構成し、クライアントに IP アドレス (できればユーザーごとに静的) を割り当てることは可能ですか?
サブネット A、サブネット B10.0.0.0/16を持つ VPCがあるとします。サブネット 2 の IP アドレスを VPN クライアントに割り当てたいと思います。10.0.10.0/2410.0.11.0/24
答え1
実際には NATed オプション (デフォルト) を使用しているため、すべてのクライアントが OpenVPN サーバー自体として認識されます。
ルーティングという別のオプションを使用することもできます。この場合、クライアントには定義した範囲 (例では 10.0.11.0/24) から IP アドレスが割り当てられます。このサブネット (10.0.11.0/24) が VPC 上に存在しないか、OpenVPN サーバーがこのサブネット内に配置されていることを確認してください。
覚えておかなければならない唯一のことは、ユーザーがアクセスしているプライベートサブネット内のインスタンスが、ユーザーの IP アドレス (この場合は 10.0.11.0/24) に到達する方法を知っている必要があるということです。これは、AWS がこの「新しい」サブネット宛てのトラフィックをどこにルーティングすればよいかわからないため、破棄されるためです。
この問題を解決するには、次の手順に従ってください。
- 10.0.11.0/24 宛てのすべてのトラフィックを OpenVPN サーバーに送信するには、AWS ルーティング テーブル (プライベート サブネット上) にルートを追加します。
- OpenVPNサーバーインスタンスのソース/宛先チェックを無効にする
- OpenVPNサーバーインスタンスのセキュリティグループが10.0.11.0/24からのトラフィックを許可していることを確認してください。
- NACL を使用している場合は、このトラフィックもブロックしていないことを確認してください。