Zugriff auf andere AWS VPC Instanzen, aber OpenVPN-Server

Zugriff auf andere AWS VPC Instanzen, aber OpenVPN-Server

Ich habe den OpenVPN-Server auf der Bastion-Instanz im öffentlichen Subnetz auf AWS VPC konfiguriert. Im Moment habe ich mit meinem OpenVPN-Client Zugriff auf die private IP-Adresse dieser Instanz, aber wir möchtenZugriff auf EC2-Instanzen, die in anderen privaten Subnetzen ausgeführt werdenim VPC.

Hier ist meine server.conf-Datei:

port 1194

# TCP or UDP server?
;proto tcp
proto udp


;dev tap
dev tun


;dev-node MyTap


ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key 

dh /etc/openvpn/easy-rsa/pki/dh.pem


;topology subnet


server 10.8.0.0 255.255.255.0

;client-config-dir ccd
route 10.10.0.0 255.255.0.0
route 10.10.12.0 255.255.255.0
route 10.10.52.0 255.255.255.0
route 10.10.51.0 255.255.255.0
push "route 10.10.0.0 255.255.0.0"
push "route 10.10.12.0 255.255.255.0"
push "route 10.10.11.0 255.255.255.0"
push "route 10.10.51.0 255.255.255.0"
push "route 10.10.52.0 255.255.255.0"




;learn-address ./script


;push "redirect-gateway def1 bypass-dhcp"

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"


client-to-client

#keepalive 10 120



tls-auth ta.key 0 # This file is secret

cipher AES-256-CBC

user nobody
group nobody

status openvpn-status.log

verb 3

Da meine Netzwerkkenntnisse nicht ausreichen, wäre ich sehr dankbar, wenn jemand eine Idee zur Lösung des Problems hätte.

Danke

Antwort1

Ich habe mehrere Mikrotik Cloud RouterOS als OpenVPN-Server in meinem VPC und es hat auch eine Weile gedauert, bis ich es zum Laufen gebracht habe.

Ich habe kein klares Bild von Ihrer Infrastruktur und Ihrem aktuellen Problem, aberIch gehe davon aus, dass Ihr Client bereits eine Verbindung zum OpenVPN-Server herstellen kann, aber keine anderen privaten EC2-Server erreichen kann.

Mir ist aufgefallen, dass sich Ihr Client-IP-Pool (10.8.0.0/24) von der internen IP des OpenVPN-Servers (10.10.0.0/16) unterscheidet. Dies erschwert das VPC-Routing, da Ihre VPC-Routingtabelle keine Ahnung hat, welches Subnetz 10.8.0.0/24 ist und wohin der entsprechende Datenverkehr geroutet werden soll.

Ich habe das Problem gelöst, indem ich NAT angewendet habe, sodass mein Client-Datenverkehr (z. B. IP 10.8.0.100) als OpenVPN-Server (z. B. IP 10.10.0.100) getarnt wird, wenn Pakete den OpenVPN-Server verlassen. Auf diese Weise wird der private EC2-Server immer über den OpenVPN-Server geroutet.

Darüber hinaus müssen Sie mehrere Dinge überprüfen:

  1. Die EC2-Sicherheitsgruppe lässt den Datenverkehr zu

  2. VPC-Subnetze sind mit Ihrer Routentabelle verknüpft

  3. Die VPC-Routentabelle hat die entsprechenden Routen eingerichtet

  4. EC2-Quell-/Zielprüfungen sind deaktiviert, wenn NAT stattfindet

Eine alternative Lösung könnte darin bestehen, die Routentabelle so einzurichten, dass der gesamte 10.8.0.0/24-Verkehr an Ihren OpenVPN-Server gesendet wird. Das habe ich aber nie zum Laufen gebracht, also viel Glück, wenn Sie diesen Weg wählen.

verwandte Informationen