Ich habe den OpenVPN-Server auf der Bastion-Instanz im öffentlichen Subnetz auf AWS VPC konfiguriert. Im Moment habe ich mit meinem OpenVPN-Client Zugriff auf die private IP-Adresse dieser Instanz, aber wir möchtenZugriff auf EC2-Instanzen, die in anderen privaten Subnetzen ausgeführt werdenim VPC.
Hier ist meine server.conf-Datei:
port 1194
# TCP or UDP server?
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
;topology subnet
server 10.8.0.0 255.255.255.0
;client-config-dir ccd
route 10.10.0.0 255.255.0.0
route 10.10.12.0 255.255.255.0
route 10.10.52.0 255.255.255.0
route 10.10.51.0 255.255.255.0
push "route 10.10.0.0 255.255.0.0"
push "route 10.10.12.0 255.255.255.0"
push "route 10.10.11.0 255.255.255.0"
push "route 10.10.51.0 255.255.255.0"
push "route 10.10.52.0 255.255.255.0"
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
client-to-client
#keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
user nobody
group nobody
status openvpn-status.log
verb 3
Da meine Netzwerkkenntnisse nicht ausreichen, wäre ich sehr dankbar, wenn jemand eine Idee zur Lösung des Problems hätte.
Danke
Antwort1
Ich habe mehrere Mikrotik Cloud RouterOS als OpenVPN-Server in meinem VPC und es hat auch eine Weile gedauert, bis ich es zum Laufen gebracht habe.
Ich habe kein klares Bild von Ihrer Infrastruktur und Ihrem aktuellen Problem, aberIch gehe davon aus, dass Ihr Client bereits eine Verbindung zum OpenVPN-Server herstellen kann, aber keine anderen privaten EC2-Server erreichen kann.
Mir ist aufgefallen, dass sich Ihr Client-IP-Pool (10.8.0.0/24) von der internen IP des OpenVPN-Servers (10.10.0.0/16) unterscheidet. Dies erschwert das VPC-Routing, da Ihre VPC-Routingtabelle keine Ahnung hat, welches Subnetz 10.8.0.0/24 ist und wohin der entsprechende Datenverkehr geroutet werden soll.
Ich habe das Problem gelöst, indem ich NAT angewendet habe, sodass mein Client-Datenverkehr (z. B. IP 10.8.0.100) als OpenVPN-Server (z. B. IP 10.10.0.100) getarnt wird, wenn Pakete den OpenVPN-Server verlassen. Auf diese Weise wird der private EC2-Server immer über den OpenVPN-Server geroutet.
Darüber hinaus müssen Sie mehrere Dinge überprüfen:
Die EC2-Sicherheitsgruppe lässt den Datenverkehr zu
VPC-Subnetze sind mit Ihrer Routentabelle verknüpft
Die VPC-Routentabelle hat die entsprechenden Routen eingerichtet
EC2-Quell-/Zielprüfungen sind deaktiviert, wenn NAT stattfindet
Eine alternative Lösung könnte darin bestehen, die Routentabelle so einzurichten, dass der gesamte 10.8.0.0/24-Verkehr an Ihren OpenVPN-Server gesendet wird. Das habe ich aber nie zum Laufen gebracht, also viel Glück, wenn Sie diesen Weg wählen.