Pakete werden in der EC2-Instanz nicht durch den OpenVPN-Tunnel geleitet

tag-icon tag-icon amazon-ec2 vpn openvpn
Pakete werden in der EC2-Instanz nicht durch den OpenVPN-Tunnel geleitet

Ich richte einen OpenVPN-Server auf einer AWS EC2-Instanz ein. Diese Instanz hat zwei Schnittstellen:

  • Eine Schnittstelle, die zu einem privaten Subnetz gehört (10.10.0.0/17)
  • Eine Schnittstelle, die zu einem öffentlichen Subnetz gehört (10.10.128.0/17)

Mein Ziel besteht darin, dem Datenverkehr aus dem Internet über das VPN die Kommunikation mit den Instanzen im privaten Subnetz zu ermöglichen. Hier ist ein Schema

Die Verbindung zwischen der Außenseite und der öffentlichen Schnittstelle ist gut hergestellt. Sie ist auch zwischen der privaten Schnittstelle und den Instanzen im privaten Subnetz hergestellt.

Das Problem tritt auf, wenn ich versuche, private Instanzen von einem externen Client aus anzupingen. Ich sehe die Meldung „Initialisierungssequenz abgeschlossen“, aber es scheint, als würde kein Verkehr durch den Tunnel geleitet. Tatsächlich scheint überhaupt keine Route gefunden zu werden, selbst wenn das Ziel der VPN-Server selbst ist:

Traceroute zur Server-Tun-Schnittstelle

Verbindungsprotokollierung auf dem Client

Verbindungsprotokollierung auf dem Server

Obwohl beim Erstellen der Route scheinbar Fehler auftreten, ist sie in der Routing-Tabelle des Kernels vorhanden. Daher gehe ich davon aus, dass das Problem nicht hier liegt:

Route-Befehl auf dem Client

Hier ist meine Client-Konfiguration:

client
dev tun
proto udp
remote <server_ip> 1194
route 10.10.0.0 255.255.128.0
nobind
resolv-retry infinite
persist-key
persist-tun
comp-lzo 
verb 3
cipher AES-256-CBC
<ca>
-----BEGIN CERTIFICATE-----
<SNIP>
-----END CERTIFICATE-----
</ca>
<cert>
Certificate:
<SNIP>
-----BEGIN CERTIFICATE-----
<SNIP>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<SNIP>
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
<SNIP>
-----END PRIVATE KEY-----
</key>

Und die Server-Version:


local 0.0.0.0 

port 1194

proto udp

dev tun

ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key  

dh /etc/openvpn/easy-rsa/pki/dh.pem

topology subnet

server 10.10.0.0 255.255.128.0

#client-to-client communication
duplicate-cn

keepalive 10 120

cipher AES-256-CBC

comp-lzo

persist-key
persist-tun

status openvpn-status.log

verb 3

mute 10

explicit-exit-notify 1

Ich habe das OpenVPN-Howto von Anfang bis Ende befolgt und weiß wirklich nicht, was mir entgeht. Vielen Dank im Voraus für Ihre Hilfe!

verwandte Informationen